Auditoría a los servidores Web y Proxy de la PUCE SD by Pontificia Universidad Católica del Ecuador sede Santo Domingo PUCE SD

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR SEDE SANTO DOMINGO ESCUELA DE INGENIERÍA EN SISTEMAS Y COMPUTACIÓN

Disertación de Grado Previa la Obtención del Título de Ingeniería en Sistemas y Computación

AUDITORÍA A LOS SERVIDORES WEB Y PROXY DE LA PUCE SD

AUTORES: MERY MARCELA CHIMBO VALLEJO WILIAN HERMEL REDROBAN ORTEGA

DIRECTOR: ING. SUSANA BEATRIZ CARAGUAY MARTINEZ

SANTO DOMINGO - ECUADOR 2012

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR SEDE SANTO DOMINGO APROBACIÓN DE LA DISERTACIÓN DE GRADO AUDITORÍA A LOS SERVIDORES WEB Y PROXY DE LA PUCE SD

AUTORES: MERY MARCELA CHIMBO VALLEJO WILIAN HERMEL REDROBAN ORTEGA TRIBUNAL

ING. SUSANA BEATRIZ CARAGUAY

MARTINEZ DIRECTORA DE LA DISERTACIÓN ING. MILTON ANDRADE MIEMBRO DEL TRIBUNAL

MS. RODOLFO CORDOVA MIEMBRO DEL TRIBUNAL

Santo Domingo, Febrero de 2012

iii

AUTORÍA

El presente trabajo de investigación previo a la obtención del título de Ingeniero en Sistemas y Computación, pertenece exclusivamente a sus autores; y el patrimonio intelectual de la misma a la Pontificia Universidad Católica del Ecuador Sede Santo Domingo

Mery Marcela Chimbo Vallejo 1716448368

Wilian Hermel Redrobán Ortega 1714703939

DEDICATORIA

Dedicamos la presente disertaci贸n de grado a nuestro Dios y en especial a nuestros padres por el gran esfuerzo realizado para ver forjados nuestro futuro como profesionales y a la prestigiosa PUCE SD por habernos dado la oportunidad de estudiar.

AGRADECIMIENTOS

A Dios por guiarnos a través de toda nuestra vida dándonos sabiduría, esperanza, fortaleza y paciencia para alcanzar nuestras metas. A nuestros padres por todo el apoyo brindado a lo largo de toda vida estudiantil y fuera de ella y en especial en estos últimos años de formación profesional. A nuestra directora de disertación Ing. Susana Caraguay, que ha sido pieza fundamental para el desarrollo del presente trabajo de disertación

RESUMEN Desde que el uso de los sistemas de información, se propagó a nivel mundial ha alcanzado importantes ámbitos de la vida humana, tales como: la comunicación, el entretenimiento, la seguridad entre otros. Todo esto debido a los acelerados y permanentes cambios tecnológicos y de las tecnologías de información. Hoy en día existen procesos tales como: la transferencia de datos, controles de seguridad entre otros, que pueden ser interferidos de forma accidental o intencional, produciendo pérdidas económicas o de información causando daño inclusive de forma permanente es por ello que las funciones y roles de las estructuras tecnológicas y sus seguridades son el pilar fundamental dentro de los sistemas de información, convirtiéndose en temas culturales para personas que incursionan en el mundo de la informática. En este proyecto hace referencia a los métodos, técnicas y actividades utilizadas para el normal desarrollo de la Auditoría a los Servidores Web y Proxy de la PUCE SD, con lo cual nos planteamos como objetivo de Optimizar el desempeño de los servidores web y proxy de la PUCE SD, para esto se elaboró un plan de auditoría enfocado al desempeño de los servidores, con el afán de mejorar los servicios que brinda la universidad a los estudiantes y personal que labora diariamente.

vii

ABSTRACT

Since the use of information systems, global spread has reached important fields of human life such as communication, entertainment, security and others. All this because of the rapid and ongoing changes in technology and information technology. Today there are processes such as data transfer, security controls and others that may be interfered with by accident or intentionally, causing economic losses or even cause damage information permanently which is why the functions and roles technological structures and their securities are the cornerstone in information systems, becoming cultural issues for people who venture into the world of computing.

This project

refers to the methods,

techniques

and activities used for

development

of Auditing Web Servers and Proxy PUCE

SD,

which we

the normal consider as

objective to optimize the performance of Web servers and proxy PUCE SD For this, a plan was focused

the performance audit of

the servers, with

services offered by university students and staff working daily.

the

aim of

improving

viii

ÍNDICE DE CONTENIDOS

PORTADA………………………………………………………………………………… i APROBACIÓN DE LA DISERTACIÓN DE GRADO…………………………………. ii AUTORÍA…………………………………………………………………………………. iii DEDICATORIA…………………………………………………………………………... iv AGRADECIMIENTOS…………………………………………………………………… v RESUMEN……………………………………………………………………………….. vi ABSTRACT………………………………………………………………………………. vii ÍNDICE DE CONTENIDOS…………………………………………………………….. viii LISTA DE TABLAS……………………………………………………………………… xix LISTA DE FIGURAS……………………………………………………………………. xxi LISTA DE FICHAS……………………………………………………………………… xxii LISTA DE GRÁFICOS…………………………………………………………………. xxiii CAPITULO I 1

ANTECEDENTES Y JUSTIFICACIÓN…………………………………………. 26

1.1

OBJETIVO GENERAL DEL PROYECTO………………………………… 33

1.2

OBJETIVOS ESPECIFICOS DEL PROYECTO………………………… 33

1.3

LUGAR DE EJECUCIÓN…………………………………………………… 33

CAPITULO II 2

MARCO TEÓRICO……………………………………………………………….. 34

2.1

FUNDAMENTOS TEÓRICOS DE AUDITORÍA INFORMÁTICA…………. 34

2.1.1

Auditoría………………………………………………………………………..34

2.1.2

Tipos de Auditoría……………………………………………………………. 34

2.1.3

Auditoría Informática……………………………………………………… 35

2.1.4

Síntomas de Necesidad de una Auditoría Informática……………………. 36

2.1.4.1

Síntomas de Mala Imagen e Insatisfacción de los Usuarios……….. 36

2.1.4.2

Síntomas de Inseguridad: Evaluación de Nivel de Riesgos……….….. 37

2.1.5

Tipos de Auditoría Informática………………………………………………. 37

2.1.6

Características de la Auditoría Informática…………………………………. 38

2.1.7

Normas de la Auditoría Informática………………………………………… 39

2.1.7.1

Normas Personales………………………………………………………. 39

2.1.7.2

Normas de Ejecución del Trabajo………………………………………. 39

2.1.7.3

Normas de Información…………………………………………………. 40

2.1.8

Herramientas de Auditoría…………………………………………………. 40

2.1.8.1

Técnicas………………………………………………………………….. 40

2.1.8.2

Procedimientos……………………………………………………………40

2.1.8.3

Análisis de Datos………………………………………………………… 40

2.1.8.4

Monitoreo…………………………………………………………………. 41

2.1.8.5

Análisis de Bitácoras. ……………………………………………………. 41

2.1.9

Técnicas De Auditoría Asistida Por Computadora……..………………….41

2.2

FUNDAMENTOS TEÓRICOS DE ANÁLISIS DE RIESGOS………………. 42

2.2.1

Metodologías de Evaluación de Información…………………………………42

2.2.2 Análisis de Riesgos…………………………………………………………… 42 2.2.3 MAGERIT……………………………………………………………………… 43 2.2.3.1 Los Objetivos de MAGERIT………………………………………………… 44 2.2.4 PRIMA como Metodología de Auditoría Informática………………………. 44 2.2.5 CCTA Risk Analysis and Method Management (CRAMM) ……………… 45 2.2.6 OCTAVE……………………………………………………………………….. 45 2.2.6.1 Métodos de OCTAVE………………………………………………………… 45 2.2.6.2 Características y Ventajas de los Métodos de OCTAVE…………………. 46 2.3

FUNDAMENTOS TEÓRICOS DEL PLAN DE CONTINGENCIA…………. 46

2.3.1

Plan de Contingencia………………………………………………………….. 46

2.4

FUNDAMENTOS TEÓRICOS DE SERVIDOR WEB……………………… 47

2.4.1 Servidor web…………………………………………………………………… 47 2.4.2 Funcionamiento de un Servidor Web……………………………………….. 48 2.4.3 Arquitectura……………………………………………………………………. 49 2.4.3.1 Capa Servidor………………………………………………………………… 50 2.4.3.2 Capa Soporte………………………………………………………………… 50 2.4.4 Tipos de Servidores Web…………………………………………………….. 51 2.4.4.1 Servidores Basados en Procesos…………………………………………. 51 2.4.4.2 Servidores Basados en Hilos (Threads) ……….………………………… 51 2.5

FUNDAMENTOS TEÓRICOS DE SERVIDOR PROXY………………….. 52

2.5.1 Servidor Proxy…………………………………………………………………. 52 2.5.2 Estructura de un Servidor Proxy…………………………………………….. 53

2.5.3 Funcionamiento de un Servidor Proxy…..………………………………….. 54 2.5.4 Características de un Servidor Proxy………………………………………. 54 2.5.5 Tipos de Servidores Proxy…………………………………………………… 55 2.5.5.1 Servidor Proxy de Aplicación……………………………………………

2.5.5.2 Servidor Proxy de Socks…………………………………………………

2.6

MONITOREO………………………………………………………………….. 55

2.7

¿QUÉ ES WI-FI? ………………………………………………………………56

2.8

SOFTWARE LIBRE…………………………………………………………….56

2.9

LINUX…………………………………………………………………………… 57

2.9.1 Características de Linux……………………………………………………… 58 2.9.2 Distribución de Linux………………………………………………………….. 61 2.9.2.1 Ubuntu………………………………………………………………………… 61 2.9.2.2 Redhat enterprise…………………………………………………………… 61 2.9.2.3 Fedora………………………………………………………………………… 62 2.9.2.4 Debian………………………………………………………………………… 62 2.9.2.5 Opensuse……………………………………………………………………. 62 2.9.2.6 SuSE Linux Enterprise……………………………………………………… 62 2.9.2.7 Slackware…………………………………………………………………….. 62 2.9.2.8 Gentoo…………………………………………………………………………63 2.9.2.9 Kubuntu………………………………………………………………………. 63 2.9.2.10

Mandriva………………………………………………………………….. 63

CAPÍTULO III

xii

3 METODOLOGÍA………………………………………………………………………64 3.1

AUDITORÍA INFORMÁTICA Y ANÁLISIS DE RIESGO. ………………….64

3.2

FASES DE LA AUDITORÍA A LOS SERVIDORES WEB Y PROXY……. 64

3.3

FASE DE PLANEACIÓN DEL TRABAJO……………………………………65

3.3.1

Plan de Auditoría…………………………………………………………….. 66

3.3.2

Análisis de Riesgo, Basados en la Metodología de MAGERIT………… 68

3.4

FASE DE EJECUCIÓN……………………………………………………… 70

3.4.1

Desarrollo de la Auditoría…………………………………………………… 70

3.4.2

Análisis de Riesgos Basados en la Metodología de MAGERIT………… 71

3.4.3

Actividades a Realizar en el Análisis de Riesgos………………………… 71

3.4.4

Activos………………………………………………………………………… 72

3.4.5

Clasificación de Activos……………………………………………………… 72

3.4.5.1 Fichas de Obtención de Datos……………………………………………… 73 3.4.5.2 Dependencias entre Activos………………………………………………… 82 3.4.5.2.1

Capa 1: El entorno…………………………………………………… 82

3.4.5.2.2

Capa 2: El Sistema de Información………………………………… 83

3.4.5.2.3

Capa 3: La información……………………………………………… 83

3.4.5.2.4

Capa 4: Las funciones de la Organización: Justifican la existencia del sistema de información. …………………………………………. 83

3.4.5.2.5

Capa 5: Otros Activos……………………………………………….. 83

3.4.5.3 Valoración de los Activos. …………………………………………………. 84 3.4.5.3.1 3.4.6

Dimensiones…………………………………………………………… 84

Amenazas……………………………………………………………………. 85

xiii

3.4.6.1 Identificación de las Amenazas…………………………………………… 85 3.4.6.2 Valoración de las Amenazas……………………………………………… 85 3.4.7

Impacto………………………………………………………………………. 85

3.4.7.1 Impacto acumulado………………………………………………………… 86 3.4.8

Gestión de Riesgo………………………………………………………….. 86

3.5

FASE DE RESULTADOS………………………………………………….. 86

3.5.1

Listado de Sugerencias……………………………………………………. 86

3.5.2

Informes de Auditoría………………………………………………………. 87

CAPÍTULO IV RESULTADOS Y DISCUSIÓN………………………………………………………. 88 4.1

FORMULACIÓN DE HIPÓTESIS DE TRABAJO………………………….. 88

4.1.1 Hipótesis General del Trabajo………………………………………………. 88 4.1.2 Hipótesis Específicas del Trabajo…………………………………………… 88 4.1.3 Tipo de Investigación…………………………………………………………. 88 4.1.4 Universo y Muestra……………………………………………………………. 89 4.1.4.1 Universo……………………………………………………………………….. 89 4.1.4.2 Muestra………………………………………………………………………… 90 4.1.5 Tipo y Método de Muestreo………………………………………………….. 90 4.1.5.1 Tipo de Muestreo……………………………………………………………… 90 4.1.5.2 Método de Muestreo…………………………………………………………… 90 4.1.6 Técnicas de Recolección de Datos…………………………………………. 90 4.1.6.1 La entrevista…………………………………………………………………… 90

xiv

4.1.7 Diseño de instrumento para Recolección de Datos……………………….. 91 4.1.7.1 Lista de verificación o Checklist……………………………………………… 91 4.1.8 Checklist…………………………………………………………………………92 4.1.9 Forma de análisis e Interpretación de los Resultados…………………….92 4.1.10 Estadísticas Utilizadas para el Análisis de las Hipótesis…………………..92 4.2

PLAN DE AUDITORÍA DE LOS SERVIDORES WEB Y PROXY…………93

4.2.1 Estudio Inicial…………………………………………………………………. .93 4.2.1.1 Origen de la Auditoría………………………………….……………………. 93 4.2.1.2 Objetivo General……………………………………………………………… 93 4.2.1.3 Objetivos Específicos. ……………………………………………………… 93 4.2.1.4 Enfoque a Utilizar…………………………………………………………… 94 4.3

CONOCIMIENTO INICIAL…………………………………………………… 95

4.3.1 Antecedentes………………………………………………………………….. 95 4.3.1.1 Pontificia Universidad Católica Del Ecuador………………………………. 95 4.3.1.2 Historia de la Pontificia Universidad Católica del Ecuador Sede Santo Domingo.……………………………………………………………………… 95 4.3.1.3 Misión………………………………………………………………………… 96 4.3.1.4 Visión………………………………………………………………………… 96 4.3.1.5 Valores Institucionales……………………………………………………… 96 4.3.1.6 Prorectorado………………………………………………………………… 97 4.3.1.7 Dirección Académica………………………………………………………… 97 4.3.1.8 Escuelas……………………………………………………………………….. 98 4.3.1.9 Centros de Investigación…………………………………………………….. 100

4.3.1.10

Organigrama Institucional……………………………………………… 101

4.3.1.11

Mapa del Campus Universitario………………………………………… 103

4.3.1.12

Centro de Investigación de las Tecnologías de la Información y Comunicación. (Organigrama)…………………………………………. 104

4.3.2 Área de Redes………………………………………………………………… 105 4.3.2.1 Situación Actual………………………………………………………………. 105 4.3.2.2 Funciones Generales Del Área De Redes………………………………… 106 4.3.2.3 Actividades……………………………………………………………………. 106 4.3.2.4 Recursos Humanos………………………..…………………………………106 4.3.2.5 FODA…………………………………………………………………………… 107 4.3.2.6 Inventario Servidor Web…………………………………………………

109

4.3.2.7 Inventario Servidor Proxy…………………………………………………… 109 4.3.2.8 Inventario de PC del Personal del Área de Redes……………………… 109 4.4

PLAN DE AUDITORÍA………………………………………………………… 110

4.4.1 Funciones……………………………………………………………………… 110 4.4.2 Desarrollo de la Auditoría…………………………………………………….. 110 4.4.3 Auditoría de la Dirección……………………………………………………… 111 4.4.3.1 Alcance de la Auditoría……………………………………………………… 111 4.4.3.2 Objetivos de la Auditoría…………………………………………………… 111 4.4.3.3 Resultados…………………………………………………………………….. 111 4.4.4 Auditoría del Mantenimiento…………………………………………………. 114 4.4.4.1 Alcance de La Auditoría……………………………………………………. 114 4.4.4.2 Objetivos de la Auditoría…………………………………………………… 114

xvi

4.4.4.3 Referencia Legal……………………………………………………………. 114 4.4.5 Auditoría de la Seguridad……………………………………………………. 117 4.4.5.1 Alcance de la Auditoría………………………………………………………. 117 4.4.5.1.1

Objetivos de la Auditoría………………………………………………… 117

4.4.5.1.2

Resultados………………………………………………………………… 117

4.4.5.2

Auditoría Lógica………………………………………………………….. 118

4.4.5.3

Auditoría Física…………………………………………………………… 124

4.4.5.4

Auditoría al Medio Ambiente. …………………………………………… 126

4.4.5.4.1

Alcance de la Auditoría. ………………………………………………… 126

4.4.5.4.2

Objetivos de la Auditoría. ……………………………………………….. 127

4.4.5.4.3

Resultados………………………………………………………………… 127

4.4.5.5 Políticas de Seguridad de la Información………………………………… 129 4.4.5.5.1

Alcance……………………………………………………………………. 129

4.4.5.5.2

Objetivo……………………………………………………………………. 129

4.4.5.5.3

Resultados……………………………………………………………….. 129

4.4.6 Revisión Lógica de Configuraciones de los Servidores Web y Proxy…… 137 4.4.6.1 Configuración Proxy PUCE SD……………………………………………

137

4.4.6.2 Configuración Servidor Web………………………………………………. 137 4.4.7 Observación de la Sala de Equipos…………………………………………. 139 4.4.7.1 Observaciones realizadas en el año 2009 a la Sala de Control……….. 139 4.4.7.2 Observaciones realizadas en el año 2010……………………………….. 141 4.5

ANÁLISIS DE RIESGO MEDIANTE LA METODOLOGÍA MAGERIT UTILIZANDO LA HERRAMIENTA PILAR BASIC………………………… 143

xvii

4.5.1 Proyecto………………………………………………………………………… 143 4.5.2 Datos del Proyecto…………………………………………………………… 144 4.5.3 Análisis de Riesgos………………………………………………………….. 145 4.5.3.1 Activos……………………………………………………………………….. 145 4.5.3.2 Identificación Activos………………………………………………………… 145 4.5.3.3 Clases de Activos…………………………………………………………… 146 4.5.3.4 Valoración de los Dominios……………………………………………….. 147 4.5.3.5 Dependencias………………………………………………………………… 149 4.5.3.6 Valorización de Activos…………………………………………………….. 149 4.5.4 Amenazas………………………………………………………………………. 151 4.5.4.1 Vulnerabilidad de los Dominios……………………………………………... 151 4.5.4.2 Identificación………………………………………………………………….. 152 4.5.4.3 Valorización………………………………………………………………….. 153 4.5.5 Impacto y Riesgo……………………………………………………………… 154 4.5.5.1 Impacto Acumulado…………………………………………………………… 154 4.5.5.2 Riesgo Acumulado………………………………………………………….. 155 4.6

TRATAMIENTO DE LOS RIESGOS………………………………………… 156

4.6.1 Salvaguardas…………………………………………………………………… 156 4.6.1.1 Identificación de Salvaguardas……………………………………………… 157 4.6.1.2 Valorización…………………………………………………………………… 158 4.6.1.3 Impacto y Riesgos Residuales………………………………………………158 4.6.1.4 Tabla de Impacto y Riesgo………………………………………………….158

xviii

4.6.1.5 Informe………………………………………………………………………… 160 4.7

LISTADO DE SUGERENCIAS……………………………………………….. 160

4.8

INFORMES DE AUDITORÍAS……………………………………………….. 167

4.8.1 Informe Específico De Auditoría De Dirección……………………………… 167 4.8.2 Informe Específico de Auditoría de Seguridad……………………………… 168 4.8.3 Informe Específico de Auditoría de Mantenimiento………………………… 169 4.9

INFORME FINAL DE AUDITORÍA A LOS SERVIDORES WEB Y PROXY…………………………………………………………………………. 170

4.10

ANÁLISIS DE IMPACTO……………………………………………………… 175

4.10.1 Análisis de Impacto Tecnológico…………………………………………….. 176 4.10.2 Análisis de Impacto Ambiental……………………………………………… 177 4.10.3 Análisis de Impacto Social…………………………………………………… 178 4.10.4 Análisis de Impacto Económico……………………………………………… 179 4.10.5 Análisis Impacto General…………………………………………………….. 180 CONCLUSIONES Y RECOMENDACIONES………………………………………. 181 BIBLIOGRAFÍA…………………………………………………………………………186 GLOSARIO………………………………………………………………………………188 ANEXOS…………………………………………………………………………………195

xix

LISTA DE TABLAS

2 Pág. Tabla 1: Datos Cuentas de usuarios de internet en Ecuador año 2008 ...................27 Tabla 2: Datos Cuentas de usuarios de internet por provincia, septiembre 2009.....27 Tabla 3: Datos Cuentas de usuarios de internet por provincia septiembre 2008 .....28 Tabla 4: Datos Cuentas de usuarios de internet por provincia septiembre 2009 .....29 Tabla 5: Universo y Muestra ...................................................................................90 Tabla 6: Recursos Humanos del Área de Redes ................................................... 107 Tabla 7: Recursos Informáticos del Área de Redes ............................................... 107 Tabla 8: Valores de Riesgo de la Auditoría de Dirección ...................................... 112 Tabla 9: Valores de Riesgo de la Auditoría de Mantenimiento .............................. 115 Tabla 10: Valores de Riesgo de la Auditoría Seguridad Lógica ............................ 118 Tabla 11: Valores de Riesgo de la Auditoría Seguridad Física .............................. 124 Tabla 12: Valores de Riesgo de la Auditoría Medio Ambiente ............................... 128 Tabla 13: Políticas de Seguridad de la Información .............................................. 130 Tabla 14: Observaciones Realizadas en el año 2009 ........................................... 141 Tabla 15: Observaciones Realizadas en el año 2010 ........................................... 143 Tabla 16: Dimensiones del Dominio ..................................................................... 148 Tabla 17: Dimensiones de los Activos .................................................................. 150

Tabla 18: Probabilidad de Amenazas ................................................................... 154 Tabla 19: Valor de Probabilidad de las Dimensiones de un activo ........................ 154 Tabla 20: Siglas del Riesgo Acumulado ............................................................... 159 Tabla 21: Anรกlisis de Impacto Niveles .................................................................. 175

xxi

LISTA DE FIGURAS

Pág. Figura 1: Cuentas de Internet por provincias en porcentaje Diciembre año 2009 ....28 Figura 2: Funcionamiento del Servidor Web ...........................................................48 Figura 3: Arquitectura Servidor Web ......................................................................49 Figura 4: Estructura Servidor Proxy .......................................................................53 Figura 5: Fases de la Auditoría de los Servidores Web y Proxy ..............................65 Figura 6: Centros de Investigación de la PUCE SD ................................................99 Figura 7: Organigrama Estructural PUCE SD ...................................................... 102 Figura 8: Mapa del Campus Universitario ............................................................. 103 Figura 9: Organigrama Estructural del CITIC ........................................................ 104 Figura 10: Ubicación del CITIC ............................................................................. 105

xxii

LISTA DE FICHAS

4 Pรกg. Ficha 1: [D] Datos/Informaciรณn .............................................................................74 Ficha 2: [S] Servicios .............................................................................................75 Ficha 3: [SW] Aplicaciones ...................................................................................76 Ficha 4: [HW] Equipamiento Informรกtico (Hardware) .............................................77 Ficha 5: [COM] Redes de Comunicaciรณn ................................................................78 Ficha 6: [SI] Soporte de Informaciรณn ......................................................................79 Ficha 7: [AUX] Equipamiento Auxiliar ....................................................................80 Ficha 8: [L] Instalaciones .........................................................................................81 Ficha 9: [P] Personal ..............................................................................................82

xxiii

LISTA DE GRÁFICAS

Pág. Gráfica1: Valoración de Riesgo de la Configuración del Servidor Web ................. 112 Gráfica 2: Valoración de Riesgo de las Políticas y Procedimientos ....................... 113 Gráfica 3: Valoración de Riesgo del Planeamiento y Capacidad .......................... 113 Gráfica 4: Valoración de Riesgo de la Recuperación y Mantenimiento lógico ....... 115 Gráfica 5: Valoración de Riesgo de la Recuperación y Mantenimiento físico ........ 116 Gráfica 6: Valoración de Riesgo de Desastres y planeamiento de la continuidad del área de los Servidores .................................................................... 116 Gráfica 7: Valoración de Riesgo a los Registros y Reportes de eventos Web ....... 119 Gráfica 8: Valores de Riesgo de los Estándares scripts y contenidos del Servidor Web...................................................................................................... 119 Gráfica 9: Valores de Riesgo estándares y contenidos de los sitios del Servidor Web ..................................................................................................... 120 Gráfica 10: Valores de Riesgo de la vigilancia y gestión del Servidor Web.. ........ 120 Gráfica 11: Valores de Riesgo de la vigilancia y gestión de sitios del Servidor Web ................................................................................................... 121 Gráfica 12: Valores de Riesgo del firewall del servidor web ................................. 121 Gráfica 13: Valores de Riesgo del control de cambios del servidor web .............. 122 Gráfica 14: Valores de Riesgo del control de cambios de los sitios web ............... 122 Gráfica 15: Valores de Riesgo del acceso remoto al Servidor Web....................... 123

xxiv

Gráfica 16: Valorización de Riesgo en Autentificación, usuarios y controles de acceso a los sitios del Servidor Web .................................................. 123 Gráfica 17: Valores de Riesgo del perímetro de seguridad de los Servidores Web y Proxy ...................................................................................... 124 Gráfica 18: Valores de Riesgo para Controles de Ingreso Físico .......................... 125 Gráfica 19: Valores de Riesgo del control de amenazas externas e internas ........ 125 Gráfica 20: Valorización de Riesgo la seguridad del cableado ........................... 126 Gráfica 21: Valorización de Riesgo en la seguridad en el Área de los servidores . 128 Gráfica 22: Valorización de Riesgo en la Prevención Ante los Desastres Naturales ............................................................................................ 129 Gráfica 23: Valorización de Riesgo en las Políticas de Seguridad ........................ 130 Gráfica 24: Valorización de Riesgo de la seguridad en la Infraestructura del área de servidores. .................................................................................... 131 Gráfica 25: Valorización de Riesgo de la seguridad del personal. ........................ 131 Gráfica 26: Valorización de Riesgo en Capacitación Usuarios ............................ 132 Gráfica 27: Valorización de Riesgo en Respuesta al Malfuncionamiento de los Servidores Web y Proxy .................................................................... 132 Gráfica 28: Valorización de Riesgo en la seguridad en el Área de los Servidores ........................................................................................................... 133 Gráfica 29: Valorización de Riesgo en los controles generales ............................ 133 Gráfica 30: Valorización de Riesgo en la Aceptación y

Planificación de

Sistemas. .......................................................................................... 134 Gráfica 31: Valorización de Riesgo en la Protección Contra software malicioso .. 134

xxv

Gráfica 32: Valorización de Riesgo en Gestión Interna ........................................ 135 Gráfica 33: Valorización de Riesgo en los Controladores de la red ...................... 135 Gráfica 34: Valorización de Riesgo en el manejo de Información con seguridad .. 136 Gráfica 35: Valorización de Eficiencia en la administración de acceso a usuarios. ........................................................................................................... 136 Gráfica 36: Valorización de Riesgos en el Desarrollo y Mantenimiento de Sistemas

de aplicación en los servidores. ..................................... 137

Gráfica 37: Servidor Apache ................................................................................ 138 Gráfica 38: Fuentes de Información ..................................................................... 144 Gráfica 39: Identificación de los Activos ............................................................... 145 Gráfica 40: Clases de Activos .............................................................................. 147 Gráfica 41: Valoración de Dominios ..................................................................... 148 Gráfica 42: Dependencias de Activos .................................................................. 149 Gráfica 43: Valoración de Activos ........................................................................ 150 Gráfica 44: Vulnerabilidad de los Dominios .......................................................... 151 Gráfica 45: Identificación de las Amenazas .......................................................... 152 Gráfica 46: Valoración de Amenazas .................................................................. 153 Gráfica 47: Impacto .............................................................................................. 155 Gráfica 48: Riesgo Acumulado.............................................................................. 156 Gráfica 49: Identificación de Salvaguardas .......................................................... 157 Gráfica 50: Valorización de Salvaguardas ............................................................ 158 Gráfica 51: Tabla de Impacto y Riesgo Acumulados ............................................. 159 Gráfica 52: Informe Mediante Barras Informe Valor/Activo ................................... 160

1. CAPÍTULO I 2. ANTECEDENTES Y JUSTIFICACIÓN

Desde que el uso de los sistemas de información, se propagó a nivel mundial ha alcanzado importantes ámbitos de la vida humana, tales como: la comunicación, el entretenimiento, la seguridad entre otros. Todo esto debido a los acelerados y permanentes cambios tecnológicos y de las tecnologías de información. Hoy en día existen procesos tales como: la transferencia de datos, controles de seguridad entre otros, que pueden ser interferidos de forma accidental o intencional, produciendo pérdidas económicas o de información causando daño inclusive de forma permanente es por ello que las funciones y roles de las estructuras tecnológicas y sus seguridades son el pilar fundamental dentro de los sistemas de información, convirtiéndose en temas culturales para personas que incursionan en el mundo de la informática. Uno de sus logros es la seguridad informática en el control interno y el desempeño de los equipos desde el punto de vista de hardware/software con el diseño y aplicación de normas, procedimientos, métodos, técnicas, destinados a construir un sistemas más seguro, es por ello que éstos han ido incrementando de forma exponencial con respecto a su cambio y constante actualización. Por otro lado el uso y desarrollo del Internet alrededor del mundo y de las Tecnologías de Información y Comunicación en general, ha dado lugar a la creación de la Sociedad de Información y Conocimiento, así como también, a que se desarrollen un conjunto de herramientas que permiten a las personas su desarrollo en el ámbito personal y profesional. Dentro del contexto empresarial para obtener el máximo rendimiento y un servicio de calidad, de hardware/software, hay que monitorear los sistemas y dar sus respectivas actualizaciones y mantenimiento. Debido a esto las empresas realizan auditorías informáticas enfocadas a todo tipo de servicios y equipamiento especialmente a servidores, que son el núcleo de toda empresa automatizada para lo cual se debe respaldar con un proceso formal y estandarizado que asegure su funcionamiento continuo para esto se efectúa sus tareas y actividades mediante una metodología previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la institución.

En el Ecuador, la primera institución en proveer acceso al Internet fue Ecuanex, un nodo de Internet establecido en 1991 por la Corporación Interinstitucional de Comunicación Electrónica, Intercom. Desde aquel momento el Internet en Ecuador ha tenido un crecimiento sostenido, según lo indican las cifras publicadas por la Superintendencia de Telecomunicaciones desde el año 1996 en donde no se registraban usuarios de Internet. Resumen Anual de Acceso al Internet 2008

Mes

Cuentas Conmutadas

Cuentas Dedicadas totales

Cuentas totales

Usuarios Conmutados

Usuarios Dedicados totales

Usuarios totales

Junio

176528

113746

290274

690532

501428

1191960

Septiembre

173681

116913

290594

679144

650569

1329713

Tabla 1. Datos de cuentas de usuarios de internet en Ecuador año 20081

Tabla 2. Datos de cuentas y usuarios de internet por provincia, septiembre 20092 1

http://www.supertel.gov.ec/ http://www.supertel.gob.ec/index.php/Ultimas-noticias/datos-de-cuentas-y-usuarios-de-internet-por-provincia-hasta-juniode-2010.html 2

Figura 1. Cuentas de internet por provincias en porcentaje. Diciembre 20093 En nuestra provincia no existe un registro exacto de informaciรณn sobre el acceso de cuantos usuarios se conectan a internet, pero si una estimaciรณn que da una visiรณn global de acuerdo al siguiente cuadro.

DATOS DE CUENTAS Y USUARIOS DE INTERNET POR PROVINCIA

MES:

SEPTIEMBRE

Aร O:

2008

No.

PROVINCIA

Cuentas Conmutadas

Cuentas Dedicadas

Cuentas Totales

Estimado de Usuarios Conmutados

Estimado de Usuarios Dedicados

Estimado de usuarios totales

Santo Domingo de los Tsรกchilas

655

967

1622

1726

3633

5359

***No especificado

40833

3094

43927

163332

3094

166426

Total general

173681

116913

290594

679144

650569

1329713

Tabla 3. Datos de cuentas y usuarios de internet por provincia, septiembre 20084.

http://www.supertel.gob.ec/index.php/Ultimas-noticias/datos-de-cuentas-y-usuarios-de-internet-por-provincia-hasta-junio-de-2010.html http://www.supertel.gob.ec/index.php/Ultimas-noticias/datos-de-cuentas-y-usuarios-de-internet-por-provincia-hasta-junio-de-2010.html

DATOS DE CUENTAS Y USUARIOS DE INTERNET POR PROVINCIA

No.

MES:

DICIEMBRE

AÑO:

2009

PROVINCIA

Cuentas

Conmutadas

Dedicadas

Totales

Santo Domingo de los 246

2 5552

5798

Estimado de

Usuarios

usuarios

Conmutados

Dedicados

totales

984

26474

27458

Tsáchilas

Tabla 4. Datos de cuentas y usuarios de internet por provincia, Diciembre 2009.5 Dado este incremento de internet y el avance de la tecnología de la información en nuestro país muchas empresas, instituciones públicas y privadas se han visto en la necesidad de adquirir servicios de seguridad, desempeño y control de todos los equipos informáticos que formen parte de la institución. En el Ecuador la institución encargada de fiscalizar,

y examinar el control interno y

administración de los recursos públicos es la Contraloría General del Estado. Por lo que anualmente desarrolla un programa de control que determina la ejecución de varios procesos de auditoría. Dentro de las auditorías que ha realizado esta institución al área informática es la Revisión: Software de Facturación Medidores Electrónicos a la Empresa Eléctrica

Cotopaxi

mediante

examen

AUDITORÍA

TÉCNICA

INFORMATICA durante el periodo 02/01/2005 31/12/2005. Entre las instituciones públicas que han optado por realizar auditorías informáticas para mejorar sus servicios y comprobar su funcionamiento se destaca el INEC, el cual considera a la auditoría informática y su informe AI como una actividad dentro de la unidad de Administración de la Plataforma Tecnológica. Otra institución pública que hace uso de la auditoría informática es el Ministerio de Inclusión Económica y Social que a través de

Dirección De Gestión Tecnológica

http://www.inec.gov.ec/web/guest/institucion/direcciones/dir_des_tec_est/adm_pla_tec

dentro de su estructura interna, establece un Plan de Auditoría informática y su respectivos informes Auditoría Interna6. El SRI (Servicio de Rentas Internas) también realiza diferentes tipos de auditorías internas y externas, entre ellas destacamos la Auditoría de Gestión al Sistema Informático de los Módulos de Recursos Humanos en el periodo: 1 de enero al 31 de agosto de 2005 y aprobaba por la Contraloría General del Estado mediante oficio No. 044570 - DCAI, del 29 de septiembre de 20067. Frente al avance en la tecnología de la información y el crecimiento económico que ha tenido nuestra provincia, diferentes empresas e instituciones se han visto en la necesidad de realizar auditorías de todo tipo como son: Financieras, contables, internas, externas y operacionales entre otras. Entre las instituciones que realizan las auditorías con regularidad se encuentra: 

El Gobierno Provincial de Santo Domingo de los Tsáchilas, el mismo que cuenta con la dirección de Auditoría Interna cuya misión es Realizar exámenes y evaluaciones a las operaciones y actividades del Gobierno Provincial de Santo Domingo de los Tsáchilas a través de Auditorías y Exámenes Especiales8, con sujeción a las disposiciones legales, normas nacionales e internacionales y proporcionar asesoría a los directivos y servidores de la entidad, en el ámbito de su competencia.



Otra institución en nuestra provincia que es examinada a través de auditorías es CORPECUADOR, algunos de sus informes de auditorías realizadas por la contraloría general del estado y la unidad de auditoría interna son: DIAPA-011-2007-Informe de Obras. Delegación Santo Domingo. Por el período 23 de abril del 2005 al 16 de febrero del 2007. DIAPA-006-2008. Informe del examen especial de ingeniería a los procesos precontractuales y contractuales relacionados con el proyecto de la construcción de la línea de conducción alterna de agua potable desde la planta La Estancilla hasta el tanque La Atravesada, Provincia de Manabí, a cargo de Corpecuador, por

http://www.mies.gob.ec/index.php/subsecretarias/subsecretaria-general/auditoría http://www.contraloria.gob.ec/consultas.asp?id_SubSeccion=58 http://www.santodomingo.gob.ec/index.php?option=com_content&view=article&id=17:auditoríainterna&catid=6:dependenci as&Itemid=14 7 8

el periodo comprendido desde 12 de junio del 2005 y enero 11 del 20079. Debido al continuo desarrollo de la tecnologías de la información a nivel mundial, Nacional y provincial, la Pontificia Universidad Católica del Ecuador Sede Santo Domingo de los Tsáchilas, ha visto la necesidad de crear un departamento encargado de la Investigación de las Tecnologías de la Información y la Comunicación (CITIC) en el año 2007, dentro de este departamento se administran los equipos de cómputo, software, redes y tecnologías informáticas. PUCE SD brinda a sus estudiantes y comunidad universitaria servicios como: Internet, portal web, laboratorios de cómputo y zona WIFI, ya que sirven de herramientas fundamentales en el proceso de enseñanza y aprendizaje de los docentes investigadores hacia los estudiantes y viceversa dentro de la comunidad Universitaria. En la PUCE SD se han realizado auditorías de diferentes tipos aplicadas a las áreas administrativas y las áreas de la tecnología pero ninguna en forma específica a los servidores web y proxy Además en las dependencias de la PUCE SD como: Departamento Financiero, Secretarias, Centros de Investigación (CITIC, CADES, etc.), oficinas de las Autoridades; utilizando el internet como herramienta para realizar algunas de sus actividades diarias, para lo cual necesitan una conexión óptima. La PUCE SD para distribuir el servicio de acceso a internet dentro del Campus Universitario cuenta con un Servidor Proxy y un cableado estructurado creando una red segura y confiable que permite la comunicación dentro de sus instalaciones. El portal web de la PUCE SD permite el enlace con el mundo para ampliar sus relaciones y comunicación desde un Servidor Web el cual conecta la red interna de la PUCE SD hacia el internet. Debido a diferentes circunstancias, en algunas ocasiones se ha visto que las conexiones se vuelven lentas con lo que perjudican a los diferentes departamentos y personas que laboran en ellos como

también a los estudiantes que

hacen uso de este servicio, además se ha observado que el departamento encargado de la administración de los servidores tiene a su cargo múltiples tareas lo que no les permite realizar un análisis minucioso para determinar los posibles riesgos existentes en los Servidores Web y Proxy y el impacto que estos tienen en el desempeño de los mismos. 9

http://www.corpecuador.gov.ec/descarga/auditorías.pdf

La presente disertación de grado plantea como solución realizar un proceso de auditoría informática enfocada al desempeño de los Servidores Web y Proxy la PUCE SD del departamento de CITIC área de Redes, para delinear estrategias de mejora de servicios. Para esto emplearemos metodología de auditoría informática y marcos de referencia de estandarización internacional NTE INE-ISO/IEC,

metodología Magerit y se hará uso

herramientas de auditoría como el Pilar Basic. La información recogida durante el proceso de auditoría se utilizará posteriormente para determinar estrategias y plantear soluciones, por lo tanto proveer un mejor servicio a la comunidad universitaria. La auditoría es un proyecto realizado en el marco de los requerimientos del proceso investigativo final de graduación de nuestra carrera de Ingeniería en Sistemas y Computación de la PUCE SD, de la cual se obtendrá: 

Mejora en el servició de acceso a internet en los laboratorios de cómputo y la zona WI-FI que da la universidad. Esto motivaría a los estudiantes y docentes a utilizar frecuentemente estas tecnologías de información para su proceso de aprendizaje.



Permitirá el incremento de la Seguridad ya que al finalizar la auditoría a los servidores Web y Proxy de la PUCE SD, se podrá elaborar un informe de auditoría el cual se detallan sugerencias y recomendaciones, que incrementará las seguridades del servidor web y proxy.

Debido a estos resultados esperados serán beneficiados: 

Los estudiantes de la PUCE SD que hacen uso del servicio de internet tanto en los laboratorios como en la zona WIFI del campus universitario.



El personal administrativo y docente de la PUCE SD que hacen uso de internet para realizar algunas de sus tareas diarias.



La comunidad de la PUCE SD al tener un servicio de mejor calidad.

El impacto que tendrá el proyecto es educativo beneficiando a la comunidad universitaria de la PUCE SD. El presente proyecto es realizado en la PUCE SD, aplicado en el CITIC dentro el Área de

Redes, por lo tanto el grupo encargado de ejecutarlo, está integrado por: Mery Chimbo y Wilian Redrobán estudiantes Egresados de la Escuela de Sistemas y Computación de la PUCE SD, como ejecutores y responsables. Ing. Susana Caraguay directora del proyecto.

1.1 OBJETIVO GENERAL DEL PROYECTO Auditar el desempeño de los Servidores Web y Proxy de la PUCE SD

1.2 OBJETIVOS ESPECÍFICOS DEL PROYECTO Realizar un plan de auditoría de los Servidores Web y Proxy de la PUCE SD basado en estándares internacionales. Ejecutar un proceso de auditoría a los Servidores Web y Proxy de la PUCE SD. Analizar la información obtenida para determinar los riesgos que están expuestos los activos de la PUCE SD. Establecer una listado de sugerencias para optimizar el desempeño de los servidores. Diseñar un informe final basado en los resultados arrojados por la auditoría.

1.3 LUGAR DE EJECUCIÓN El proyecto se lo llevará a cabo en Ecuador en la provincia Santo Domingo de los Tsáchilas en la ciudad de Santo Domingo en la PUCE SD.

CAPÍTULO II

MARCO TEÓRICO En el presente capítulo se dará a conocer los diferentes aspectos teóricos relacionados a la auditoría enfocada a los servidores Web y Proxy de la PUCE SD.

2.1

FUNDAMENTOS TEÓRICOS DE AUDITORÍA INFORMÁTICA

2.1.1 Auditoría Un proceso sistemático para obtener y evaluar de manera objetiva, las evidencias relacionadas con informes sobre actividades económicas y otras situaciones que tienen una relación directa con las actividades que se desarrollan en una entidad pública o privada10. El fin del proceso consiste en determinar el grado de precisión del contenido informativo, con las evidencias que le dieron origen, así como determinar si dichos informes se han elaborado observando principios establecidos para el caso11.

2.1.2 Tipos de Auditoría12 Dentro de la auditoría existen diversos tipos de los cuales se destacan las siguientes auditorías:  Auditoría Financiera.- Es un proceso cuyo resultado final es la emisión de un informe, en el que el auditor da a conocer su opinión sobre la situación financiera de la empresa o institución, este proceso solo es posible llevarlo a cabo a través de un elemento llamado evidencia de auditoría, ya que el auditor hace su trabajo posterior a las operaciones de la empresa o institución.

http://www.monografias.com/trabajos28/auditoría-calidad/auditoría-calidad.shtml http://www.scribd.com/doc/23173195/Auditoría 12 Auditoría Informática, Gonzalo Alonso Rivas pág. 19 11

•

Auditoría Organizativa.- Es el análisis de la adecuación de los procedimientos establecidos y de las funciones distribuidas físicamente, según las necesidades y problemas de la empresa o institución. Cuando diferentes tareas técnicas son ejecutadas por partes diferentes, parece obvio la necesidad de establecer una delimitación para cada tarea y ejercer un control riguroso de su acabado. Igualmente importante es poder definir bien las responsabilidades, dadas las consecuencias que cualquier dificultad parcial puede ejercer sobre el normal desarrollo de un proyecto.

•

Auditoría de Gestión.- Tiene como misión conocer si las principales decisiones de gestión en la empresa o institución, han sido tomadas de una

forma

consistente.

Entre otros aspectos estudia si las informaciones existentes son suficientes y óptimas para apoyar la decisión y si los procesos de estudio son razonables. •

Auditoría

Informática.-

Conjunto

técnicas,

actividades

procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la

planificación, control, eficacia, seguridad y

adecuación del servicio informático en la empresa o institución.

2.1.3 Auditoría Informática La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. “Disciplina incluida en el campo de la auditoría que se refiere al análisis de las condiciones de una instalación informática por un auditor externo e independiente que realiza un dictamen sobre diferentes aspectos”13. “Auditoría en Informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la

Diccionario de Computación y electrónica, Rafael E. Gonzales G, México 2004

información”14. Con el fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones Conjunto de procedimientos y técnicas para evaluar y controlar, total o parcialmente, un sistema informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.

2.1.4 Síntomas de Necesidad de una Auditoría Informática15 Las empresas acuden a las auditorías externas cuando existen síntomas perceptibles de debilidad. Estos síntomas pueden agruparse en clases:  Síntomas de Mala Imagen e Insatisfacción de los Usuarios  Síntomas de Inseguridad: Evaluación de Nivel de Riesgos

2.1.4.1 Síntomas de Mala Imagen e Insatisfacción de los Usuarios Entre estos síntomas se encuentran:  No se atienden las peticiones de cambios de los usuarios. Ejemplos: o Cambios de software en los terminales de usuario o Refrescamiento de paneles o Variación de los ficheros que deben ponerse diariamente a su disposición, etc.

14 15

Auditoría en Informática, José A. Echenique G. México, Segunda Edición, 2001, Pág. 18 http://www.iasrl.com.ar/index.php?p=auditoría

 No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. Consecuencia: o El

usuario

percibe

que

está

abandonado

desatendido

permanentemente.  No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de aplicaciones críticas y sensibles.

2.1.4.2 Síntomas de Inseguridad: Evaluación de Nivel de Riesgos  Seguridad Lógica.  Seguridad Física.  Confidencialidad  Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante alternativas diversas.

2.1.5 Tipos de Auditoría Informática16 Dentro de la auditoría informática destacan los siguientes tipos (entre otros): •

Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.

•

Auditoría

legal

del

Reglamento

Protección

Datos:

Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento

de la Ley Orgánica de Protección de Datos. 16

http://jrvargas.files.wordpress.com/2009/03/conceptos-basicos-de-auditoría-informatica.pdf

desarrollo

•

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.

•

Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

•

Auditoría de la seguridad:

Referidos a datos e información

verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. •

Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de ésta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

•

Auditoría

seguridad

lógica:

Comprende

los

métodos

autenticación de los sistemas de información. •

Auditoría de las comunicaciones. Se refiere a la auditoría de los procesos de autenticación en los sistemas de comunicación.

•

Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

El desarrollo de una auditoría se basa en la aplicación de normas, técnicas y procedimientos de auditoría. Para nuestro caso, estudiaremos aquellas enfocadas a la auditoría en informática.

2.1.6 Características de la Auditoría Informática La información de la institución o empresa, es siempre importante y se ha convertido en un Activo Real (estos pueden ser productos o servicios de dependiendo de cada organización) de la misma, como sus stocks o materias. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y

particular: a ello se debe la existencia de la auditoría de seguridad informática en general, o a la auditoría de seguridad de alguna de sus áreas, como pudieran ser desarrollo o técnica de sistemas. Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la auditoría de organización informática. Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoría del área de desarrollo de proyectos de la informática de una empresa, es porque en ese desarrollo existen, además de ineficiencias, debilidades de organización, inversiones, seguridad, o alguna mezcla de ellas.

2.1.7 Normas de la Auditoría Informática Las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde como resultado de este trabajo. Las normas de auditoría se clasifican en: • Normas personales. • Normas de ejecución del trabajo. • Normas de información.

2.1.7.1 Normas Personales Son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un sus conocimientos profesionales así como en un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus sugerencias.

2.1.7.2 Normas de Ejecución del Trabajo Son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría.

2.1.7.3 Normas de Información Son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, también es conocido como informe o dictamen.

2.1.8 Herramientas de Auditoría 2.1.8.1 Técnicas Se define a las técnicas de auditoría como "los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias"17. Estas varían de acuerdo al ambiente a ser auditado.

2.1.8.2 Procedimientos Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinión del auditor dentro de una auditoría, se les dan el nombre de procedimientos de auditoría en informática. La combinación de dos o más procedimientos, derivan en programas de auditoría, y al conjunto de programas de auditoría se le denomina plan de auditoría, el cual servirá al auditor para llevar una estrategia y organización de la propia auditoría.

2.1.8.3 Análisis de Datos Dentro de este trabajo, desarrollaremos diversos tipos de técnicas y procedimientos de auditoría, de los cuales destacan el análisis de datos, ya que para las organizaciones el conjunto de datos o información son de tal importancia que es necesario verificarlos y comprobarlos, así también tiene la misma importancia para el auditar ya que debe de utilizar diversas técnicas para el análisis de datos

Yanel Blanco L. Normas y Procedimientos de la Auditoría Integral, Primera Edición Bogotá, 2004, Pág. 154

2.1.8.4 Monitoreo Dentro de las organizaciones todos los procesos necesitan ser evaluados a través del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el ámbito de esta técnica.

2.1.8.5 Análisis de Bitácoras. Los sistemas de cómputo se encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen más complejos, el número de ataques también aumenta, por lo anterior es útil la información contenida en las bitácoras de los sistemas de cómputo así como mostrar algunas herramientas que ayuden a automatizar el proceso de análisis de las mismas. El crecimiento de Internet enfatiza esta problemática, los sistemas de cómputo generan una gran cantidad de información, conocidas como bitácoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, así como para el auditor. Una bitácora puede registrar mucha información acerca de eventos relacionados con el sistema que la genera los cuales pueden ser: •

Fecha y hora.

•

Direcciones IP origen y destino.

•

Dirección IP que genera la bitácora.

•

Usuarios

•

Errores

2.1.9 Técnicas De Auditoría Asistida Por Computadora La utilización de equipos de computación en las organizaciones, ha tenido una

repercusión importante en el trabajo del auditor, no sólo en lo que se refiere a los sistemas de información, sino también al uso de las computadoras en la auditoría. Al llevar a cabo auditorías donde existen sistemas computarizados, el auditor se enfrenta a muchos problemas de muy diversa condición, uno de ellos, es la revisión de los procedimientos administrativos de control interno establecidos en la empresa que es auditada.

2.2

FUNDAMENTOS TEÓRICOS DE ANÁLISIS DE RIESGOS

2.2.1 Metodologías de Evaluación de Información Para lograr un nivel alto de seguridad de la información, se utilizan las metodologías necesarias para analizar un plan de seguridad y las dos metodologías por antonomasia son de Análisis de Riesgos y de Auditoría Informática.

2.2.2 Análisis de Riesgos18 Está desarrollado para la identificación de la falta de controles y el establecimiento de planes de contramedidas. Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa). El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente. La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar. Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones 18

Seguridad de la Información. Redes, Informática y Sistemas de Información, Javier Areito, Paraninfo, España, 2008

que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.

2.2.3 MAGERIT19 (Ver Anexo 1) MAGERIT es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el Consejo Superior de Informática de España y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información. Esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. MAGERIT ha sido elaborada por un equipo interdisciplinar del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos Personales, SSITAD, del Consejo Superior de Informática. La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza. MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista. MAGERIT desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de

http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=184

normas legales.

2.2.3.1 Los Objetivos de MAGERIT  Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atenderlos a tiempo.  Ofrecer un método sistemático para analizar tales riesgos.  Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.  Apoyar la preparación a la organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.  Asimismo, se ha cuidado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos: modelo de valor, mapa de riesgos, evaluación de salvaguardas, estado de riesgo, informe de insuficiencias y plan de seguridad.

2.2.4 PRIMA como Metodología de Auditoría Informática20 (Prevención de Riesgos Informáticos con Metodología Abierta) Es una metodología utilizada en España para identificar fallas de controles Metodología española, tiene un enfoque subjetivo, entre sus características: Cubre necesidades de los proyectos de un plan de seguridad, adaptable, cuestionarios para identificar fallas de controles, proporciona sistema de ayuda, informes finales, listas de ayuda. Activos de información es el objetivo a proteger en el entorno informático, y que la clasificación de la información nos ayudará a proteger especializando las contramedidas según el nivel de confidencialidad o importancia que tenga. Esta metodología básicamente define: 20

Auditoría de Tecnologías y Sistemas de información, Mario Piattini V., Mexico, 2008, Alfaomega, Primera Edición, pág. 64.

 Estrategia (información muy restringida, muy confidencial, vital para la subsistencia de la empresa).  Restringida (a los propietarios de la información).

2.2.5 CCTA Risk Analysis and Method Management (CRAMM)21 Es una metodología que fue desarrollada en Reino Unido por la Agencia Central de Computación y Telecomunicaciones en 1985, la cual usa técnicas cualitativas en el análisis y gestión de riesgos. CRAMM tiene una desventaja ante Magerit y es que esta metodología no incorpora como medida la eficacia de las salvaguardas, posterior a esto CRAMM ofrece los servicios de una herramienta denominada Insight Consulthing Limited que es de gran utilidad haciendo referencia al estándar BS 7799.

2.2.6 OCTAVE22 Es un conjunto de herramientas, técnicas y métodos de evaluación basados en el riesgo seguridad de la información y planeación de estratégica.

2.2.6.1 Métodos de OCTAVE Hay tres métodos OCTAVE:  OCTAVE-S, para las pequeñas empresas  OCTAVA-Allegro, un método simplificado para la evaluación de seguridad de la información y la garantía de  OCTAVE métodos se basan en los criterios estándar para una evaluación de la información de riesgos de seguridad impulsada por y basadas en la práctica. Los criterios de OCTAVE establecen los principios fundamentales y

21 22

http://www.cramm.com/ http://www.cert.org/octave/octavemethod.html

los atributos de gestión de riesgos que son utilizados por los métodos de octave.

2.2.6.2 Características y Ventajas de los Métodos de OCTAVE  Auto-dirigido, pequeños equipos de personal de la organización a través

de unidades de negocio y de TI trabajen juntos para hacer frente a las necesidades de seguridad de la organización.  Flexibles.- Cada método se puede adaptar al entorno de la organización

única de riesgo, objetivos de seguridad y recuperación, y el nivel de habilidad.  Evolucionado de octava se trasladó a la organización hacia una basada en

el riesgo operacional vista de la seguridad y las direcciones de la tecnología en un contexto empresarial.

2.3 FUNDAMENTOS TEÓRICOS DEL PLAN DE CONTINGENCIA 2.3.1 Plan de Contingencia “Conjunto de estrategias, acciones, procedimientos planificados y responsabilidades definidas para minimizar el impacto de una interrupción imprevista de las funciones críticas y conseguir la restauración de las mismas, dentro de unos límites de tiempo establecidos. Sin que sea una regla general, se suele aplicar al plan circunscrito a las actividades de los departamentos de Sistemas de Información.”

Un Plan de contingencia es un instrumento de gestión para el buen gobierno de las Tecnologías de la Información y las Comunicaciones en el dominio del soporte y el desempeño.

Dicho plan contiene las medidas técnicas, humanas y

organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía. Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informática o tecnologías. Otros departamentos pueden tener planes de continuidad que

La continuidad del Negocio en Organizaciones, Juan Gaspar Martínez, 2004 Pág. 207

persiguen el mismo objetivo desde otro punto de vista. No obstante, dada la importancia de las tecnologías en las organizaciones modernas, el plan de contingencias es el más relevante. Los cuales se dividen en: •

Totales

•

Local.

2.4 FUNDAMENTOS TEÓRICOS DE SERVIDOR WEB 2.4.1 Servidor web Básicamente, un servidor web sirve de contenido estático a un navegador, carga un archivo y lo sirve a través de la red al navegador de un usuario. Este intercambio es mediado por el navegador y el servidor que hablan el uno con el otro mediante HTTP. Se pueden utilizar varias tecnologías en el servidor para aumentar su potencia más allá de su capacidad de entregar páginas HTML; éstas incluyen scripts CGI, seguridad SSL y páginas activas del servidor (ASP). Por otro lado un servidor web es también un programa de computación especializado en la producción de páginas web y en la transmisión de los datos de imágenes, animaciones, música y sonidos que éstas incluyen. Permite desarrollar y administrar sistemas de hospedaje de sitios web. El servidor web reside en un computador conectado en forma permanente a la Internet, atendiendo las solicitudes de páginas web y las tareas de proceso de datos que le hacen los usuarios de la red, las 24 horas del día todos los días del año. Además implementa el protocolo HTTP (hyper text transfer protocol). Este protocolo pertenece a la capa de aplicación del modelo OSI y está diseñado para transferir lo que llamamos hipertextos páginas web o páginas HTML (hyper text markup language): textos complejos con enlaces, figuras, formularios, botones y objetos incrustados como animaciones o reproductores de música. Es un programa que se ejecuta continuamente en un ordenador (también se emplea el término para referirse al ordenador que lo ejecuta), manteniéndose a la espera de peticiones por parte de un cliente (un navegador web) y que responde a estas peticiones adecuadamente, mediante una página web que se exhibirá en el

navegador o mostrando el respectivo mensaje si se detectó algún error.  Protocolo: conjunto de reglas que gobiernan el intercambio de datos entre

entidades dentro de una red. Es el lenguaje común “que utilizan” los ordenadores para “hablar” y entenderse entre sí. Existen muchos tipos de protocolos cada uno con sus reglas bien definidas, como por ejemplo: FTP, POP3, SMTP, ICMP, etc.  Protocolo HTTP: una de las características del protocolo HTTP es que no es

permanente, es decir, cada operación HTTP implica una conexión con el servidor, que es liberada al término de la misma. Por ejemplo, un documento HTML con 10 imágenes son necesarias 11 conexiones distintas (10 imágenes más la página HTML en sí).

2.4.2 Funcionamiento de un Servidor Web

Recurso

Figura 2: Funcionamiento Servidor Web24 La figura 2 muestra la interacción entre un servidor Web y el resto del entorno. El servidor es el responsable de proporcionar el acceso a los recursos solicitados 24

Hecho por los autores toma de: http://www.monografias.com/trabajos75/servidores-web/servidores-web2.shtml

que estรกn bajo el control del sistema operativo. Estos recursos pueden ser: o

Estรกticos, como pรกginas HTML o texto y,

Dinรกmicos, como por ejemplo: CGI's. Estos programas son ejecutados por el servidor. Digamos que es la parte inteligente del servidor.

2.4.3 Arquitectura

Recepciรณn Request Analysis

Record Transactio n

Acces Control

Record Transactio n

Util

Operating System Abstraction Layer

Operating System

Figura 3. Arquitectura Servidor Web25 Vemos en la figura 3, una arquitectura habitual de un servidor Web, dividido en 25

Idem

dos capas:

2.4.3.1 Capa Servidor Esta capa contiene cinco subsistemas, que son los responsables de implementar la funcionalidad de un servidor Web.  Subsistema de recepción: representa la primera “línea de ataque” y su labor consiste en esperar las peticiones HTTP de los clientes que llegan por la red. También, analiza las peticiones y determina las capacidades de los navegadores (tipo de navegador, compatibilidad, etc.). Este subsistema contiene la lógica necesaria para manejar múltiples peticiones.  Analizador de peticiones: encargado de traducir la localización del recurso de la red al nombre del archivo local. Por ejemplo, la solicitud del recurso http://www.pucesd.edu.ec

traduce

fichero

local

/var/www/archivosweb/index.html.  Control de acceso: sirve para autentificar y permitir el acceso.  Manejador de recursos: este subsistema es el responsable de determinar el tipo de recurso solicitado; lo ejecuta y genera la respuesta.  Registro de transacción: se encarga de registrar todas las peticiones y su resultado.

2.4.3.2 Capa Soporte Esta capa actúa como una interface entre el sistema operativo y el servidor Web y, entre los propios subsistemas de la capa superior. Subsistemas:  Útil: contiene funciones que son utilizadas por el resto de subsistemas.  Capa abstracta del Sistema Operativo (OSAL): Este subsistema encapsula el funcionamiento específico del sistema operativo para facilitar la portabilidad del servidor Web a diferentes plataformas.

2.4.4 Tipos de Servidores Web 2.4.4.1 Servidores Basados en Procesos Este diseño es el predecesor de todos los demás. Se basa en la obtención de paralelismo mediante la duplicación del proceso de ejecución. Existen varios diseños basados en procesos. El más simple es en el que el proceso principal espera la llegada de una nueva conexión y en ese momento, se duplica creando una copia exacta que atenderá esta conexión. Sobre esta opción de diseño caben optimizaciones importantes, como las que incluyó Apache con la técnica de pre-fork. 

Técnica pre-fork. Consiste en la creación previa de un grupo de procesos

y su mantenimiento hasta que sea necesaria su utilización. Las principales ventajas de este diseño residen en su simplicidad de implementación y su seguridad. La gran desventaja de este diseño es el bajo rendimiento. La creación o eliminación de un proceso son tareas pesadas para el sistema operativo y consumen una gran cantidad de tiempo.

2.4.4.2 Servidores Basados en Hilos (Threads) Este tipo de diseño hoy en día es mucho más común que el basado en procesos. Los conceptos básicos respecto al funcionamiento de un servidor basado en procesos son aplicables también a este modelo. Las principales diferencias de los dos modelos residen en el propio concepto de hilo. La ventaja es que la creación de un hilo no es tan costosa como la de un proceso. Varios hilos de un mismo proceso pueden compartir datos entre ellos, ya que comparten el mismo espacio de memoria. El modelo de servidor basado en hilos hereda muchas de las características de los servidores basados en procesos, entre ellas la de la simplicidad en su diseño e implementación. Por otro lado, el compartir el espacio de memoria implica un riesgo de seguridad que no tienen los servidores basado en procesos.

2.5 FUNDAMENTOS TEÓRICOS DE SERVIDOR PROXY 2.5.1 Servidor Proxy El

término

inglés “Proxy”,

tiene

significado

muy

general

mismo tiempo ambiguo, aunque invariablemente se considera un sinónimo del concepto

de “Intermediario”.

suele

traducir,

sentido

estricto,

como delegado o apoderado (el que tiene el que poder sobre otro). Un Servidor Intermediario se define como una computadora o dispositivo que ofrece un servicio de red que consiste en permitir a los clientes realizar conexiones de red indirectas hacia otros servicios de red. Durante el proceso ocurre lo siguiente: 1. Cliente se conecta hacia un Servidor Proxy. 2. Cliente solicita una conexión, archivo u otro recurso disponible en un servidor distinto. 3. Servidor Intermediario proporciona el recurso ya sea conectándose hacia el servidor especificado o sirviendo éste desde un caché. 4. En algunos casos el Servidor Intermediario puede alterar la solicitud del cliente o bien la respuesta del servidor para diversos propósitos. Los Servidores Intermediarios (Proxies) generalmente se hacen trabajar simultáneamente como muro cortafuegos operando en el Nivel de Red, actuando como filtro de paquetes, como en el caso de iptables, o bien operando en el Nivel de Aplicación, controlando diversos servicios, como es el caso de TCP Wrapper. Dependiendo del contexto, el muro cortafuegos también se conoce como BPD o Border Protection Device o simplemente filtro de paquetes. Una aplicación común de los Servidores Intermediarios (Proxies) es funcionar como caché de contenido de Red (principalmente HTTP), proporcionando en la proximidad de los clientes un caché de páginas y ficheros disponibles a través de la Red en servidores HTTP remotos, permitiendo a los clientes de la red local acceder hacia éstos de forma más rápida y confiable. Cuando se recibe una petición para un recurso de Red especificado en un URL

(Uniform Resource Locator) el Servidor Intermediario busca el resultado del URL dentro del caché. Si éste es encontrado, el Servidor Intermediario responde al cliente proporcionado inmediatamente el contenido solicitado. Si el contenido solicitado no estuviera disponible en el caché, el Servidor Intermediario lo traerá desde servidor remoto, entregándolo al cliente que lo solicitó y guardando una copia en el caché. El contenido en el caché es eliminado luego a través de un algoritmo de expiración de acuerdo a la antigüedad, tamaño e historial de respuestas a solicitudes (hits) (ejemplos: LRU, LFUDA y GDSF). Los Servidores Intermediarios para contenido de Red (Web Proxies) también pueden actuar como filtros del contenido servido, aplicando políticas de censura de acuerdo a criterios arbitrarios

2.5.2 Estructura de un Servidor Proxy

Figura 4. Estructura Servidor Proxy26 El servidor Proxy es el corazón del funcionamiento de la Red LAN como tal, ya 26

Idem

que es el elemento activo del sistema que controla los tipos de paquetes de datos que entran a la Red LAN, así como también cumple con la función de ser un punto de entrada a Internet, desde las Estaciones de Trabajo o computadores de la red.

2.5.3 Funcionamiento de un Servidor Proxy Un proxy permite a otros equipos conectarse a una red de forma indirecta a través de él. Cuando un equipo de la red desea acceder a una información o recurso, es realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. En unos casos esto se hace así porque no es posible la comunicación directa y en otros casos porque el proxy añade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (página web) en una cache que permita acelerar sucesivas consultas coincidentes. Con esta denominación general de proxy se agrupan diversas técnicas.

2.5.4 Características de un Servidor Proxy  El servidor proxy funciona como un filtro para el tráfico web ya que toda la información pasa por el proxy antes de alcanzar al usuario, por consiguiente el proxy puede leer las peticiones de los paquetes de peticiones entrantes de HTTP (Protocolo usado en WWW) y descartar peticiones o denegar accesos a dichos host.  Con un proxy se puede configurar y administrar los sitios que los usuarios por lo regular no deberían entrar como lo son los sitios pornográficos o aquellas que generan mucho tráfico web.  Un proxy al ser configurado correctamente puede disminuir el tiempo acceso de un usuario hacia la web además de economizar el ancho de banda de la red.  Puede almacenar las páginas más visitadas, optimizar el uso de los kbytes requeridos en las peticiones de ancho de banda, aceleración en la

navegación además; permite el filtrado de los accesos a los diferentes sitios y realiza un cálculo estadístico por usuario en caso de ser necesario.

2.5.5 Tipos de Servidores Proxy Existen dos tipos de servidores proxy  Servidores Proxy de aplicación  Servidores Proxy SOCKS

2.5.5.1 Servidor Proxy de Aplicación Con un servidor proxy de aplicación el proceso se automatiza. El servidor proxy establece la comunicación con el servidor que ha solicitado (el mundo exterior) y le devuelve los datos.

2.5.5.2 Servidor Proxy de Socks Se parece bastante a un panel de conmutación. Tan sólo establece la conexión entre su sistema y otro sistema externo. La mayoría de los servidores SOCKS presentan el inconveniente de que sólo trabajan con conexiones del tipo TCP y como cortafuegos no suministran autenticación para los usuarios. Sin embargo, su ventaja es que registran los sitios a los que cada usuario se ha conectado.

2.6 MONITOREO Representa al proceso que evalúa la calidad del control en el tiempo y permite al sistema reaccionar en forma dinámica, cambiando cuando las circunstancias así lo requieran. Se orienta a la identificación de controles débiles, insuficientes o innecesarios y promueve su reforzamiento. El monitoreo se lleva a cabo de tres formas: a) durante la realización de actividades

diarias en los distintos niveles de la entidad; b) de manera separada por personal que no es el responsable directo de la ejecución de las actividades, incluidas las de control; y, c) mediante la combinación de ambas modalidades.

2.7 ¿QUÉ ES WI-FI? WIFI, es la sigla para Wireless Fidelity (Wi-Fi), que literalmente significa Fidelidad inalámbrica. Es un conjunto de redes que no requieren de cables y que funcionan en base a ciertos protocolos previamente establecidos. Si bien fue creado para acceder a redes locales inalámbricas, hoy es muy frecuente que sea utilizado para establecer conexiones a Internet. Las redes WI-FI poseen una serie de ventajas, entre las cuales podemos destacar: 

Al ser redes inalámbricas, la comodidad que ofrecen es muy superior a las redes cableadas porque cualquiera que tenga acceso a la red puede conectarse desde distintos puntos dentro de un rango suficientemente amplio de espacio.



Una vez configuradas, las redes WI-FI permiten el acceso de múltiples ordenadores sin ningún problema ni gasto en infraestructura, no así en la tecnología por cable.



La WI-FI Alliance asegura que la compatibilidad entre dispositivos con la marca Wi-Fi es total, con lo que en cualquier parte del mundo podremos utilizar la tecnología Wi-Fi con una compatibilidad total. Esto no ocurre, por ejemplo, en móviles.

2.8 SOFTWARE LIBRE Software libre (en inglés free software) es la denominación del software que brinda libertad a los usuarios sobre su producto adquirido y por tanto, una vez obtenido, puede ser usado, copiado, estudiado, modificado y redistribuido libremente. Según la Free Software Foundation, el software libre se refiere a la libertad de los

usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el software; de modo más preciso, se refiere a cuatro libertades de los usuarios del software: la libertad de usar el programa, con cualquier propósito; de estudiar el funcionamiento del programa, y adaptarlo a las necesidades; de distribuir copias, con lo que puede ayudar a otros; de mejorar el programa y hacer públicas las mejoras, de modo que toda la comunidad se beneficie (para la segunda y última libertad mencionadas, el acceso al código fuente es un requisito previo).

2.9 LINUX27 Linux es un sistema operativo, compatible Unix. Dos características muy peculiares lo diferencian del resto de sistemas que podemos encontrar en el mercado, la primera, es que es libre, esto significa que no tenemos que pagar ningún tipo de licencia a ninguna casa desarrolladora de software por el uso del mismo, la segunda, es que el sistema viene acompañado del código fuente. El sistema lo forman el núcleo del sistema (kernel) más un gran número de programas / bibliotecas que hacen posible su utilización. Muchos de estos programas y bibliotecas han sido posibles gracias al proyecto GNU, por esto mismo, muchos llaman a Linux, GNU/Linux, para resaltar que el sistema lo forman tanto el núcleo como gran parte del software producido por el proyecto GNU. Linux se distribuye bajo la GNU General Public License por lo tanto, el código fuente tiene que estar siempre accesible y cualquier modificación o trabajo derivado tiene que tener esta licencia. El sistema ha sido diseñado y programado por multitud de programadores alrededor del mundo. El núcleo del sistema sigue en continuo desarrollo bajo la coordinación de Linus Torvalds, la persona de la que partió la idea de este proyecto, a principios de la década de los noventa. Hoy en día, grandes compañías, como IBM, SUN, HP, Novell y RedHat, entre otras muchas, aportan a Linux grandes ayudas tanto económicas como de código. Día a día, más y más programas y aplicaciones están disponibles para este sistema, y la calidad de los mismos aumenta de versión a versión. La gran mayoría 27

www.linux.org

de los mismos vienen acompañados del código fuente y se distribuyen generalmente bajo los términos de licencia de la GNU General Public License. Más y más casas de software comercial distribuyen sus productos para Linux y la del mismo en empresas aumenta constantemente por la excelente relación calidadprecio que se consigue con Linux. Las arquitecturas en las que en un principio se puede utilizar Linux son Intel 386-, 486-, Pentium, Pentium Pro, Pentium II/III/IV, IA-64, Amd 5x86, Amd64, Cyrix y Motorola 68020, IBM S/390, zSeries, DEC Alpha, ARM, MIPS, PowerPC, SPARC y UltraSPARC. Además no es difícil encontrar nuevos proyectos portando Linux a nuevas arquitecturas.

2.9.1 Características de Linux Aquí tenéis una lista con las características más importantes de GNU/LINUX:  Multitarea: La palabra multitarea describe la habilidad de ejecutar varios programas al mismo tiempo. LINUX utiliza la llamada multitarea preventiva, la cual asegura que todos los programas que se están utilizando en un momento dado serán ejecutados, siendo el sistema operativo el encargado de ceder tiempo de microprocesador a cada programa.  Multiusuario: Muchos usuarios usando el mismo ordenador al mismo tiempo.  Multiplataforma: Las plataformas en las que en un principio se puede utilizar Linux son 386-, 486-. Pentium, Pentium Pro, Pentium II, Amiga y Atari, también existen versiones para su utilización en otras plataformas, como amd64, Alpha, ARM, MIPS, PowerPC y SPARC. 

Multiprocesador: Soporte para sistemas con más de un procesador está disponible para Intel, AMD y SPARC.



Funciona en modo protegido 386: Protección de la memoria entre procesos, de manera que uno de ellos no pueda colgar el sistema.



Carga de ejecutables por demanda: Linux sólo lee del disco aquellas partes de un programa que están siendo usadas actualmente.



Política de copia en escritura para la compartición de páginas entre ejecutables: esto significa que varios procesos pueden usar la misma zona de memoria para ejecutarse. Cuando alguno intenta escribir en esa memoria, la página (4Kb de memoria) se copia a otro lugar. Esta política de copia en escritura tiene dos beneficios: aumenta la velocidad y reduce el uso de memoria.



Memoria virtual usando paginación (sin intercambio de procesos completos) a disco: A una partición en el sistema de archivos, con la posibilidad de añadir más áreas de intercambio sobre la marcha. La memoria se gestiona como un recurso unificado para los programas de usuario y para el caché de disco, de tal forma que toda la memoria libre puede ser usada para caché y ésta puede a su vez ser reducida cuando se ejecuten grandes programas. 

Librerías compartidas de carga dinámica (DLL's) y librerías estáticas. Se realizan volcados de estado (core dumps) para posibilitar los análisis post-mortem, permitiendo el uso de depuradores sobre los programas no sólo en ejecución sino también tras abortar éstos por cualquier motivo.



Compatible con POSIX, System V y BSD a nivel fuente. Emulación de iBCS2, casi completamente compatible con SCO, SVR3 y SVR4 a nivel binario. Todo el código fuente está disponible, incluyendo el núcleo completo y todos los drivers, las herramientas de desarrollo y todos los programas de usuario; además todo ello se puede distribuir libremente. Hay algunos programas comerciales que están siendo ofrecidos para Linux actualmente sin código fuente, pero todo lo que ha sido gratuito sigue siendo gratuito.



Control de tareas POSIX. Pseudo-terminales (pty's). Emulación de 387 en el núcleo, de tal forma que los programas no tengan que hacer su propia emulación matemática. Cualquier máquina que ejecute Linux parecerá dotada de coprocesador matemático. Por supuesto, si el ordenador ya tiene una FPU (unidad de

coma flotante), ésta será usada en lugar de la emulación, pudiendo incluso compilar tu propio kernel sin la emulación matemática y conseguir un pequeño ahorro de memoria. Soporte para muchos teclados nacionales o adaptados y es bastante fácil añadir nuevos dinámicamente. 

Consolas virtuales múltiples: varias sesiones de login a través de la consola entre las que se puede cambiar con las combinaciones adecuadas de teclas (totalmente independiente del hardware de video). Se crean dinámicamente y puedes tener hasta 64. Soporte para varios sistemas de archivo comunes, incluyendo minix-1, Xenix y todos los sistemas de archivo típicos de System V, y tiene un avanzado sistema de archivos propio con una capacidad de hasta 4 Tb y nombres de archivos de hasta 255 caracteres de longitud.



Acceso transparente a particiones MS-DOS (o a particiones OS/2 FAT) mediante un sistema de archivos especial: no es necesario ningún comando especial para usar la partición MS-DOS, esta parece un sistema de archivos normal de Unix (excepto por algunas restricciones en los nombres de archivo, permisos, y esas cosas). Las particiones comprimidas de MS-DOS 6 no son accesibles en este momento, y no se espera que lo sean en el futuro. El soporte para VFAT, FAT32 (WNT, Windows 95/98) se encuentra soportado desde la versión 2.0 del núcleo y el NTFS de WNT desde la versión 2.2 (Este último solo en modo lectura).



Soporte en sólo lectura de HPFS-2 del OS/2 2.1 Sistema de archivos de CD-ROM que lee todos los formatos estándar de CD-ROM. TCP/IP, incluyendo ssh, ftp, telnet, NFS, etc. Appletalk. Software cliente y servidor Netware. Lan Manager / Windows Native (SMB), software cliente y servidor.

Diversos protocolos de red incluidos en el kernel: TCP, IPv4, IPv6, AX.25, X.25, IPX, DDP, Netrom, etc.

2.9.2 Distribución de Linux Una distribución no es otra cosa, que una recopilación de programas y ficheros, organizados y preparados para su instalación. Estas distribuciones se pueden obtener a través de Internet, o comprando los CD’s de las mismas, los cuales contendrán todo lo necesario para instalar un sistema Linux bastante completo y en la mayoría de los casos un programa de instalación que nos ayudara en la tarea de una primera instalación. Casi todos los principales distribuidores de Linux, ofrecen la posibilidad de bajarse sus distribuciones, vía FTP (sin cargo alguno). Existen muchas y variadas distribuciones creadas por diferentes empresas y organizaciones a unos precios bastantes asequibles (si se compran los CDs, en vez de bajársela vía FTP), las cuales se puede poder encontrar en tiendas de informática o librerías. En el peor de los casos siempre se puede encargarlas directamente por Internet a las empresas y organizaciones que las crean. A veces, las revistas de informática sacan una edición bastante aceptable de alguna distribución.

2.9.2.1 Ubuntu Distribución basada en Debían, con lo que esto conlleva y centrada en el usuario final y facilidad de uso. Muy popular y con mucho soporte en la comunidad. El entorno de escritorio por defecto es GNOME.

2.9.2.2 Redhat enterprise Esta es una distribución que tiene muy buena calidad, contenidos y soporte a los usuarios por parte de la empresa que la distribuye. Es necesario el pago de una licencia de soporte. Enfocada a empresas.

2.9.2.3 Fedora Esta es una distribuciรณn patrocinada por RedHat y soportada por la comunidad. Fรกcil de instalar y buena calidad.

2.9.2.4 Debian Otra distribuciรณn con muy buena calidad. El proceso de instalaciรณn es quizรกs un poco mรกs complicado, pero sin mayores problemas. Gran estabilidad antes que รบltimos avances.

2.9.2.5 Opensuse Fรกcil de instalar. Versiรณn libre de la distribuciรณn comercial SuSE.

2.9.2.6 SuSE Linux Enterprise Muy buena calidad, contenidos y soporte a los usuarios por parte de la empresa que la distribuye, Novell. Es necesario el pago de una licencia de soporte. Enfocada a empresas.

2.9.2.7 Slackware Esta distribuciรณn es de las primeras que existiรณ. Tuvo un periodo en el cual no se actualizรณ muy a menudo.

2.9.2.8 Gentoo Esta distribución es una de las únicas que incorporaron un concepto totalmente nuevo en Linux. Es un sistema inspirado en BSD-ports. No es recomendable adentrarse en esta distribución sin una buena conexión a internet, un ordenador medianamente potente. 2.9.2.9 Kubuntu Distribución basada en Ubuntu, con lo que esto conlleva y centrada en el usuario final y facilidad de uso. La gran diferencia con Ubuntu es que el entorno de escritorio por defecto es KDE.

2.9.2.10 Mandriva

Esta distribución fue creada en 1998 con el objetivo de acercar el uso de Linux a todos los usuarios, en un principio se llamó Mandrake Linux. Facilidad de uso para todos los usuarios.

CAPÍTULO III

METODOLOGÍA

Para la elaboración y el respectivo desarrollo del capítulo III, se ha empleado dos tipos de metodologías las cuales son; Auditoría Informática y Análisis de Riesgos, como herramientas fundamentales, aplicadas a la disertación de grado de la Auditoría de los Servidores Web y Proxy de la PUCE SD.

3.1 AUDITORÍA INFORMÁTICA Y ANÁLISIS DE RIESGO. La Auditoría Informática y el Análisis de Riesgo son las herramientas utilizadas por diferentes auditores para determinar la exposición, la evaluación de eficiencia y eficacia de nuestros sistemas computacionales, equipos informáticos y todo lo relacionado con la tecnología de la información, así como para determinar los riesgos que están expuestos estos sistemas, en este caso para la disertación de la Auditoría a los Servidores Web y Proxy de la PUCE SD.

3.2 FASES DE LA AUDITORÍA A LOS SERVIDORES WEB Y PROXY Para la elaboración de las Fases de la Auditoría a los Servidores Web y Proxy de la PUCE SD, se tomó en consideración las fases de una Auditoría Informática, las fases de una Auditoría Gubernamental esta última basándonos en el manual de Auditoría Gubernamental de la Contraloría General del Estado Ecuatoriano y de la Norma NTE INEN ISO 19011:2002, Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental, para poder establecer cuáles serían las fases que se adoptarían a nuestra disertación quedando de la siguiente forma como se ilustra en la figura 5.

Fase 1 Planeación de Trabajo

Fase 2 Ejecución

Fase 3 Resultados

Orden de Trabajo Plan de Auditoría Evaluación de Modelos: - Matriz de Riesgo. - Listado de Sugerencias

Aplicación de programas de trabajo Documentación de la Ejecución

Redacción del Informe Emisión del Informe

Finalización de Auditora

Figura 5: Fases de la Auditoría de los Servidores Web y Proxy28 Dadas las similitudes en la forma como se desarrollan ambas metodologías ciertas actividades se las agrupa en las actividades generales y no se las detalla de manera independiente.

3.3 FASE DE PLANEACIÓN DEL TRABAJO En ésta primera etapa se define todas actividades que se llevarán a cabo

para el

desarrollo de la Auditoría de los Servidores Web y Proxy de la PUCE SD. Dichas actividades se las obtiene basándose en las necesidades encontradas en la investigación previa y detallada en el marco teórico. Entre estas actividades tenemos:  28

Plan de Auditoría

Realizado por los Autores



Análisis de Riesgo



Listado de Sugerencias.



Informe de resultados (Fase de Resultados)

En el desarrollo del Plan y la Matriz detallan la actividad general de ejecución, además las actividades del listado de sugerencias y el informe de auditoría se listara en la actividad general de resultados.

3.3.1 Plan de Auditoría Para realizar el plan de auditoría debe tener claro las funciones o procedimientos que vamos a utilizar para el desarrollo eficiente del proyecto, con lo cual se ve necesario en dividirlo fases, como muchos autores lo describen para obtener información específica y no redundante, claro está que adaptándole a nuestro caso específico. Las fases quedan de la siguiente manera.  Conocimiento Inicial. En esta primera actividad tiene como objetivo principal el de conocer de una forma integral a la PUCE SD, organización en la cual se ejecutará la Auditoría. o

Origen de la Auditoría

Objetivo general de la Auditoría

Objetivos específicos

Conocimiento inicial de la Organización 

Ubicación de la organización



Organigrama

Además se debe recolectar información del Departamento encargado y del área específica la cual está encargada de los Servidores Web y Proxy.



Conocimiento inicial del Departamento CITIC o

Ubicación

Organigrama del CITIC  Conocimiento Inicial del Área de Redes  Ubicación  Organigrama  Función  Actividades  Recursos Humanos  Recursos Informáticos 

FODA

 Planeación Específica La función específica es diseñar una buena estrategia de trabajo de acuerdo a las necesidades de la PUCE SD y basándose en la información preliminar obtenida de la fase anterior. Tareas que se obtiene de esta fase: 



Datos Generales o

Nombre de la Institución

Objetivo de la Auditoría

Periodo de examen Tipos de Auditoría Informática

Dirección

Mantenimiento

Seguridad 

Lógica



Física

 Medio Ambiente  Políticas de Seguridad 

Papeles de trabajo



Listas de Comprobación (checklist)

Formato de Observaciones

Productos de la Auditoría o Informes



Fecha de Intervención o Inicio trabajo de campo o Finalización del trabajo de campo o Emisión del Informe de Auditoría

3.3.2 Análisis de Riesgo, Basados en la Metodología de MAGERIT Permite determinar los activos de la institución para establecer cuánto valen y en que magnitud están protegidos. Dentro de esta metodología existen tres procesos para identificar y gestionar los riesgos: 

Proceso 1: Análisis de Riesgos o

Activos



Tipos de Activos



Dependencias entre activos



Valoración

 Dimensión  Valoración Cualitativa  Valoración Cuantitativa  Valoración de la interrupción del servicio o

Amenazas 



Valoración de las Amenazas

Determinación del Impacto 

Impacto Acumulado



Impacto Repercutido



Agregación de valores de impacto

Determinación del Riesgo 

Riesgo Acumulado



Riesgo Percutido



Agregación de Riesgos

Proceso 2: Gestión de Riesgos o



Interpretación de los valores de impacto y riesgo residual Proceso 3: Salvaguardas

Selección de salvaguardas

Tipos de salvaguardas

3.4 FASE DE EJECUCIÓN 3.4.1 Desarrollo de la Auditoría Dentro de esta fase se especifica las diferentes auditorías informáticas que son necesarias para el normal desarrollo de la Auditoría a los Servidores Web y Proxy de la PUCE SD, para lo cual se realizarán cuestionarios correspondientes para auditoría, utilizando herramientas tales como checklist, libros, internet a modo de fuente de investigación, consulta directa y entrevistas. a. Funciones de la Auditoría b. Auditorías  Dirección  Mantenimiento  Seguridad 1. Lógica 2. Física 3. Medio Ambiente c. Políticas de Seguridad de la Información Cada una de estas auditorías estará subdividida de la siguiente manera: 

Objetivos



Alcance



Referencia Legal



Herramientas de trabajo



Resultados esperados

3.4.2 Análisis de Riesgos Basados en la Metodología de MAGERIT Es la primera tarea que debemos realizar para realizar un análisis de riesgo con la cual nos permite determinar que tiene la PUCE SD y hacer una estimación que podría pasar si no se tienen los planes pertinentes para enfrentar desastres informáticos. Metodología Magerit Anexo 1. Dentro de esta tarea existen diversos elementos que a continuación detallaremos:  Activos.- Son los elementos del sistema de información que aportan valor a la PUCE SD  Amenazas.- Son cosas que les puede pasar a los activos causando un perjuicio a la PUCE SD  Salvaguardas.- Son elementos en defensa

desplegados para que las

amenazas no causen daño Con los elementos mencionados anteriormente se puede establecer:  Impacto.- Lo que podría pasar  Riesgo.- Lo que probablemente pase

3.4.3 Actividades a Realizar en el Análisis de Riesgos Actividades que se debe seguir para realizar un análisis de riesgos de los Servidores Web y Proxy de PUCE SD 

Determinar los activos relevantes para la PUCE SD dentro del departamento del CITIC específicamente el área de Redes enfocada a los Servidores Web y Proxy. Con lo cual se establece su interrelación y su valor en el sentido de que perjuicio supondría su degradación.



Determinar las amenazas que están expuestos los activos identificados



Determinar que salvaguardas existen y que tan eficaces son frente al riesgo



Estimar el impacto,



Estimar el riesgo

Toda la información que se recolecta en el proceso es

extensa para su

procesamiento se utiliza la herramienta Pilar (Procedimiento Informático-Lógico para el Análisis de Riesgos) para procesar y digitalizar dicha información. Anexo

3.4.4 Activos Los activos son el primer paso a seguir en el análisis de riesgos, estos son recursos del sistemas de información o relacionados con este necesarios para que la PUCE SD funcione correctamente y alcance los objetivos propuestos. Dentro de los activos existen diversas tareas las cuales son: 

Identificación de los activos



Clases de activos



Dependencias entre activos



Valoración de los activos

Dentro de la identificación de Activos hay uno que es esencial: Es la información que maneja el sistema (datos) y de estos se puedan identificar otros activos relevantes.

3.4.5 Clasificación de Activos La clasificación se base en la información (datos) que maneja la PUCE SD 

Servicios.- Pueden prestar gracias a la información (datos) y los servicios que se necesitan para poder gestionar dichos datos.



Aplicaciones informáticas (Software).- Las aplicaciones informáticas (Software) que permitan manejar dicha información



Equipos Informáticos (Hardware).- Son los equipos informáticos (Hardware) que permitan hospedar datos, aplicaciones y servicios.



Soportes de Información.- Son dispositivos de almacenamiento de datos



Equipamiento Auxiliar.- Complementa el material informático.



Redes de Comunicaciones.- Permiten el intercambio de información.



Instalaciones.- Acogen a los equipos informáticos y de comunicaciones



Personas.- Explotan u operan todos los elementos antes descriptos.

A continuación se detalla con ejemplos como se debe realizar la recolección de información para identificar el activo. Para cada tipo de activo: 

[D] datos / información



[S] servicios



[SW] aplicaciones (software)



[HW] equipamiento informático (hardware)



[COM] redes de comunicaciones



[SI] soportes de información



[AUX] equipamiento auxiliar



[L] instalaciones



[P] personal

3.4.5.1 Fichas de Obtención de Datos [[D] Datos / Información D ]

D a

código:

nombre:

descripción: propietario: responsable: tipo (marque todos los adjetivos que procedan): ( ) [vr] datos vitales (vital records) ( ) [com] datos de interés comercial ( ) [adm] datos de interés administrativo ( ) [source] código fuente ( ) [exe] código ejecutable ( ) [conf] datos de configuración ( ) [log] registro de actividad (log) ( ) [test] datos de prueba ( ) [per] datos de carácter personal ( ) [A] de nivel alto ( ) [M] de nivel medio ( ) [B] de nivel básico ( ) [label] datos clasificados ( ) [S] secreto ( ) [R] reservado ( ) [C] confidencial ( ) [DL] difusión limitada ( ) [SC] sin clasificar

Ficha 1: [D] Datos / Información29 [S] Servicios

MAGERIT Versión 2: Catálogo de Elementos

[S] Servicios código:

nombre:

descripción:

responsable:

tipo (marque todos los adjetivos que procedan):

( ) [anon] anónimos (sin requerir identificación del usuario) ( ) [pub] al público en general (sin relación contractual) ( ) [ext] a clientes (bajo una relación contractual) ( ) [int] interno (usuarios y medios de la propia organización) ( ) [cont] contratado a terceros (se presta con medios ajenos) ( ) [www] world wide web ( ) [telnet] acceso remoto a cuenta local ( ) [email] correo electrónico ( ) [ftp] transferencia de ficheros ( ) [edi] intercambio electrónico de datos ( ) [dir] servicio de directorio ( ) [idm] gestión de identidades ( ) [ipm] gestión de privilegios ( ) [pki] PKI - infraestructura de clave pública

Ficha 2: [S] Servicios30 [SW] Aplicaciones (software)

MAGERIT Versión 2: Catálogo de Elementos

[

[SW] Aplicaciones (software)

[ código:

nombre:

W ]

descripción:

A p

responsable:

l i

tipo (marque todos los adjetivos que procedan):

c a

( ) [prp] desarrollo propio (in house)

c i

( ) [sub] desarrollo a medida (subcontratado)

( ) [std] estándar (off the shelf)

n e

( ) [browser] navegador web

( ) [www] servidores de presentación

( s

( ) [app] servidores de aplicaciones

o f

( ) [file] servidores de ficheros

( ) [dbms] sistemas de gestión de bases de datos

w a

( ) [tm] monitores transaccionales

r e

( ) [office] ofimática

)

( ) [os] sistemas operativos

Ficha 3: [SW] Aplicaciones (software)31 [HW] Equipamiento informático (hardware)

MAGERIT Versión 2: Catálogo de Elementos

[HW] Equipamiento informático (hardware) código:

nombre:

descripción: responsable: ubicación: número:

tipo (marque todos los adjetivos que procedan): ( ) [host] grandes equipos ( ) [mid] equipos medios ( ) [pc] informática personal ( ) [mobile] informática móvil ( ) [pda] agendas personales ( ) [easy] fácilmente reemplazable ( ) [data] que almacena datos ( ) [peripheral] periféricos ( ) [print] medios de impresión ( ) [scan] escáneres ( ) [crypto] dispositivos criptográficos ( ) [network] soporte de la red ( ) [modem] módems ( ) [hub] concentradores ( ) [switch] conmutadores ( ) [router] encaminadores ( ) [bridge] pasarelas ( ) [firewall] cortafuegos

Ficha 4: [HW] Equipamiento informático (hardware)32 [COM] Redes de comunicaciones

MAGERIT Versión 2: Catálogo de Elementos

[COM] Redes de comunicaciones código:

nombre:

descripción:

responsable: ubicación: número: tipo (marque todos los adjetivos que procedan):

( ) [PSTN] red telefónica ( ) [ISDN] rdsi (red digital) ( ) [X25] X25 (red de datos) ( ) [ADSL] ADSL ( ) [pp] punto a punto ( ) [radio] red inalámbrica ( ) [sat] satélite ( ) [LAN] red local ( ) [MAN] red metropolitana

( ) [Internet] Internet

Ficha 5: [COM] Redes de comunicaciones33 ( ) [vpn] red privada virtual [SI] Soportes de información

MAGERIT Versión 2: Catálogo de Elementos

[SI] Soportes de información código:

nombre:

descripción:

responsable: ubicación: número: tipo (marque todos los adjetivos que procedan): ( ) [electronic] electrónicos ( ) [disk] discos ( ) [disquette] disquetes ( ) [cd] cederrón (CD-ROM) ( )[USB] dispositivos USB ( ) [DVD] DVD ( ) [tape] cinta magnética ( ) [mc] tarjetas de memoria ( ) [ic] tarjetas inteligentes ( ) [non_electronic] no electrónicos ( ) [printed] material impreso ( ) [tape] cinta de papel ( ) [film] microfilm ( ) [cards] tarjetas perforadas

Ficha 6: [SI] Soportes de información34 [AUX] Equipamiento auxiliar

MAGERIT Versión 2: Catálogo de Elementos

[AUX] Equipamiento auxiliar código:

nombre:

descripción:

responsable: ubicación: número: tipo (marque todos los adjetivos que procedan): ( ) [power] fuentes de alimentación ( ) [ups] sistemas de alimentación ininterrumpida ( ) [gen] generadores eléctricos ( ) [ac] equipos de climatización ( ) [cabling] cableado ( ) [robot] robots ( ) [tape] ... de cintas ( ) [disk] ... de discos ( ) [supply] suministros esenciales ( ) [destroy] equipos de destrucción de soportes de información ( ) [furniture] mobiliario: armarios, etc. ( ) [safe] cajas fuertes

Ficha 7: [AUX] Equipamiento auxiliar35 [L] Instalaciones

MAGERIT Versión 2: Catálogo de Elementos

[L] Instalaciones código:

nombre:

descripción:

responsable:

ubicación: número:

tipo (marque todos los adjetivos que procedan): ( ) [site] emplazamiento ( ) [building] edificio ( ) [local] local ( ) [mobile] plataformas móviles ( ) [car] vehículo terrestre: coche, camión, etc. ( ) [plane] vehículo aéreo: avión, etc. ( ) [ship] vehículo marítimo: buque, lancha, etc. ( ) [shelter] contenedores ( ) [channel] canalización

Ficha 8: [L] Instalaciones36 [P] Personal

MAGERIT Versión 2: Catálogo de Elementos

[P] Personal código:

nombre:

descripción:

número: tipo (marque todos los adjetivos que procedan): ( ) [ue] usuarios externos ( ) [ui] usuarios internos ( ) [op] operadores ( ) [adm] administradores de sistemas

Ficha 9: [P] Personal37

3.4.5.2 Dependencias entre Activos Para determinar las dependencias hay que tener en cuenta que los activos más importantes suelen ser la información y los servicios, pero para su buen funcionamiento

dependen

otros

activos

que

casi

siempre

pasan

desapercibidos como las redes de comunicación o el personal encargado. Para realizar la dependencia hay que tener en cuenta que en cada caso se tiene que adaptar a la organización que se objetó de análisis, pero se puede estructurar a los activos en capas, en las cuales las superiores dependen de las inferiores.

3.4.5.2.1 Capa 1: El entorno: dentro de esta pueden ir los siguientes activos.  37

Equipamiento

MAGERIT Versión 2: Catálogo de Elementos



Personal



Otros

3.4.5.2.2 Capa 2: El Sistema de Información 

Equipos informáticos



Aplicaciones



Redes de comunicaciones



Soportes de Información

3.4.5.2.3 Capa 3: La información 

Datos



Meta-datos: estructuras: discos, DVD, etc.

3.4.5.2.4 Capa 4: Las funciones de la Organización: Justifican la existencia del sistema de información. 

Objetivos y misión



Bienes y servicios producidos

3.4.5.2.5 Capa 5: Otros Activos 

Credibilidad o buena imagen



Conocimiento acumulado



Independencia de criterio o actuación



Intimidad de las personas



Integridad física de las personas.

3.4.5.3 Valoración de los Activos. Para valorar un activo MAGERIT establece dimensiones de acuerdo a características y atributos:

3.4.5.3.1 Dimensiones 

Autenticidad



Confidencialidad



Integridad



Disponibilidad

Autenticidad.- Se debe preguntar ¿qué perjuicio causaría desconocer quién hace o ha hecho cada cosa? Confidencialidad.- ¿Qué daño causaría si información primordial cayera en manos equivocadas? Integridad.- ¿Qué perjuicio causaría que la información estuviera corrupta o dañada? Disponibilidad.- ¿Qué perjuicio causaría si el servicio no se pudiera utilizar o no tenerlo? Además existe otra dimensión para la administración electrónica o al comercio electrónico, que es la trazabilidad: Trazabilidad del acceso a la información: ¿Qué daño causaría no saber quién accede a la información de la institución y que hace con ella?

3.4.6 Amenazas El segundo paso es de determinar las amenazas que pueden afectas los activos de la institución. Dentro de las amenazas existen dos tareas que se deben realizar:  Identificación de las amenazas  Valoración de las amenazas

3.4.6.1 Identificación de las Amenazas Existen diversos tipos de amenazas que se especifican en el Catálogo de Elementos del MAGERIT. Estas amenazas son las más comunes o posibles que afecten a los activos identificados previamente.

3.4.6.2 Valoración de las Amenazas Después de identificar las amenazas de cada activo, se debe estimar cuan vulnerable es el activo en los siguientes aspectos: 

Degradación: Cuán perjudicado resultaría el activo



Frecuencia: Cada cuánto se materializa la amenaza

La degradación mide el daño causado por un incidente. La frecuencia se determina de acuerda a la degradación que cause al activo puede que la amenaza ser de terribles consecuencias pero muy improbable que ocurra, mientras en otras amenazas sean bajas pero tan frecuentes que el daño sería considerable.

3.4.7 Impacto

En esta actividad se especifica la medida del daño sobre cada activo sufrida por una amenaza

3.4.7.1 Impacto acumulado  Es el calculado sobre un activo teniendo en cuenta:  Su valor acumulado (el propio más de los activos que dependen de él) Las amenazas a que está expuesto. Este impacto se calcula para cada activo, por cada amenaza y en cada dimensión de valoración. El impacto es mayor. El impacto potencial al que están expuesto el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas.

3.4.8

Gestión de Riesgo Es la segunda tarea la cual permite organizar la defensa concienzuda y prudente, para que no pase nada malo y estar preparados para cualquier emergencia que pudiera acontecer, además de permitir sobrevivir a los incidentes y seguir operando en mejores condiciones.

3.5 FASE DE RESULTADOS 3.5.1 Listado de Sugerencias Para la elaboración de las sugerencias será mediante una matriz, en la cual se detallará los datos necesarios para su mejor entendimiento. Formato de Sugerencias u Oportunidad de Mejora (Ver Anexo 3)

3.5.2 Informes de Auditoría La metodología utilizada para realizar el informe de auditoría se basa en la Norma ISO 10911:2002 (Anexo 2) la cual detalla los siguientes puntos: 

Objetivos de la Auditoría.



Alcance de la Auditoría.



Identificación de la organización.



La identificación del equipo auditor.



Las fechas y lugares donde se realizaron las actividades de la auditoría.



Los criterios de auditoría.



Los hallazgos de la auditoría.



Las conclusiones de la auditoría.



Formato de informe de auditoría (Ver Anexo 4).

CAPÍTULO IV RESULTADOS Y DISCUSIÓN

4.1 FORMULACIÓN DE HIPÓTESIS DE TRABAJO 4.1.1 Hipótesis General del Trabajo Auditar el desempeño de los servidores Web y Proxy de la PUCE SD

4.1.2 Hipótesis Específicas del Trabajo  Realizar un plan de auditoría acorde a las necesidades de la Auditoría a los Servidores Web y Proxy de la PUCE SD.  Ejecutar un proceso de auditoría a los Servidores Web y Proxy de la PUCE SD.  Analizar la información obtenida para determinar los riesgos que están expuestos los activos de la PUCE SD.  Establecer una listado de sugerencias para optimizar el desempeño de los servidores.  Diseñar un informe final basado en los resultados arrojados por la auditoría.

4.1.3 Tipo de Investigación  Objetivo: La investigación será de tipo aplicada debido a que es un examen crítico, realizado con el objeto de evaluar la eficacia y eficiencia de los Servidores Web y Proxy con la meta de auditar el rendimiento de los mismos.

 Medios de obtención de datos: Estos se realizan en el campo experimental a través de los instrumentos y las técnicas de auditoría informática y análisis de riesgos (Magerit).  Conocimiento que se adquiere: Será de tipo explicativa, debido a que es una auditoría a los servidores web y proxy y determinará las posibles falencias, causas y efectos que se identifiquen, presentar un listado de sugerencias que podrían ser implementadas como soluciones.  Conocimiento en que se realiza: El conocimiento en que se realiza este tipo de investigación, está fundamentado en el método científico, debido a la existencia de información de forma estructurada que servirá de apoyo para desarrollar la auditoría.  Razonamiento empleado: Este razonamiento será espontáneo, debido a que se tiene libre albedrío de elegir la metodología a utilizar.  Método utilizado: El método utilizado será el analítico deductivo, debido a que la auditoría: analizará y devolverá resultados.  Equipo de Trabajo: El trabajo de investigación será de carácter colectivo. en el

cual consta de 2 integrantes.

4.1.4 Universo y Muestra 4.1.4.1 Universo El universo de la investigación de la Auditoría a los Servidores Web y Proxy está constituido por

4 personas encargadas directamente con el entorno de los

mismos.

Jefe de Área

Técnicos

Administrador S. W

Tabla 5: Universo del Proyecto38

4.1.4.2 Muestra No se realizará muestra porque se tomará en cuenta el universo debido a la cantidad del personal que está involucrado en el estudio los cuales solamente son 4 personas.

4.1.5 Tipo y Método de Muestreo 4.1.5.1 Tipo de Muestreo Como método de muestreo utilizado fue el no probabilístico, el aplicado fue el de dirigido o directo. Ya que permite seleccionar a la población adecuada, que genera información suficiente y necesaria para este estudio

4.1.5.2 Método de Muestreo El método de muestreo empleado fue el no probabilístico, debido a que elección de los elementos no depende que todas tengan la misma probabilidad de ser elegidos, sino de cumplir con ciertas características específicas según el objeto de la investigación. .

4.1.6 Técnicas de Recolección de Datos 4.1.6.1 La entrevista Esta herramienta se utilizará con los miembros que estén involucrados en el 38

Realizado por los Autores

área a auditar debido a que la población es pequeña esto permitirá realizar una investigación más completa y directa. Para realizar la entrevista se lo puede hacer de las siguientes formas:  Mediante la petición de documentación concreta.  Mediante “entrevista” en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionarios.  Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano buscando ciertas finalidades concretas. La entrevistas es una de las actividades personales más importantes del auditor, en ellas este recoge más información y mejor matizada.

4.1.7 Diseño de instrumento para Recolección de Datos 4.1.7.1 Lista de verificación o Checklist Se diseñará listas de verificación que abarcan las áreas de las siguientes categorías: Dirección, personal técnico, administradores de servidores:  Lista de verificación de la Dirección El objetivo de esta será de recopilar información de carácter decisivo en la ejecución de la auditoría, para validar el conocimiento e influencia sobre las actividades mismas del área de redes y la toma de decisiones sobre las actividades mismas del área.  Lista de verificación Personal Técnico Este tendrá como objetivo recolectar recolecta información sobre los posibles fallos en los servidores y del cual se conformarán los elementos de análisis para las propuestas de solución  Lista de verificación de los Administradores de Servidores Se realizará con el objetivo de capturar información de control,

procedimiento y medidas de seguridad para validar la función de intervención de estos y sus niveles de responsabilidad.

4.1.8 Checklist Se deberá aplicar el checklist de modo que el auditado responda clara y concisa. Se deberá interrumpir lo menos posible a este y solamente en los casos en las respuestas sean parte sustancial de la pregunta. Se deberá evitar absolutamente la presión sobre el auditado.

4.1.9 Forma de análisis

e Interpretación de los Resultados de la

Investigación. Se realizará una recopilación de datos los cuales tendrán que ser tabulados en una escala porcentual; cada pregunta tabulada pasará por un proceso de análisis para sacar conclusiones de dicha información. Por consiguiente se realizará una interpretación de resultados de los datos puestos en análisis y la finalización de esto será representada en un gráfico de pastel.

4.1.10 Estadísticas Utilizadas para el Análisis de las Hipótesis de la Investigación  Gráfica de Frecuencia Acumulada El instrumento a utilizar no tiene método estadístico definido por lo que no se sugiere algún método a utilizar en especial para el análisis de las hipótesis de la investigación. En fin de este método que hemos llamado gráfica de frecuencia acumulada es de cuantificar el número de veces que se responde

Si ó No a las

preguntas hechas al sacar el porcentaje y luego realizar un análisis, graficar las respuestas para dar a conocer las conclusiones y recomendaciones finales de las preguntas realizadas.

4.2 PLAN DE AUDITORÍA DE LOS SERVIDORES WEB Y PROXY PERIODO MARZO 2009 A OCTUBRE 2010

4.2.1 Estudio Inicial 4.2.1.1 Origen de la Auditoría La

presente

Auditoría

realiza

cumplimiento con los proyectos

planteados en Investigación Aplicada III, para el mejoramiento de servicios prestados por la PUCE SD.

4.2.1.2 Objetivo General Realizar una evaluación de los riesgos y sus impactos existentes al cual se encuentran afectados los Servidores Web y Proxy de la PUCE SD para determinar la(s) metodología(s), pasos y procesos para aplicar con eficacia y de forma eficiente las estrategias que nos permitan controlar dichos riesgos y aprovechar al máximo el desempeño de los servicios prestados a la comunidad universitaria.

4.2.1.3 Objetivos Específicos.  Identificar amenazas que afecten directamente a la

funcionalidad,

desempeño, eficiencia y eficacia de los servidores Web y Proxy.  Identificar riesgos a los que se encuentra expuestos los servidores y la seguridad

procesamiento

información dentro de los

servidores Web y Proxy.  Evaluar la transferencia, almacenamiento y registros de datos a fin que por medio de normas y estándares se logre una respuesta inmediata ante los

riesgos y amenazas.  Evaluar la plataforma tecnológica de los Servidores Web y Proxy de la PUCE SD.  Evaluar los procedimientos de control de operación de los servidores.  Evaluar el control que se tiene sobre el mantenimiento y los desperfectos de los servidores.  Verificar las disposiciones y reglamentos que contribuyan al mantenimiento del orden dentro del área de redes.  Verificar el cumplimiento de las políticas, normas y procedimientos que rigen las tecnologías de la información.  Comprobar una seguridad razonable de los recursos (datos, tecnologías, instalaciones, personal y aplicaciones).  Verificar el grado de privacidad del ambiente informático.

4.2.1.4 Enfoque a Utilizar La presente acción de control, se realizará de acuerdo establecidas

con las normas

por organismos internacionales como ISO y las normas

ecuatorianas como: NTE INEN-ISO 19011:2005, es una guía de Directrices para la Auditoría de los Sistemas de Gestión de la Calidad, NTE IEN-ISO/IEC 27002:2009, que es referencia a la Tecnología de la Información – Técnicas de la Seguridad – Código de Prácticas para la Gestión de la Seguridad de la Información. MAGERIT, metodología que presenta un objetivo definido en el estudio de los riesgos que afectan a los sistemas de información. La presente Auditoría Informática se realizará en la PUCE SD, ubicada en Santo Domingo de los Colorados, Provincia Santo Domingo de los Tsáchilas, siendo el departamento a examinarse el CITIC, en el área de Redes, enfocado a

los Servidores Web y Proxy.

4.3 CONOCIMIENTO INICIAL Organización: Pontificia Universidad Católica del Ecuador Sede Santo Domingo.

4.3.1 Antecedentes 4.3.1.1 Pontificia Universidad Católica Del Ecuador39 La Pontificia Universidad Católica del Ecuador, es una institución con más de 60 años que contribuye al desarrollo del Ecuador, mediante la investigación, docencia y enseñanza. Cuenta con seis sedes a nivel nacional en las ciudades de Quito, Ambato, Ibarra, Manabí, Santo Domingo y Esmeraldas.

4.3.1.2 Historia de la Pontificia Universidad Católica del Ecuador Sede Santo Domingo. En Santo Domingo Monseñor Emilio Lorenzo Stehle, creo en 1991 el Instituto Superior de Pedagogía, no conforme con esto y aferrado a la idea de que la formación del ser humano es un elemento primordial en el desarrollo interno de cada persona, propuso a las autoridades de la Pontifica Universidad Católica del Ecuador la creación de una sede en Santo Domingo, para atender con responsabilidad y esmero las expectativas de educación superior de muchos jóvenes. De esta forma la Universidad ya era una realidad, y el 17 de diciembre de 1996 es aprobada por el CONUEP (actual CONESUP). Monseñor Emilio Lorenzo Stehle pensó que la dirección de la Universidad debería ser confiada a una comunidad religiosa, se optó por los Misioneros/as Identes, ya que

www.pucesd.edu.ec

administraban otros centros de educación superior en el país, llegando a la firma de un convenio entre la citada comunidad, la PUCE y la Diócesis de Santo Domingo. La Universidad ha seguido creciendo a grandes pasos; en estudiantes, a un promedio del doble cada año, lo que ha supuesto el incremento del personal docente, administrativo, nuevos servicios, un extenso campus. Además cuenta

con departamentos como:

Dirección Académica,

Administrativo-

Financiero, Misiones Universitarias, Biblioteca, Laboratorios de Computación, Capilla, entre otros. Se ha avanzado hasta lograr ofrecer a la Región y al País ocho carreras, tomando como base la formación del hombre, como ser dotado de capacidades espirituales, intelectuales y físicas.

4.3.1.3 Misión La Pontificia Universidad Católica del Ecuador, Sede Santo Domingo (PUCE SD), es una sede universitaria integrante del SINAPUCE, que desarrolla el conocimiento con aperturidad, veracidad, rigurosidad y sentido crítico, en sus diferentes expresiones y disciplinas, desde la vivencia de la fe católica como auténtica comunidad caracterizada por los más altos valores, para promover la formación integral de la persona y una sociedad plenamente humana.

4.3.1.4 Visión 

Formadora, desde el Evangelio, de personas con un profundo sentido ético y profesional.



Una Sede universitaria sólida y posicionada en la Provincia.



Promotora del desarrollo económico-social y cultural de la Provincia.

4.3.1.5 Valores Institucionales  Sentido de pertenencia  Actitud dialogal

 Sentido de servicio  Responsabilidad  Rigurosidad académica y administrativa  Honor

4.3.1.6 Prorectorado La pro rectora de la Pontificia Universidad Católica del Ecuador Sede Santo Domingo es la Dra. Margalida Font Roig de nacionalidad Española y Misionera Idente, ha venido desempeñado esta función desde el 2009, siempre priorizando el desarrollo académico y espiritual dentro de todos quienes conforman la PUCE SD. El Prorector es el personero ejecutivo máximo de la Universidad y su representante legal, dentro de sus deberes y atribuciones se encuentran: Cumplir y hacer cumplir la Ley, el Estatuto y los reglamentos de la PUCE y las decisiones del Consejo Superior y del Consejo Académico. Formular y ejecutar planes, programas y estrategias de gestión, de acuerdo con las orientaciones y políticas dadas por el Concejo Superior. Adoptar las decisiones oportunas y ejecutar los actos necesarios para el buen gobierno de la institución. Convocar y presidir el Consejo Académico y poner a su consideración los asuntos que juzgare conveniente para la buena marcha de la Universidad.

4.3.1.7 Dirección Académica La dirección académica está dirigida por el Dr. Marcos Santibáñez de nacionalidad chilena y misionero Idente, dentro de sus funciones se relacionan directamente con las escuelas y los centros de investigación para el beneficio de la comunidad. La oferta académica de la PUCE SD se ha adaptado a

requerimientos de la región y el país, atendiendo al desarrollo de la ciencia y la técnica. El modelo educativo de la PUCE SD tiene como ejes transversales el estudio de inglés, humanidades, materias formativas, investigación y el aprendizaje de las Tecnologías de la Información y Comunicación (Tics).

4.3.1.8 Escuelas PUCE SD cuentas con las siguientes Escuelas:  Ciencias Administrativas y Contables. Carrera: Ingeniería Comercial, 9 niveles. Perfil Profesional: Emprendedor y líder de proyectos empresariales con alta competencia técnica-científica y ética, con espíritu analítico e innovador en el contexto social y humano. Carrera: Ingeniería en Contabilidad y Auditoría, 9 niveles. Perfil Profesional: Emprendedor y líder de proyectos en el área de auditoría, finanzas y contabilidad tanto en organizaciones comerciales como en la gerencia financiera-contable de empresas de alto nivel.  Ciencias de la Educación. Carrera: Licenciatura en Ciencias de la Educación, 8 niveles. Perfil Profesional: Gestor del proceso pedagógico en la enseñanza Básica, atendiendo a las necesidades socio-culturales a través de la investigación y aplicación de las nuevas tecnologías de la comunicación e información.  Comunicación Social Carrera: Licenciatura en Comunicación Social, 8 niveles. Perfil Profesional: Generador de proyectos y productos comunicacionales con criterio humanista, para informar y crear opinión en el ámbito del

periodismo escrito, radiofónico y televisivo.  Diseño Carrera: Diseñador, 8 niveles. Perfil Profesional: Diseñador de proyectos de comunicación, dentro de los ámbitos editoriales, multimedia, de imagen global y señalética, mediados por la investigación y el uso de la tecnología.  Enfermería Carrera: Licenciatura en Enfermería, 8 niveles. Perfil Profesional: Gestor competente de servicios y unidades de enfermería. Prestador de servicio integral al paciente, la familia y la comunidad, bajo principios éticos y cristianos.  Hotelería y Turismo Carrera: Ingeniería en Administración Turística y Hotelera, 9 niveles. Perfil Profesional: Gestor, innovador, conductor y evaluador de empresas, proyectos y procesos del sector hotelero y turístico Gerente de Hoteles, Bares, Restaurantes, Operadoras y Agencias de Viajes. Capacitador, consultor o asesor en turismo y empresas de hotelería.  Sistemas Carrera: Ingeniería en Sistemas y Computación, 9 niveles. Perfil Profesional: Formular y evalúa proyectos de Sistemas. Domina de principios científico-técnicos para asesorar a empresas públicas y privadas. Aplica creatividad en el campo de Sistemas.

100

4.3.1.9 Centros de Investigación Los centros de investigación, desarrollo, extensión y servicios, CIDES, son los espacios que nuestra Sede tiene para llevar a cabo la investigación, cuya función es:  Trabajar en líneas de Investigación.  Aplicar el conocimiento, al servicio de la comunidad mediante proyectos.  Crear programas de FORMACIÓN CONTINUA en sus áreas del saber al servicio de la comunidad.  Programar eventos de promoción y difusión de la investigación.

Figura 6: Centros de Investigación de la PUCE SD40 Los CIDES están conformados por docentes investigadores, postulantes y estudiantes de las diferentes carreras de la Sede. También, participan en ellos docentes invitados mediante la modalidad de pasantías. Los CIDES de nuestra Sede en la actualidad son: 40

http://www.pucesd.edu.ec/index.php/investigacion.html

101

 CADES es un espacio que ejecuta proyectos que vinculan nuestra universidad con la comunidad, mediante el estudio de sus necesidades y las

posibles

soluciones

con

miras

desarrollo,

formación

promoción socioeconómico de la región en el ámbito de la gestión empresarial.  CISEN tiene como objetivo planificar y ejecutar todas las actividades de investigación referentes a la prevención y cuidado de la salud en la comunidad a través de cursos de extensión y campañas para una vida saludable.  CITIC lleva adelante proyectos que permiten el desarrollo de las tecnologías de la información y comunicación, en los ámbitos de: Desarrollo de Software, Soporte Técnico, Redes y Capacitación.  DICOM tiene como objetivo la formación, promoción y ejecución de proyectos de comunicación y diseño en respuesta a las necesidades de la sociedad actual, utilizando metodologías y técnica, así como herramientas tecnológicas.  HOTUR ejecuta proyectos turísticos y hoteleros con atención a la conservación ambiental, el desarrollo económico y social, y el servicio a la comunidad.  IDIOMAS tiene como objetivo ser un espacio especialmente dedicado a la FORMACIÓN CONTINUA (Docencia, capacitación y actualización) en la enseñanza de idiomas extranjeros modernos y a proyectos de servicios (traducción, interpretación de textos), para contribuir significativamente en Santo Domingo de los Tsáchilas.

4.3.1.10 Organigrama Institucional41

http://www.pucesd.edu.ec/index.php/sub1nuestraunivgobierno.html

102 CONSEJO DIRECTIVO

PRORRECTOR

COMISIÓN ASESORA

COORDINACIÓN DE EVALUACIÓN Y ACREDITACIÓN

COORDINACIÓN DE RELACIONES INTERINSTITUCIONALES SECRETARÍA GENERAL COORDINACIÓN DE COMUNICACIÓN VIRTUAL

COMISIÓN DE VINCULACIÓN A LA COMUNIDAD

VICE PRORRECTOR

DIRECCIÓN FINANCIERA

DIRECCIÓN ADMINISTRATIVA

DIRECCIÓN DE ESTUDIANTES

DIRECCIÓN ACADEMICA

MISIONES UNIVERSITARIAS

CONTABILIDAD CENTRO MÉDICO

RECURSOS HUMANOS

RECURSOS FÍSICOS

CULTURA

PRESUPUESTO

ACTIVOS FIJOS

CIENCIAS DE LA EDUCACIÓN

DISEÑO

ENFERMERÍA

DEPORTES

MISIONES

ÁREA ESPIRITUAL

TESORERIA

ESCUELAS

CIENCIAS ADMINISTRATIVAS Y CONTABLES

BIENES ESTUDIANTILES

BIBLIOTECA

SISTEMAS

COMUNICACIÓN SOCIAL

HOTELERÍA Y TURISMO

CENTROS DE INVESTIGACIÓN

CITIC

CADES

IDIOMAS

DICOM

COORDINACIONES

HOTUR

CISEN

Figura 7: Organigrama Estructural PUCE SD

JARDÍN BOTÁNICO

INVESTIGACIÓN Y POSTGRADOS

FORMACIÓN

PLANIFICACIÓN Y CURRICULO

ÁREA HUMANISTICA

ÁREA FORMACIÓN

SICOÉTICA

103

4.3.1.11 Mapa del Campus Universitario

Figura 7: Mapa de Distribuci贸n F铆sica del Campus Universitario

Figura 8: Mapa de Distribuci贸n del Campus Universitario 42 42

Realizado por los Autores

104

4.3.1.12 Centro de investigación de las Tecnologías de la Información y Comunicación. (Organigrama)

CENTROS DE INVESTIGACIÓN

CADES ÁREA DE PROGRAMACIÓN CISEN

CITIC

ÁREA DE REDES

DICOM

ÁREA DE SOPORTE TÉCNICO

IDIOMAS ÁREA DE FORMACIÓN CONTINUA HOTUR

JARDIN BOTANICO

Figura 9: Organigrama Estructural del CITIC43

Realizado por los Autores

105

4.3.2 Área de Redes 4.3.2.1 Situación Actual Ubicación: Edificio de Laboratorios.

Figura 10: Ubicación del CITIC44 El Área de R e d e s orgánicamente depende del Centro De Investigación de las Tecnologías de la Información y Comunicación (CITIC), asumiendo la responsabilidad de dirigir l os procesos técnicos de informática. Se dividen en dos partes:  Área de Software Libre Se encarga de la implementación del software a los servidores que se encuentran bajo su administración además de realizar todos los procesos necesarios para estar a la par con la nueva tecnología y los nuevos desarrollos de software que constantemente se encuentran en la web.  Área de Redes

Realizado por los Autores

106

Su función es la de realizar el mantenimiento y conectividad de los equipos de comunicación informática que posee la PUCE SD. Dentro de esta área se encuentra el mantenimiento del internet inalámbrico.

4.3.2.2 Funciones Generales Del Área De Redes  Administración de Servidores.  Mantener la conectividad de los equipos de comunicación informática.  Planificar, ejecutar e impulsar, proyectos de acuerdo al área.

4.3.2.3 Actividades45  Instalación y actualización del software libre.  Creación y soporte de cuentas de correo electrónico para la intranet.  Monitoreo constante a los Servidores.  Revisión de los registros Log de los Servidores.  Actualización de antivirus a los equipos de cómputo del Campus Universitario.  Administración, monitoreo y control del ancho de banda del Campus.  Soporte con software y aplicaciones para los docentes en los laboratorios del Campus.  Soporte a la red estructura WI-FI y la conectividad de los usuarios.

4.3.2.4 Recursos Humanos

Fuente: Jefe de Área

107

Actualmente en el área de r e d e s laboran tres personas, quienes cumplen con las funciones de administración, capacitación, soporte y procesamiento de datos.

NOMBRES

CARGOS



Ing. Carlos Galarza.

Jefe de Área



TP. Julio Limongi

Técnico



TP. Arcesio Vergara

Técnico

Tabla 6: Recursos Humanos del Área de Redes46

Recursos informáticos existentes en área de redes

Nº

Servidor (Web Server)

Servidor (Proxy)

Switch data link 24 puertos

Computadoras Personales

Tabla 7: Recursos Informáticos del Área de Redes47

4.3.2.5 FODA FODA, es una herramienta la cual nos permite realizar el análisis de la situación actual exponiendo tanto sus fortalezas, oportunidades, debilidades y amenazas a las que se encuentran sujetas el área de investigación. Su principal función es detectar las relaciones entre las variables más importantes para así diseñar estrategias adecuadas, sobre la base del análisis del ambiente interno y externo. Dentro de cada una de los ambientes se analizan las principales variables que la 46 47

Realizados por los Autores Realizados por los Autores

108

afectan; en el ambiente externo encontramos las amenazas que son todas las variables negativas que afectan directa o indirectamente a la organización y además las oportunidades que nos señalan las variables externas positivas a nuestra organización. Dentro del ambiente interno encontramos las fortalezas que benefician a la organización y las debilidades, aquellos factores que menoscaban

las

potencialidades

empresa.

La identificación de las fortalezas, amenazas, debilidades y oportunidades en una actividad común de las empresas, lo que suele ignorarse es que la combinación de estos factores puede recaer en el diseño de distintas estrategias o

decisiones

estratégicas.

Es útil considerar que el punto de partida de este modelo son las amenazas ya que en muchos casos las empresas proceden a la planeación estratégica como resultado de la percepción de crisis, problemas o amenazas. El

objetivo de la aplicación del FODA en el CITIC es conocer la realidad

situacional, en la que se encuentra.

Fortalezas  Conocimientos técnicos  Capacitación de parte de la institución.  Desarrollar proyectos.  Sus equipos e instalaciones están en buen estado.  Nivel de desempeño del personal.

Oportunidades  Investigación permanente.  Tendencias Tecnológicas que generan un amplio campo de acción.

109

 Predisposición y voluntad de los nuevos directivos para cambio Tecnológicos.

Debilidades  La oficina (área física) del Área de redes e informática muy reducida.  No tener un data center estructurado.  No realizar monitoreo constantes.

Amenazas  Rotación del personal imposibilitando continuidad a los objetivos propuestos.  Ataques externos a los servidores.  Intrusiones internas sin autorización.

4.3.2.6 Inventario Servidor Web Información obtenida mediante Inventario de Equipo Servidor Web (Ver Anexo 5)

4.3.2.7 Inventario Servidor Proxy Información obtenida mediante Inventario de Equipo Servidor Proxy (Ver Anexo 6)

4.3.2.8 Inventario de PC del Personal del Área de Redes

110

Información obtenida mediante Inventario de Equipo Hardware y Software (Ver Anexo 7)

4.4 PLAN DE AUDITORÍA 4.4.1 Funciones Procedimientos para establecer las funciones realizadas en los servidores Web y Proxy de la PUESD:  Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas).  Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas)  Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos.  Entrevista con los usuarios de los sistemas  Análisis objetivo de la estructuración y flujo de los procesos dentro del departamento.  Recopilación de la información organizacional: estructura orgánica, recursos humanos, presupuestos.  Elaboración de los cuestionarios

4.4.2 Desarrollo de la Auditoría La metodología a seguir basado en forma: Organizacional, operativo, desempeño de los servidores web y proxy. Se les agrupará por fases: 

Auditoría de Dirección.



Auditoría de Mantenimiento.

111



Auditoría de Seguridad. o Física. o Lógica o Medio Ambiente



Políticas de Seguridad

4.4.3 Auditoría de la Dirección 4.4.3.1 Alcance de la Auditoría  Planes, Políticas y Procedimientos  Normativa

4.4.3.2 Objetivos de la Auditoría Realizar un informe de Auditoría con el objeto de verificar la adecuación de

las

medidas

aplicadas

las

amenazas

definidas,

así como

cumplimiento de los requisitos exigidos.

4.4.3.3 Resultados Se obtendrá:  Informe de Auditoría detectando riesgos y deficiencias en la Dirección  Listado de sugerencias o recomendaciones a aplicar en función de: o Normativa a cumplir

Herramientas

112

 Entrevistas, observación y checklist al personal del Área de redes.  Cuestionario de Auditoría de Dirección (ver Anexo 8)

VALORIZACIÓN DE RIESGO

PORCENTAJE %

Muy Alto.

80 – 100

Alto.

60 – 79

Medio

40 – 59

Bajo

20 – 39

Muy Bajo

0 – 19

Tabla 8: Valoración de Riesgo de Auditoría de Dirección48

Configuración Del Servidor Web

40% 60%

SI NO

Gráfica 1: Valorización de Riesgo a la Configuración del Servidor Web49. Análisis Los valores obtenidos de la configuración del servidor web, refleja un nivel de 48 49

Magerit V2: Catalogo de Elementos Adaptado por los autores Realizado por los Autores

113

riesgo medio lo que significa que se debe mejorar, aplicando planes o procedimientos para la configuración.

Políticas y Procedimientos

15% SI NO

85%

Gráfica 2: Valorización de Riesgo de Políticas y Procedimientos50. Análisis Los valores obtenidos muestran un riesgo muy bajo, por consiguiente puede afectar a las políticas y procedimientos los cuales deben ser revisados.

Planeamiento y Capacidad

33% SI 67%

Gráfica 3: Valorización de Riesgo del Planeamiento y Capacidad51.

50 51

Realizado por los Autores Realizado por los Autores

114

Análisis Los valores obtenidos del planeamiento y capacidad, se puede establecer que el nivel de riesgo es bajo, con lo cual se debe reforzar los planes específicos para el área de servidores.

4.4.4 Auditoría del Mantenimiento 4.4.4.1 Alcance de La Auditoría  Configuración del web server  Reserva y recuperación.  Recuperación del desastre y planeamiento de la continuidad del área de servidores.

4.4.4.2 Objetivos de la Auditoría Realizar un informe de Auditoría con el objeto de evaluar el mantenimiento correctivo y Preventivo del software libre que manejan los servidores.

4.4.4.3 Referencia Legal  NTE INEN ISO/IEC 27002:2009  Ley de Comercio Y Firmas Electrónicas  Ley de Propiedad Intelectual

Herramientas  Entrevistas a los encargados del mantenimiento de los servidores.

115

 Cuestionario de Seguridad Lógica (ver Anexo 9) VALORIZACIÓN DE RIESGO

PORCENTAJE %

Muy Alto.

80 – 100

Alto.

60 – 79

Medio

40 – 59

Bajo

20 – 39

Muy Bajo

0 – 19

Tabla 9: Valores de Riesgo de Auditoría de Mantenimiento52

Recuperación y Mantenimiento Lógico

25% SI 75%

Gráfica 4: Valorización de Riesgo en la Recuperación y Mantenimiento lógico.53 Análisis Los valores revelan un nivel de riesgo bajo, lo cual nos indica que se debe incrementar la frecuencia en que se realizan los mantenimientos de software, claves y contraseñas administrativas además de realizar copias de seguridad.

52 53

Magerit V2: Catálogo de Elementos Adaptado por los autores Realizado por los Autores

116

Recuperación Y Mantenimiento Físico

17% SI 83%

Gráfica 5: Valorización de Riesgo en la Recuperación y Mantenimiento físico54. Análisis Los valores obtenidos reflejan un nivel de riesgo muy bajo, por lo que se debe revisar los procedimientos de limpieza y mantenimiento de hardware.

Recuperación del Desastre y Planeamiento de la Continuidad del Área de Servidores.

20% SI 80%

Gráfica 6: Valorización del Riesgo en la Recuperación del Desastre Y planeamiento de la Continuidad del área de servidores55.

Análisis 54 55

Realizado por los autores Realizado por los Autores

117

Los valores obtenidos muestran un riesgo muy alto, se puede establecer que se necesita revisar las políticas y planes de contingencia ante un desastre sea de carácter natural o provocado.

4.4.5 Auditoría de la Seguridad 4.4.5.1 Alcance de la Auditoría • Organización y calificación del personal • Planes y procedimientos • Sistemas técnicos de detección y comunicación • Mantenimiento • Normativas

4.4.5.1.1 Objetivos de la Auditoría Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas

aplicadas

las

amenazas

definidas,

así

como

cumplimiento de los Requisitos exigidos.

4.4.5.1.2 Resultados Se obtendrá:  Informe de Auditoría detectando riesgos y deficiencias en el Sistema de Seguridad.  Plan de recomendaciones a aplicar en función de: Riesgos  Normativa a cumplir Herramientas

118

 Entrevistas, observación y checklist al personal del Área de redes. .

4.4.5.2 Auditoría Lógica  Registro e informes del acontecimiento del Web  Contenido del Web y estándares de Scripting  Web server MGMT y supervisión  Cortafuegos del Web  Cambie el control  Controles de acceso remoto  Autentificación y controles de acceso del usuario

Herramientas  Cuestionario de Auditoría Seguridad Lógica (Ver Anexo 10)

VALORIZACIÓN DE RIESGO

PORCENTAJE %

Muy Alto.

80 – 100

Alto.

60 – 79

Medio

40 – 59

Bajo

20 – 39

Muy Bajo

0 – 19

Tabla 10: Valoración de Riesgos de Auditoría Lógica56 Registro Y Reportes De Eventos Web

Magerit V2: Catálogo de Elementos, Adaptado por los Autores

119

50%

SI NO

Gráfica 7: Valorización de Riesgos a los registros y Reportes de eventos web57. Análisis Los valores reflejan un riesgo medio el cual implica que se debería usar el monitoreo con mayor frecuencia aplicado a los reportes de eventos web y documentarlos.

Estándares Scripts Y Contenido Del Servidor Web

33% SI 67%

Gráfica 8: Valorización de Riesgos a los Estándares Scripts y contenidos del Servidor Web58. Análisis Los valores nos indican un riesgo alto, esto determinado que se puede estar expuesto a una caída del servicio.

57 58

Realizado por los Autores Realizado por los Autores

120

Estándares Scripts Y Contenido De Sitios Del Servidor Web

44% SI

56%

Gráfica 9: Valorización de Riesgos a los estándares Scripts y contenidos de Sitios del Servidor Web59. Análisis Los valores obtenidos indican un riesgo medio alto debido a los ataques de los sitios web y que se debería incrementar las revisiones a los scripts e instalar los software de monitoreo.

Vigilancia Y Gestión Del Servidor Web

33% SI 67%

Gráfica 10: Valorización de Riesgos en Vigilancia y Gestión del Servidor Web60 Análisis Los valores obtenidos indican un riesgo alto por falta de vigilancia y procedimientos al monitorear el servidor web. 59 60

Realizado por los Autores Realizado por los Autores

121

Vigilancia y Gestión De Sitios Del Servidor Web. 0%

SI NO 100%

Gráfica 11: Valorización de Riesgos a la vigilancia y Gestión de sitios del Servidor Web61. Análisis Los valores obtenidos son de riesgo muy bajo ya que se realiza una correcta revisión de los accesos de la lista de control (ACL).

Firewall del servidor Web

27% SI 73%

Gráfica 12: Valorización de Riesgo en el Firewall del Servidor Web62.

Análisis Los valores obtenidos indican un riesgo bajo por no estar correctamente configurados; servicios como lo son el “Protocolo de Mensaje de Control de Internet (ICMP). 61 62

Realizado por los Autores Realizado por los Autores

122

Control de Cambios del servidor web. 0%

SI NO 100%

Gráfica 13: Valorización de Riesgo en el Control de cambios del Servidor Web63. Análisis El valor obtenido indica un riesgo muy alto ya que no se registra los procedimientos realizados para los cambios a realizarse en el servidor web.

Control de Cambios desde los sitios web.

20% SI 80%

Gráfica 14: Valorización de Riesgo en el control de Cambios desde los sitios web64. Análisis El Riesgo es bajo ya que al realizar cambios (incrementos o modificaciones), a la página web, no se debería dejar por ejemplo páginas en construcción sin su respectiva protección. 63 64

Realizado por los Autores Realizado por los Autores

123

Controles de acceso remoto al Servidor Web

20% SI 80%

Gráfica 15: Valorización de Riesgo en controles de Acceso remoto al Servidor Web65. Análisis Los valores obtenidos son de un riesgo bajo pero no despreciable ya que el acceso remoto es una herramienta indispensable para la administración del servidor web.

Autentificación de usuarios y controles de acceso a sitios del servidor web

33% SI 67%

Gráfica 16: Valorización de Riesgo en Autentificación y usuarios Y controles de acceso a los sitios del Servidor Web66. Análisis Los valores de riesgo son bajos ya que existe una falta de control en los manuales de procedimientos aplicados a la Autentificación usuarios y contraseñas. 65 66

Realizado por los Autores Realizado por los Autores

124

4.4.5.3 Auditoría Física Herramienta  Cuestionario Auditoría Física (Ver Anexo 11) VALORIZACIÓN DE RIESGO

PORCENTAJE %

Muy Alto.

80 – 100

Alto.

60 – 79

Medio

40 – 59

.Bajo

20 – 39

Muy Bajo.

0 – 19

Tabla 11: Valoración de Riesgos de la Auditoría de Seguridad Física67

Perímetros De Seguridad Del Servidor Web Y Proxy

37% SI

63%

Gráfica 17: Valorización de Riesgo para perímetros de seguridad de los Servidores Web y Proxy68. Análisis Los valores obtenidos indican un riesgo alto incurriendo en la falta de una correcta utilización de los estándar TIA-942 (Telecomunication Infrastructure 67 68

Magerit v2: Catálogo de Elementos, Adaptado por los Autores Realizado por los Autores

125

Standard for Data Center).

Controles De Ingreso Físico

SI NO 100%

Gráfica 18: Valorización de Riesgo para Controles de ingreso físico69 Análisis Los valores obtenidos indican un riesgo muy alto debido al escaso control de acceso al área de servidores.

Protección Contra Amenazas Externas E Internas 0%

SI NO 100%

Gráfica 19: Valorización de Riesgo contra amenazas Externas e internas70. 69 70

Realizado por los Autores Realizado por los Autores

126

Análisis Los valores obtenidos demuestran un riesgo muy alto una de las causas se da por no tener un correcto control de los registros para el ingreso a áreas críticas (Cuarto de Servidores).

Seguridad Del Cableado

40% 60%

SI NO

Gráfica 20: Valorización de Riesgo la seguridad del cableado71.

Análisis Los valores nos indican que riesgo es alto ya que la estructuración del cableado en el área de servidores no es la correcta basados en lo estándares internacionales.

4.4.5.4 Auditoría al Medio Ambiente.

4.4.5.4.1 Alcance de la Auditoría.  Calificación del rendimiento de los servidores  Software implementado en los servidores

Realizado por los Autores

127

4.4.5.4.2 Objetivos de la Auditoría. Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas Aplicadas a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.  Evaluación de los servidores web y proxy y su entorno.  Evaluación de seguridad de los datos, control de operación, seguridad física y procedimientos de respaldo.  Análisis y evaluación de la información recopilada en los servidores web y proxy.  Evaluación de las configuraciones web y proxy.

4.4.5.4.3 Resultados Se obtendrá:  Informe de Auditoría detectando deficiencias en los Servidores Web y Proxy.  Plan de recomendaciones a aplicar en función de:  Normativa a cumplir

Herramientas  Aplicación del cuestionario al personal.  Entrevistas a los administradores de los servidores.  Cuestionario Auditoría de Medio Ambiente (Ver Anexo 12)

128

VALORIZACIÓN DE RIESGO

PORCENTAJE %

Muy Alto.

80 – 100

Alto.

60 – 79

Medio

40 – 59

Bajo

20 – 39

Muy Bajo

0 – 19

Tabla 12: Valoración de Riesgos Auditoría Medio Ambiente72

Seguridad En El Área De Los Servidores

43% 57%

SI NO

Gráfica 21: Valorización de Riesgo en la seguridad en el Área de los servidores73. Análisis Los valores obtenidos son de riesgo medio y se recomienda actualizar las políticas internas con las cuales se lleva el control en la seguridad del área de los servidores. 72 73

Magerit v2: Catálogo de Elementos, Adaptado por los Autores Realizado por los Autores

129

Desastres Naturales

33% SI 67%

Gráfica 22: Valorización de Riesgo en la Prevención Ante los Desastres Naturales74. Análisis Los valores obtenidos son considerados de riesgo alto, por la escasez de documentos de salvaguardas y planes de contingencia en el área de servidores.

4.4.5.5 Políticas de Seguridad de la Información 4.4.5.5.1 Alcance Establecer los lineamientos para implementar, mantener y mejorar la gestión de la seguridad de la información.

4.4.5.5.2 Objetivo Identificar el nivel de seguridad de la información que se encuentran los Servidores Web y Proxy.

4.4.5.5.3 Resultados

Realizado por los Autores

130



Informe de la situación Actual de las Políticas de Seguridad



Lista se recomendaciones para mejorar

Herramientas Checklist basado en el ISO/IEC 27001 Cuestionario Políticas de Seguridad (Ver Anexo 13) VALORIZACIÓN DE

PORCENTAJE %

EFICIENCIA Muy Alto

75 – 100

Alto

50 – 74

Medio

25 – 49

Bajo

0 – 24

Tabla 13: Políticas de Seguridad de la Información75

Políticas De Seguridad

40%

60%

SI NO

Gráfica 23: Valorización de Riesgo en las Políticas de Seguridad76. Análisis Los valores obtenidos dan un riesgo alto y se necesita documentar dichas 75 76

Realizado por los Autores Realizado por los Autores

131

políticas de seguridad.

Seguridad En El Área De Servidores 0%

NO 100%

Gráfica 24: Valorización de Riesgo de la seguridad en la Infraestructura del área de servidores77. Análisis Estos valores obtenidos son riesgos muy altos y se recomienda revisar los estándares de la TIA-942 (Telecomunication Infraestructure for Data Center).

Seguridad Del Personal 0%

SI NO 100%

Gráfica 25: Valorización de Riesgo de la seguridad del personal78. Análisis Estos valores obtenidos son de riesgo muy alto ya que no se tiene un manual 77 78

Realizado por los Autores Realizado por los Autores

132

de seguridad para el personal.

Capacitación De Usuarios

50%

SI NO

Gráfica 26: Valorización de Riesgo en Capacitación Usuarios79. Análisis Los valores de riesgo son medios e influye directamente a la capacidad y competencia de los administradores de los servidores ya que se debería realizar cronogramas de trabajo para optimizar y aprovechar al máximo el recurso humano.

Respuestas Para Malfuncionamientos De Los Servidores Web Y Proxy.

25% SI 75%

Gráfica 27: Valorización de Riesgo en Respuesta al Malfuncionamiento de los Servidores Web y Proxy80. Análisis 79 80

Realizado por los Autores Realizado por los Autores

133

Estos valores obtenidos son de riesgo alto y se necesita tener un plan de contingencia para evitar fallos producidos.

Seguridad Física Y De Medio Ambiente

43% 57%

SI NO

Gráfica 28: Valorización de Riesgo en la seguridad en el Área de los servidores81. Análisis Estos valores obtenidos son de riesgo medio y se representa una amenaza significativa en la seguridad del área de los servidores.

Controles Generales

50%

SI NO

Gráfica 29: Valorización de Riesgo en los controles generales82. Análisis 81 82

Realizado por los Autores Realizado por los Autores

134

Los valores obtenidos son de riesgo medio y se recomienda crear polรญticas y manuales de procedimientos.

Aceptaciรณn Y Planificaciรณn De Sistemas 0%

SI NO 100%

Grรกfica 30: Valorizaciรณn de Riesgo en la Aceptaciรณn y Planificaciรณn de Sistemas83. Anรกlisis Los valores obtenidos no demuestran riesgo alguno.

Protecciรณn Contra Software Malicioso

33% SI 67%

Grรกfica 31: Valorizaciรณn de Riesgo en la Protecciรณn Contra software malicioso84. Anรกlisis Los valores dan un riesgo alto y demuestra que no tienen configurado un 83 84

Realizado por los Autores Realizado por los Autores

135

protección contra software malicioso para los servidores.

Gestión Interna

33% SI 67%

Gráfica 32: Valorización de Riesgo en Gestión Interna85. Análisis Los valores de riesgo son altos debido a la falta de respaldos de información obtenida en los servidores y establecida desde un manual de procedimientos.

Controles De La Red

50%

SI NO

Gráfica 33: Valorización de Riesgo en los Controladores de la red86. Análisis El riesgo medio obtenido es al no tener las estructuras de las redes de forma 85 86

Realizado por los Autores Realizado por los Autores

136

independiente bajo estándares del TIA-942.

Manejo De Medios De Información Con Seguridad

20% SI

80%

Gráfica 34: Valorización de Riesgo en el manejo de Información con seguridad87. Análisis Los valores de riesgo son muy altos ya que hay que usar con responsabilidad los procedimientos para los soportes informáticos.

Control De Acceso Administración De Acceso A Usuarios

10% SI NO 90%

Gráfica 35: Valorización de Eficiencia en la administración de Acceso a usuarios88.

87 88

Realizado por los Autores Realizado por los Autores

137

Análisis Los valores obtenidos tienen un riesgo muy bajo ya que no hay un mantenimiento a las cuentas de los usuarios y contraseñas

Desarrollo Y Mantenimiento De Sistemas De Aplicación En Los Servidores

25%

SI 75%

Gráfica 36: Valorización de Riesgos en el Desarrollo y Mantenimiento de Sistemas de aplicación en los servidores89. Análisis Los valores obtenidos son de riesgo alto debido a la necesidad de corregir la encriptación de los datos almacenados en las

paginas alojadas en el

servidor.

4.4.6 Revisión Lógica de Configuraciones de los Servidores Web y Proxy

4.4.6.1 Configuración del Servidor Proxy PUCE SD (Ver Anexo 14) 4.4.6.2 Configuración Servidor Web La administración del Servidor Web es compartida por el Área de Redes y el Administrador del servidor Web que se encuentra en otra Área.

Realizado por los Autores

138

En el área Redes el Técnico encargado realiza el levantamiento del servidor Apache como se ilustra en la gráfica.

Gráfica 37. Servidor Web Apache90 El Administrador del Servidor Web es el encargado de la configuración del Servidor Web. Se realizaron más de tres visitas a las instalaciones del Servidor Web, de las cuales solo en una ocasión se nos dejó observar la configuración del Servidor Web, no se nos proporcionó ningún respaldo lógico o físico de la configuración con la cual se pueda trabajar en la presente auditoría. Por lo tanto utilizamos herramientas externas al servidor web para realizar el análisis correspondiente el cual se detalla en el Anexo 15 en el cual consta de:

Parámetros

Herramienta utilizada

Dominio.

Página web de NIC.

Transmisión de contenido.

Página web de Woorank

Técnico Área de Redes

139

4.4.7 Observación de la Sala de Equipos La obtención de estos resultados se hizo a través de fotos y videos detallados a continuación:

4.4.7.1 Observaciones realizadas en el año 2009 a la Sala de Control Observaciones realizadas en el año 2009 a la Sala de Control Equipo Servidor de Dominio.

Servidor Impresoras.

Servidor Secretarias.

Servidor Sistema Contable.

Servidor Correo.

Servidor Proxy.

Servidor Pagina Web.

Servidor Pruebas.

Servidor Proxy sistemas.

Punto de acceso a la red del Servidor proxy, DMZ

Anexo 16 Imagen 1

Imagen 1

Imagen 2

Imagen 3

Imagen 4

Imagen 5

140

Observaciones realizadas en el aĂąo 2009 a la Sala de Control Equipo Punto de acceso a la red del Servidor proxy, LAN.

Punto de acceso a la red del Servidor proxy, LAN.

Punto de acceso a la red del Servidor Pagina Web,

Anexo 16 Imagen 5

Imagen 5

LAN. Punto de acceso a la red del Servidor de Correos.

Punto de acceso a la red del Servidor de Correos

Imagen 5

Internet. Punto de acceso a la red del Servidor Pagina Web.

Punto de acceso a la red del Servidor Proxy.

Punto de acceso a la red del Servidor Prueba.

Punto de acceso a la red del Servidor Contable.

Rack de Piso Cerrado.

Switch HP 48 puertos.

Switch Trendnet de 24 puertos.

Switch Fibra Ă&#x201C;ptica

Imagen 5

Imagen 6

Imagen 7

Imagen 8

141

Observaciones realizadas en el año 2009 a la Sala de Control Equipo Router Cisco 7604

Anexo 16 Imagen 8

XDK Ethernet media Converter

TDA 200 Central telefónica

Caja metálica

Imagen 9

Imagen 10

Aire Acondicionado LG Gold

UPS Backup de Corriente

Imagen 11

Imagen 12

Tabla 14: Observaciones Realizadas en el año 2009

4.4.7.2 Observaciones realizadas en el año 2010 Observaciones realizadas en el año 2010 a la Sala de Control Equipo

Anexo 17

Servidor de Proxy Sistemas.

Imagen 14

Servidor Secretarias.

Imagen 14

Servidor Impresoras.

Imagen 14

Servidor Sistema Contable.

Imagen 15

Servidor de Dominio.

Imagen 16

142

Observaciones realizadas en el año 2010 a la Sala de Control Equipo

Anexo 17

Servidor Proxy.

Imagen 16

Servidor Correo

Imagen 16

Servidor Pagina Web.

Imagen 17

Punto de acceso a la red del Servidor proxy, DMZ

Imagen 18

Punto de acceso a la red del Servidor proxy, LAN.

Imagen 18

Punto de acceso a la red del Servidor proxy, LAN.

Imagen 18

Punto de acceso a la red del Servidor Pagina Web, LAN.

Imagen 18

Punto de acceso a la red del Servidor Correo.

Imagen 18

Punto de acceso a la red del Servidor Correo Internet.

Imagen 18

Punto de acceso a la red del Servidor Página Web.

Imagen 18

Punto de acceso a la red del Servidor Proxy.

Imagen 18

Punto de acceso a la red del Servidor Prueba.

Imagen 18

Punto de acceso a la red del Servidor Contable.

Imagen 18

Rack de Piso Cerrado.

Imagen 19

Switch HP 48 puertos.

Imagen 20

Switch Trendnet de 24 puertos.

Imagen 20

Switch Fibra Óptica

Imagen 21

143

Observaciones realizadas en el año 2010 a la Sala de Control Equipo Router Cisco 7604

XDK Ethernet media Converter

TDA 200 Central telefónica

Caja metálica

Aire Acondicionado LG Gold

UPS Backup de Corriente

Anexo 17 Imagen 21

Imagen 22

Imagen 23

Imagen 24

Imagen 25

Tabla 15: Observaciones Realizadas en el año 2010

4.5 ANÁLISIS DE RIESGO MEDIANTE LA METODOLOGÍA MAGERIT UTILIZANDO LA HERRAMIENTA PILAR BASIC Para evaluar el riesgo utilizamos la herramienta de análisis de riesgos Pilar Basic con licencia de evaluación (ver Anexo 18), el cual sigue el modelo de Magerit. Su función específica es analizar el riesgo o posibles riesgos que pueden ocurrir a los Servidores Web y Proxy y todos los activos relacionados con ellos, además permite establecer el impacto que causan las amenazas encontradas, las vulnerabilidades. A continuación se detallan los procesos más importantes que se deben realizar para identificar los riesgos, esto se lo hace mediante las siguientes gráficas de la herramienta Pilar Basic.

4.5.1 Proyecto A continuación se presentan las gráficas de la utilización de la herramienta de

144

análisis de riesgo Pilar Basic, cada imagen representa una tarea realiza dentro de la misma, desde la descripción del proyecto hasta las salvaguardas para mitigar el posible impacto de una amenaza. Dentro de Proyecto se encuentran los siguientes puntos: 

Datos del Proyecto



Fuentes de Información (Ver Anexo 19)



Dominios de Seguridad(Ver Anexo 19)



Subconjunto de Dimensiones(Ver Anexo 19)



Subconjunto de Criterios de Valoración(Ver Anexo 19)



Subconjunto de Amenazas (Ver Anexo 19)

4.5.2 Datos del Proyecto

Gráfica 38: Fuentes de Información Aquí se define los datos del proyecto como son: Código para todo el proyecto, el nombre, una descripción, responsable del proyecto, la organización a ser

145

evaluada y la fecha.

4.5.3 Análisis de Riesgos Dentro del análisis de riesgos Pilar contiene las siguientes opciones:  Activos  Amenazas  Impacto y Riesgo

4.5.3.1 Activos 4.5.3.2 Identificación Activos

Grafica 39: Identificación de los Activos En esta sección aparece la pantalla de los activos ya creados con su

146

identificación correspondiente dentro del Pilar Basic. Para lo cual se crean Capas como la Equipamiento dentro de la cual contiene, aplicaciones, equipos, comunicaciones y elementos auxiliares. Dentro de Aplicaciones se identifican todo el software necesario de la identidad a ser evaluada para su funcionamiento como por ejemplo (Squid) que es necesario para el funcionamiento del Servidor Proxy.

4.5.3.3 Clases de Activos La clasificación de los activos se hace de acuerdo a la capa que se identifique el activo, en Pilar Basic tiene seis capas básicas las cuales son:  Capa de Negocio  Servicio Internos  Equipamiento  Instalaciones  Servicios Subcontratados  Instalaciones  Personal

Dentro de cada una se puede ubicar a diferentes activos como en la de Servicios Internos en la PUCE SD brinda el acceso a internet a la comunidad universitaria y este servicio estaría dentro de esta capa. De esta manera todos los activos identificados con las fichas se los va estableciendo dentro de una capa específica para el análisis posterior.

147

Gráfica 40: Clases de Activos En la Gráfica 40: Se muestra como los activos están relacionados entre sí, con las distintas capas ofrecidas por Pilar Basic.

4.5.3.4 Valoración de los Dominios Dentro de Pilar Basic, todos los activos se encuentran dentro de un mismo dominio de seguridad, el cual tiene el mismo valor para cada activo lo cual se da un valor dependiendo del activo. Las dimensiones del dominio Base son:

148

Dimensi贸n

[D]

Disponibilidad

[I]

Integridad de los Datos

[C]

Confidencialidad de los Datos

[A]

Autenticidad de los usuarios de la informaci贸n

[T]

Trazabilidad del servicio y de los datos

Tabla 16: Dimensiones del Dominio

Gr谩fica 41: Valoraci贸n de Dominios

149

4.5.3.5 Dependencias Las dependencias entre los activos se realizaron desde las capas inferiores para cumplir un fin. Como se muestra en la Gráfica 42. En la cual el servicio de Internet está en la parte superior y la capa base es la Personal donde se encuentran ubicados los Administradores de los Servidores.

Gráfica 42: Dependencias de Activos

4.5.3.6 Valorización de Activos Para dar valor a cada activo se debe identificar las dimensiones que están relacionadas con él, estos son:

150

Dimensión [D]

Disponibilidad

[I]

Integridad de los Datos

[C]

Confidencialidad de los Datos

[A]

Autenticidad de los usuarios de la información

[T]

Trazabilidad del servicio y de los datos Tabla 17: Dimensiones de los Activos

Si es necesario se da valor a todas las dimensiones, caso contrario solo a las dimensiones, que afecten directamente al activo no existe ningún contra tiempo si la dimensión queda sin valor alguno, simplemente el dominio no se aplica.

Gráfica 43: Valoración de Activos En la gráfica 43, se ilustra la valoración de los activos, estos valores se

151

establecen mediante una escala establecida por la metodología Magerit la cual establece los niveles de criterios de nivel 0 a nivel 10 (Ver Anexo 19), dentro de cada nivel existen subniveles dependiendo del estado de criticidad del activo y su dimensión.

4.5.4 Amenazas Los activos se ven afectados por las amenazas, una amenaza que influye sobre un dominio lo hace con todos los activos que estén dentro de ese dominio. Dentro de las amenazas tenemos: 

Vulnerabilidad de los Dominios



Identificación



Valoración

4.5.4.1 Vulnerabilidad de los Dominios

Gráfica 44: Vulnerabilidad de los Dominios

152

En la gráfica se muestra las posibles amenazas que pueden afectar al dominio Base que contiene a todos los activos del proyecto

4.5.4.2 Identificación Para la identificación de las amenazas la herramienta de análisis de riesgos Pilar Basic tiene en su base cargado de las posibles amenazas que pueden afectar a un activo de una pequeña a media empresa, para lo cual se ilustra la siguiente gráfica

Gráfica 45: Identificación de las Amenazas En la gráfica se identifica las posibles amenazas para cada activo del proyecto estas pueden ir desde desastres naturales, de origen industrial.

153

4.5.4.3 Valorizaci贸n

Gr谩fica 46: Valoraci贸n de Amenazas Para la valoraci贸n de las amenazas se las hizo en forma de probabilidad como se ilustra en la Tabla.

154

Probabilidad I

Improbable

Poco Probable

Probable

Casi Seguro Tabla 18: Probabilidad de Amenazas

Para cada dimensi贸n la probabilidad se establece de la siguiente manera Probabilidad B

Bajo

Medio

Alto

MA T

Muy Alto Total

Tabla 19: Valor de Probabilidad de las Dimensiones de un activo

De esta forma se puede establecer el valor de la amenaza para activo y su dimensi贸n.

4.5.5 Impacto y Riesgo 4.5.5.1 Impacto Acumulado

155

Gráfica 47: Impacto En la gráfica 47 se ilustra el impacto que causan las amenazas a los activos de acuerdo a su valor acumulado en cada dimensión y la degradación causada por la amenaza. En la PUCE SD los activos con mayor impacto son el activo de Página Web y Internet los cuales se encuentran en la parte superior de las dependencias.

4.5.5.2 Riesgo Acumulado En la siguiente gráfica se ilustra los activos que mayor impacto acumulado presentan. Estos Activos son: (Pagina Web, Internet, Acceso a Internet)

156

Gráfica 48: Riesgo Acumulado

4.6 TRATAMIENTO DE LOS RIESGOS Dentro del tratamiento tenemos:  Salvaguardas  Impacto y Riesgo Residuales

4.6.1 Salvaguardas

157

4.6.1.1 Identificaci贸n de Salvaguardas

Gr谩fica 49: Identificaci贸n de Salvaguardas

158

4.6.1.2 Valorizaci贸n

Gr谩fica 50: Valorizaci贸n de Salvaguardas

4.6.1.3 Impacto y Riesgos Residuales 4.6.1.4 Tabla de Impacto y Riesgo En la tabla de Riesgo Acumulado presenta los Activos las Amenazas que existen sobre ese activo, las dimensiones el valor del activo, el valor acumulado sobre ese activo y el valor de probabilidad aplicado a ese activo y el riesgo causado por la amenaza como se ilustra en la tabla 19.

159

Valor del Activo

Valor Acumulado

Degradaci贸n del Activo

Impacto de la amenaza en el valor del Activo

Probabilidad de amenazas

riesgo

Riesgo causado por la amenaza sobre el activo

Tabla 20: Siglas del Riesgo Acumulado

Gr谩fica 51: Tabla de Impacto y Riesgo Acumulados

160

4.6.1.5 Informe

Gráfica 52: Informe Mediante Barras Informe Valor/Activo Magerit establece una escala de criterio para la valoración de activos estos van desde un nivel 0 hasta el nivel 10. (Ver Anexo 19)

4.7 LISTADO DE SUGERENCIAS Dado los hallazgos en las diferentes auditorías y análisis de riesgos se pueden establecer un listado de sugerencias u oportunidades de mejora:

161

ORGANIZACIÓN: PUCESD

AUDITORES

NO. DE AUDITORÍA: 01

MERY CHIMBO Y WILIAN REDROBAN

Listado de Sugerencias

Nº Obs

Factor

Auditoría Dirección 1

Categoría

Configuración

Oportunidad de Mejora

Referencia Norma

Ref. Ley Ecuatoriana

Plan de Administración de Software

Norma Técnica Ecuatoriana

Ley de Comercio, firmas

Basado en el punto 12.4.1 Control de

(NTE) INEN-ISO/IEC

Electrónicas 2002 (L.C.F.E.)

Software Operativo los apartados

27002:2009

Accesos no Autorizados Art.

d) Se debería usar un sistema de control

Norma AREA:400-02,

de configuración para mantener el control

Contraloría General del

L.C.F.E. Daños informáticos

del software implementado, así como la

Estado

Sabotaje informático 415.1-415.2

2021-202.2 Cód. Penal

documentación del sistema.

Cód. Penal

e) Es conveniente implantar una política de estrategia de restauración al estado anterior antes de implementar los cambios.

L.CF.E. Daños informáticos Sabotaje informático 415.1-415.2 Cód. Penal

f) Se debería conservar un registro para

162

auditoría de todas las actualizaciones de las bibliotecas de los programas operativos. (ver Anexo 19)

9. Procesos de Control (ISO/IEC 2000012009)

Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 200001:2009

9.1. Gestión de la Configuración (ver Anexo 20)

9.1.3 Procesos Control (ver Anexo 21) NTE INEN-ISO/IEC 200002:2009

Políticas y

Política de Seguridad Informática

Procedimientos 13.1.1 Reporte sobre los eventos de

Norma AREA:400-02,

Sabotaje Informático 415.1-

Contraloría General del

415.2 Cód. Penal

Estado

seguridad de la información (ver anexo 22) NTE INEN-ISO/IEC 27002:2009

163

Auditoría

Planeamiento y

Planificación e implementación de la

NTE INEN-ISO/IEC 20000-

Ley Propiedad Intelectual. Art.

Capacidad

gestión de servicio (ver Anexo 23)

2:2005

28 al 32

Lógico

Plan de Aseguramiento de la Calidad del

NTE INEN-ISO/IEC

L.C.F.E. Accesos no Autorizados

Software.

27002:2009

202.1 – 202.2

NTE INEN-ISO/IEC

LC.F. E. Daños informáticos

27002:2009

415.1 – 415.2

Mantenimiento

12.5.1. Procedimientos de control de cambios 12.5.2. Revisión técnica de las aplicaciones después de los cambios en el sistema operativo (ver Anexo 24)

Físico

Plan de Administración de Hardware 11. Control de Acceso 11.1.1 Políticas de control de acceso (ver Anexo 25)

Recuperación

14.Gestión de la continuidad del Negocio

NTE INEN-ISO/IEC

L.C.F.E. Accesos no Autorizados

de Desastres y

(ver Anexo 26)

27002:2009

202.1 – 202.2 Cód. Penal

Planeamiento

164

de la continuidad Plan de Contingencia

Norma AREA:400-02, Contraloría General del Estado

Auditoría

Física

9. Seguridad física y del entorno

NTE INEN-ISO/IEC

L.C.F.E Accesos no Autorizados

27002:2009

202.1 – 202.2 Cód. Penal

9.1.1 Perímetro de la seguridad física (ver

NTE INEN-ISO/IEC

L.C.F.E.

Anexo 27)

27002:2009

9.1.2 Controles de acceso físico (ver

NTE INEN-ISO/IEC

Anexo 28)

27002:2009

9.2.3 Seguridad del cableado (ver Anexo

NTE INEN-ISO/IEC

29)

27002:2009

Seguridad

Perímetro de Seguridad

Ingreso Físico

Seguridad de Cableado

Auditoría Seguridad

Lógica

Plan de Administración y Procesamiento de Datos

165

Registro y

13. Gestión de los incidente de la

NTE INEN-ISO/IEC

Reportes

seguridad de la información (ver Anexo

27002:2009

30)

Scripts y

10.5.1 Respaldo de la información (Ver

NTE INEN-ISO/IEC

contenido

Anexo 31)

27002:2009

Vigilancia y

11.1.1 Política de control de acceso

NTE INEN-ISO/IEC

gestión

Firewall

27002:2009

11.1.1 Política de control de acceso

NTE INEN-ISO/IEC 27002:2009

Control de

11.1.1 Política de control de acceso

Cambios

Controles de

27002:2009

11.1.1 Política de control de acceso

Acceso Remoto

Autentificación

NTE INEN-ISO/IEC

NTE INEN-ISO/IEC 27002:2009

11.1.1 Política de control de acceso

NTE INEN-ISO/IEC

166

de usuarios

Auditoría de

Seguridad en el

Medio

Área de los

Ambiente

Servidores

Desastres

27002:2009

9. Seguridad Física (Ver Anexo 32)

Plan de Contingencia

Norma AREA: 400:02

NTE INEN ISO/IEC 27002:2009

NTE INEN ISO/IEC

Contraloría General del Estado

Naturales

Políticas de

Seguridad

Seguridad de la

27002:2009

Información

Seguridad Web

Configuración

10.9.3 Información disponible al público

NTE INEN-ISO/IEC

L.C.F.E. Accesos no Autorizados

(Anexo 33)

27001:2009

202.1 – 202.2

167

4.8 INFORMES DE AUDITORÍAS 4.8.1 Informe Específico De Auditoría De Dirección ORGANIZACIÓN: PUCE SD, Área de Redes Departamento del CITIC.

NO. DE AUDITORÍA:

PROCESO

FECHA:

Auditoría de los Servidores Web y Proxy

AUDITORES DOCUMENTO DE REFERENCIA OBJETIVO

Verificar la adecuación

de las medidas aplicadas a las amenazas definidas, así como el

cumplimiento de los requisitos exigidos ALCANCE 

Planes, Políticas y Procedimientos



Normativa

NO CONFORMIDADES Descripción del Hallazgo

No.

La institución no cuenta con planes contingencia para resguardar información vital.

No tiene planteados procedimientos en casos de desastres informáticos.

No tiene manual de configuración de los Servidores

CONCLUSIONES DE AUDITORÍA Se debe implantar Políticas de Seguridad para resguardar la información vital de la PUCE SD AUDITOR LÍDER

RECIBÍ DE CONFORMIDAD

FECHA DE EMISIÓN DEL INFORME

FECHAS DE AUDITORÍA

168

4.8.2 Informe Específico de Auditoría de Seguridad ORGANIZACIÓN: PUCE SD, Área de Redes Departamento del CITIC.

NO. DE AUDITORÍA:

PROCESO

FECHA:

Auditoría de Seguridad

AUDITORES DOCUMENTO DE REFERENCIA OBJETIVO Verificar la ubicación y seguridad de las instalaciones, así como evaluar las políticas de mantenimiento lógico y físico. ALCANCE Organización y calificación del personal Planes, procedimientos, normativas y mantenimiento Sistemas técnicos de detección y comunicación NO CONFORMIDADES No.

Descripción del Hallazgo No Cuentan con Planes de Contingencias

No cuentan procedimientos en caso de desastres

El mantenimiento es muy distante

No tiene establecidos los perímetros de seguridad del área de servidores Se tiene acceso a la página del administración del sitio Web CONCLUSIONES DE AUDITORÍA AUDITOR LÍDER

FECHA DE EMISIÓN DEL INFORME

RECIBÍ DE CONFORMIDAD

FECHAS DE AUDITORÍA

169

4.8.3 Informe Específico de Auditoría de Mantenimiento

ORGANIZACIÓN: PUCE SD, Área de Redes Departamento del CITIC.

PROCESO

Auditoría de Mantenimiento

NO. DE AUDITORÍA:

FECHA:

AUDITORES DOCUMENTO DE REFERENCIA

OBJETIVO

Evaluar el mantenimiento correctivo y Preventivo del software libre que manejan los servidores.

ALCANCE



Configuración del Web server y proxy.



Reserva y recuperación.



Recuperación del desastre y planeamiento de la continuidad del área de servidores.

NO CONFORMIDADES No.

Descripción del Hallazgo

Las configuraciones necesitan procedimientos de resguardo

No cuentan con registro de acontecimientos en corto plazo

CONCLUSIONES DE AUDITORÍA

AUDITOR LÍDER

RECIBÍ DE CONFORMIDAD

FECHA DE EMISIÓN DEL INFORME

FECHAS DE AUDITORÍA

170

4.9 INFORME FINAL DE AUDITORÍA A LOS SERVIDORES WEB Y PROXY

Santo Domingo, 15 de febrero de 2011 Msc. Rodolfo Córdova DIRECTOR DEL CITIC Presente:

De nuestra consideración:

Tenemos el agrado de dirigirnos a Ud. a efectos de presentarle el informe final de la Auditoría de los Servidores Web y Proxy de la PUCESD, sobre la base del análisis y procedimientos detallados de toda la información recopilada y emitido en el presente informe. Síntesis de la revisión realizada, clasificado en las siguientes secciones: 1. Dirección 2. Mantenimiento 3. Seguridad

El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su análisis. a) Situación. Describe brevemente las debilidades resultantes de nuestro análisis. b) Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se encuentran expuestos los Servidores Web y Proxy.

171

Al realizar el análisis hemos encontrado falencias en que no existe un informático;

y plan

falencias en la seguridad física y lógica; no existe auditoría de

sistemas; falta de respaldo a las operaciones; accesos de los usuarios. El detalle de las deficiencias encontradas, como así también las sugerencias de solución se encuentran especificadas en los Anexos adjuntos. La aprobación y puesta en práctica de estas sugerencias ayudarán

a la PUCESD brindar

servicio más eficiente a la comunidad universitaria.

Agradecemos la colaboración prestada durante nuestra visita a todo el personal del Área de Redes, quedamos a vuestra disposición para cualquier aclaración y/o ampliación de la presente que estime necesaria. Se Adjunta los hallazgos y el listado se sugerencias.

Atentamente.

_____________________ Srta. Mery Chimbo

_____________________ Sr. Wilian Redrobán

Egresados de la Escuela de Sistemas y Computación

172

ORGANIZACIÓN: PUCESD

NO. DE AUDITORÍA: 01

PROCESO

AUDITORES

AUDITORÍA SERVIDORES WEB y PROXY

FECHA: 15-022011

Mery Chimbo, Wilian Redroban

DOCUMENTO DE REFERENCIA

Manual de Auditoría Gubernamental, Auditorías Internas de Sistemas de gestión de la Calidad. NTE INEN – ISO 19 011. Técnicas de lá Seguridad de NTE INEN-ISO/IEC 27002:2009

OBJETIVO

Realizar un plan de auditoría acorde a las necesidades de la PUCESD Ejecutar un proceso de auditoría a los Servidores Web y Proxy de la PUCESD. Analizar la información obtenida para determinar los riesgos que están expuestos los activos de la PUCE-SD. Establecer una listado de sugerencias para optimizar el desempeño de los Servidores. Diseñar un informe final basado en los resultados arrojados por la auditoría.

ALCANCE

Políticas, Normas Procesos y Manuales, del Área de Redes

173

NO CONFORMIDADES

No.

Descripción del Hallazgo

No Cuentan con Planes de Contingencia para Desastres Informáticos (Ver Anexo 8)

No cuenta con Políticas de Seguridad de la Información (Ver Anexo 13)

Falta de espacio en la Sala de Equipos (Ver Anexo 15 y 16)

El mantenimiento de los equipos no son muy frecuentes (Ver Anexo 9)

La sala de equipos no cuenta con salida de emergencias (Ver Anexo 11, 15 y 16)

No tiene n manuales de configuración de los servidores Web y Proxy de la PUCE-SD (Ver Anexo 10)

No tiene establecidos los perímetros de seguridad del área de los Servidores Web y Proxy de la PUCE-SD (Ver Anexo 11)

No tienen Control del ingreso físico a la sala de Control (Servidores Web y Proxy de la PUCE-SD) (Ver Anexo 11)

No tiene Protección contra amenazas externas e internas (Ver Anexo 13)

No cuenta con una seguridad del Cableado óptima (Ver Anexo 11)

No lleva un control de los estándares de logs, Scripts y su contenido (Ver Anexo 11)

174

No cuentan con un control de cambios versiรณn de los Servidores Web y Proxy de la PUCE-SD (Ver Anexo 11)

No cuenta con polรญticas o procedimientos para la seguridad del รกrea de servidores (Ver Anexo 13)

No cuentan con planes para la protecciรณn del recurso humano (Ver Anexo 13)

La capacitaciรณn de los usuarios es buena pero no excelente (Ver Anexo 13)

La respuesta a malfuncionamiento de los servidores no es inmediata lo que causa perdida de informaciรณn (Ver Anexo 10)

No cuenta con un eficiente protecciรณn contra software malicioso (Ver Anexo 11)

La gestiรณn interna es poco eficiente (Ver Anexo 11)

El control de red no es completamente รณptimo (Ver Anexo 11 y, 13)

El manejo de los medios de informaciรณn con seguridad es deficiente (Ver Anexo 13)

No cuenta con una administraciรณn de accesos de los usuarios a los servidores (Ver Anexo 13)

No se lleva un control sobre el desarrollo de los sistemas de aplicaciรณn de los servidores (Ver Anexo 13)

Falta de organizaciรณn en el cableado en la sala de control (Servidores Web y Proxy de la PUCE-SD) (Ver Anexo 13, 15 y 16)

175

Falta de mantenimiento físico en los equipos de la sala de control (Ver Anexo 9)

No tienen planes de administración de servidores (Ver Anexo 13)

No cuenta con planes de respaldos de software (Ver Anexo 13)

No tienen plan de administración de hardware (Ver Anexo 13)

No cuentan con plan de administración de redes (Ver Anexo 13)

No tienen bloqueado el acceso a la pagina de administración del Sitio Web de la PUCE SD (anexo15)

CONCLUSIONES DE AUDITORÍA

Se deben implantar normas, planes y procedimientos que permitan llevar un control de todos los sucesos que ocurren en el entorno de los servidores Web y Proxy

AUDITOR LÍDER

RECIBÍ DE CONFORMIDAD

FECHAS DE AUDITORÍA

FECHA DE EMISIÓN DEL INFORME

15-02-2011

4.10 ANÁLISIS DE IMPACTO Los impactos que se generaron en la realización de la presente disertación, los determinamos mediante una tabla con niveles en forma numérica y los indicadores con una descripción de la siguiente manera:

176

Nivel

Descripción

-3

Impacto alto negativo

-2

Impacto medio negativo

-1

Impacto bajo negativo

No hay impacto

Impacto bajo positivo

Impacto medio positivo

Impacto alto positivo

Tabla 21: Análisis de Impacto Niveles

4.10.1 Análisis de Impacto Tecnológico Nivel de Impacto Indicadores.

-3

-2

-1

Mejora del Servicio

3 X

de Internet Seguridad

Información Total

∑=6 ∑

Vin= Valor del Indicador

177

Nin= Número total de indicadores

Nivel de Impacto General = Impacto positivo en un nivel Alto

Análisis  La implementación de auditorías como medio de actualización tecnológica, permite mejorar el servicio de internet que brinda la universidad a la comunidad universitaria  El nivel de la seguridad de la información aumenta significativamente garantizando un mejor flujo de información.

4.10.2 Análisis de Impacto Ambiental Nivel de Impacto Indicadores

-3

-2

-1

Reciclado de

Soporte de Información

Total

∑= 2 ∑

Vin= Valor del Indicador Nin= Número total de indicadores

178

Nivel de Impacto General = Impacto positivo en un nivel Medio Análisis  La disertación permitirá mediante políticas de seguridad de la información la forma se ayudaría a la naturaleza reciclando de los soportes de información (CD, DVD).

4.10.3 Análisis de Impacto Social

Nivel de Impacto

-3

-2

-1

Indicadores Reducción Ingeniería

Social Total

∑= 3 ∑

Vin= Valor del Indicador Nin= Número total de indicadores

Nivel de Impacto General = Impacto positivo en un nivel Alto

Análisis La Auditoría a los Servidores Web y Proxy de la PUCE SD permitirá reducir todos los aspectos que trata la Ingeniería Social (Hacker etc.)

179

4.10.4 Análisis de Impacto Económico Niveles de Impacto -3

-2

-1

Indicadores Reducción de los costos

Frecuencia de compra de

equipos

Frecuencia de compra de

software

Total

∑= 6 ∑

Vin= Valor del Indicador Nin= Número total de indicadores

Nivel de Impacto General = Impacto positivo en un nivel Medio

Análisis 

La auditoría permitirá establecer planes para la adquisición de equipos ya sean estos a corto, mediano o largo plazo con lo cual la institución puede establecer los costos en los equipos que puede adquirir.



Además permitirá reducir la frecuencia de compra de equipos y software para la protección de los equipos.

180

4.10.5 Análisis Impacto General Niveles de Impacto -3

-2

-1

Indicadores Impacto Tecnológico

Impacto Social

Impacto Económico

Impacto Ambiental

Total

∑= 10 ∑

Vin= Valor del Indicador Nin= Número total de indicadores

Nivel de Impacto General = Impacto positivo en un nivel Medio

Análisis La Auditoría aplicada a los Servidores Web y Proxy de la PUCE SD, muestra un impacto positivo en un nivel Medio, lo que permite mejorar los servicios tecnológicos que brinda la universidad a la comunidad universitaria así como al público en general

181

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES De acuerdo a los objetivos planteados y los resultados obtenidos al aplicar la Auditoría a los Servidores Web y Proxy la cuál fue desarrollada, fundamentada en las Normas y Técnicas Ecuatorianas para las Tecnologías de la Información se concluye que: La seguridad de la información no debe ser considerada únicamente desde el punto de vista tecnológico, sino también como un aspecto administrativo, de modo que los controles tecnológicos se respalden en políticas, procedimientos, manuales y estándares documentados y verificables, haciendo de conocimiento para las personas que comprenden el departamento tecnológico de una organización; ya que esto se debe llevar a un nivel de concienciación y culturización para los administradores, operadores y usuarios además de establecer un vinculo de compromiso y comportamiento preponderante hacia la seguridad de la información. Una política de seguridad informática, es un procedimiento formal que tanto los administrativos como los administradores de los recursos deben establecer como una norma a seguir por parte de los operadores y usuarios, en relación con los recursos y servicios informáticos de la organización. No se puede considerar que una política de seguridad informática sea una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a la conducta de los empleados; es más bien una descripción de los activos que deseamos proteger y la razón por la que lo hacemos, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, el medio para impulsar el intercambio y desarrollo. Las

políticas

seguridad

informática,

también

deben

ofrecer

explicaciones

comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. De igual manera, deberán establecerse las expectativas de la

182

organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos. No existe un plan de contingencia para el caso de accidentes naturales, ni un plan de emergencia si se presenta una caída del sistema por agotamiento de los recursos. Promocionar una cultura de Seguridad requiere una amplia participación de los involucrados para asegurar que se le otorgue un carácter prioritario a la planificación y Administración de la Seguridad. Evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso físico permite: 

Disminuir siniestros



Descartar falsas hipótesis si se produjeran incidentes



Tener los medios para enfrentar los incidentes

Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados. Estas decisiones pueden variar desde el conocimiento de las áreas que recorren ciertas personas hasta el extremo de evacuar el edificio en caso de accidentes. Aumentar las medidas para garantizar la disponibilidad de los servicios informáticos generando confianza y acerca a los usuarios. Es determinante entender que en un Plan de Contingencias se invierte, para un ahorro futuro y no considerarlo como un gasto del presente, y adoptarlo tendrá un impacto en las funciones y en las responsabilidades. El Plan de Contingencias en el Sistema de Información debe ser un elemento vivo, que se mantenga, pruebe y actualice periódicamente.

183

Concluimos que actualmente en nuestro medio no se pone real énfasis en temas referentes a: Auditoría Informática, Controles y Seguridad, en el desarrollo y desempeño de las actividades relacionadas con los recursos de tecnología de información. En toda área de tecnología

debe

existir una persona o grupo encargado de la

planificación y ejecución de las tareas de auditorías y la evaluación periódica de los sistemas de información, mediante las cuales se pueda mantener estadísticas constantes del desempeño de los mismos y de las personas, proveedores que son responsables de su adecuado mantenimiento.

184

RECOMENDACIONES

Se debe tomar en cuenta que las empresas sufren cambios con el transcurso del tiempo, por lo tanto el sistema de seguridad de la información debe cambiar continuamente de manera que se adapte a los nuevos requerimientos de la organización. Es conveniente implementar controles de seguridad de la información con el objetivo de mitigar los riesgos a los que están sujetos los activos de información digital de la organización, dichos controles deben ser metodológicamente establecidos con la finalidad de que su eficacia y operatividad no generen nuevas brechas de seguridad y que además sean conocidos y aceptados por los empleados; los riesgos a ser mitigados deben determinarse en base a estándares aceptados considerando las vulnerabilidades y las amenazas que podrían tener cierta influencia sobre la información, la misma que debe ser protegida según su grado de criticidad para los procesos de la organización. Todo esto empleando un equipo capacitado en seguridad de la información que posea conocimientos tanto administrativos como técnicos,

que

además

apoyen

metodologías establecidas, probadas y

utilizadas. (Ej. Certificación ISO 27002). Implementar un plan de contingencia para la Seguridad Informática, este será una herramienta imprescindible para la recuperación de información, este plan de contingencia debe contemplar tanto la seguridad física, como la seguridad lógica y estaría complementado con un plan de emergencia y con un plan de recuperación de la información. Fortalecer los conocimientos de todo el personal, tanto administrativo como operativo, con cursos de formación y capacitación en el área de seguridad de la información. Definir claramente los permisos y accesos de cada funcionario de la Organización y de todos los usuarios del sistema de información de la Organización. Capacitar a los usuarios en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y a la seguridad física del área de trabajo. Se recomienda que todos los incidentes de seguridad, deban ser registrados, reportados, revisados y escalados apropiadamente en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas, esto significa que por lo menos

185

cada aĂąo se deberĂĄ examinar las falencias o debilidades del plan para modificarlo o reforzar los puntos mĂĄs propensos a desastres.

186

BIBLIOGRAFÍA

Libros: Areito Javier, Seguridad de la Información. Redes, Informática y Sistemas de Información, España, Editorial Paraninfo, 2008 Arter R. Dennis, Auditorías de Calidad para Mejorar La Efectividad en su Empresa, México, Panorama, Segunda Edición, 1997 Blanco L. Yanel, Normas y Procedimientos de la Auditoría Integral, Bogotá, Primera Edición, 2004. Echenique G., José A. Auditoría Informática, México, McGraw-Hill, Segunda Edición, 2001. Gaspar M. Juan, La Continuidad del Negocio en Organizaciones, 2004 Gómez A., Mario La Auditoría de Calidad en la Empresa Moderna, México, Panorama, Primera Edición, 1998 Gonzales G. Rafael E., Diccionario de Computación y Electrónica, México, 2004 Muñoz R., Carlos Auditoría en Sistemas Computacionales, México, Prentice Hall, Segunda Edición, 2002. Piattini V. Mario, Auditoría de Tecnologías y Sistemas de Información, Primera Edición., Alfaomega, 2008 Rivas Gonzalo A, Auditoría Informática, Madrid, Ediciones Díaz de Santos, S/E, 1988 Norma Técnica Ecuatoriana

NTE INEN-ISO 19011:2005, Directrices para la

Auditoría de los Sistemas de Gestión de la Calidad y/o Ambiental, Noviembre 2010 Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 20000-1:2009, Tecnología de la Información. Gestión del Servicio Parte 1: Especificaciones, Primera Edición

187

Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 20000-2:2009, Tecnología de la Información. Gestión del Servicio Parte 2: Código (20000-2:2005), Primera Edición Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27002-2:2009, Tecnología de la Información. Técnicas de Práctica para la Gestión de la Seguridad de la Información, Primera Edición.

En Internet: canaves@infovia.com.ar.

Auditoría

Informática.

http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml, 26/11/2008 anaranjo2408[arroba]hotmail.com Conceptos de la Auditoría de Sistemas http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml, 27/11/2008 Quinn Eduardo Horacio, La Auditoría Informática dentro de las etapas de Análisis de

Sistemas

Administrativos,

http://www.monografias.com/trabajos5/audi/audi2.shtml, 28/11/2008 Wikipedia,

Auditoría

informática,

http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica, 29/11/2008

AUDITORÍA INFORMATICA http://www.audit.gov.tw/span/span2-2.htm, 01/12/2008/ Gómez López Roberto, GENERALIDADES EN LA AUDITORÍA, http://www.eumed.net/cursecon/libreria/rgl-genaud/1x.htm, 02/12/2008

188

GLOSARIO Basado en ISO Activo (Asset) En relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según (ISO/IEC 13335-1:2004): Cualquier cosa que tenga valor para la organización. Alcance de la auditoría Extensión y límites de una auditoría. Alerta (Alert) Una notificación formal de que se ha producido un incidente relacionado con la seguridad de la información que puede evolucionar hasta convertirse en desastre. Amenaza Una causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema u organización (ISO/IEC 1335-1:2004) Auditor Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un área particular. Auditoría (Audit) Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.

Checklist

189

Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la autoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Criterios de auditoría Conjunto de políticas, procedimientos o requisitos. Confidencialidad (Confidenciality) Acceso a la información por parte únicamente de quienes estén autorizados. Según (ISO/IEC 13335-1:2004): característica/propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados. Control Las políticas, procedimientos, lineamientos, prácticas y las estructuras organizacionales, concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Desastre (Disaster) Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la misma afectada de manera significativa. Disponibilidad (Availability) Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Evaluación del riesgo (Risk evaluation) Proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo (ISO/IEC Guía 73:2002) Evento de seguridad de la información Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible falla en la política de

190

seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad. (ISO/IEC TR 18044:2004) Evidencia Objetiva (Objective evidence) Información registro o declaración de hechos, cualitativa o cuantitativa, verificable y basda

observación,

medida

o test,

sobre

aspectos relacionados

con

confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación de un elemento del sistema de seguridad de la información. Incidente de seguridad de la información Un incidente de seguridad de la información es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información. (ISO/IEC TR 18044:2004) Lineamiento. Una descripción que aclara qué se debiera hacer y cómo,

para lograr los objetivos

establecidos en las políticas (ISO/IEC 13335-1:2004) Medios de procesamiento de la información Cualquier sistema, servicio o infraestructura de procedimiento de la información, o los locales físicos que los alojan. Seguridad de la información Preservación de confidencialidad, integración y disponibilidad de la información, además también puede involucrar otras propiedades como autenticidad, responsabilidad, no repudiación y confiabilidad. Política Intención y dirección general expresada formalmente por la gerencia Riesgo Combinación de la probabilidad de un evento y su ocurrencia (ISO/IEC Guía 73:2002). Tratamiento del riesgo

191

Proceso de selección e implementación de medidas para modificar el riesgo Tercera persona Esa persona u organismo que es reconocido como independiente de las partes involucradas con relación al ítem en cuestión (ISO/IEC Guía 2:1996) Vulnerabilidad La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas (ISO/IEC 13335-1:2004).

Basado en Metodología Magerit Análisis de los riesgos (Risk Analysis) Uso sistemático de la información para identificar fuentes y estimar el riesgo. (ISO/IEC Guía 73:2002) Acreditación Procedimiento mediante el cual un Organismo autorizado reconoce formalmente que una organización es competente para la realización de una determinada actividad de evaluación de la conformidad. Certificación El objetivo de la certificación es “declarar públicamente que un producto, proceso o servicio es conforme con requisitos establecidos”. Documento de certificación (o registro) Documento que afirma que el sistema de gestión de la seguridad de la información (SGSI) de una organización es conforme a la normativa de referencia adaptada a la singularidad de la organización certificada. Documento de selección de controles Documento que describe los objetivos de control y los controles relevantes y aplicables al Sistema de Gestión de la Seguridad de la Información de la organización.

192

Éste documento debe estar basado en los resultados y conclusiones del proceso de análisis y gestión de riesgos. Esquema de certificación Marco técnico y administrativo que establece la referencia de trabajo frente a la que se contrasta el cumplimiento de la organización sometida a evaluación, se emite el certificado o registro y se mantiene actualizado y válido. Evaluación Conjunto de actividades que permiten determinar si la organización satisface los criterios aplicables dentro del esquema de certificación. Incluye actividades preparatorias, revisión de la documentación, inspección del sistema de información y la preparación de la documentación pertinente para la emisión del certificado de conformidad, si procede. Garantía (Assurance) Base de la confianza en que una entidad cumple sus objetivos de seguridad. Gestión del riesgo Actividades coordinadas para dirigir y controlar una organización con relación al riesgo. Organismo de certificación (o registro) Entidad que, a la vista del informe de evaluación, certifica (o registra) la satisfacción por la organización de los requisitos establecidos en el esquema de certificación. Organismos de evaluación de la conformidad Son los encargados de evaluar y realizar una declaración objetiva de que los servicios

y productos cumplen unos requisitos específicos, ya sean del sector

reglamentario o del voluntario. Política de seguridad Conjunto de normas reguladoras, reglas y prácticas que determinan el modo en que los activos, incluyendo la información considerada como sensible, son gestionados, protegidos y distribuidos dentro de una organización. Evaluación (Evaluation)

193

Valoración de un PP (Protection Profile), ST(Security Target) o TOE (Target of Evaluation) frente a criterios definidos. Nivel de garantía de evaluación (Evaluation Assurance Level EAL) Paquete que consiste en componentes de garantía de la Parte 3 y que representa un nivel en la escala de garantía predefinida de CC (Norma Common Criteria). Autoridad de evaluación (Evaluation authority) Organismo que implementa los CC para una comunidad específica mediante un esquema de evaluación por el que se establecen las normas y se supervisa la calidad de las evaluaciones realizadas por organismos de dicha comunidad. Esquema de evaluación (Evaluation scheme) Marco administrativo y regulador bajo el que una autoridad de evaluación aplica los CC en una comunidad específica. Formal Expresado en un lenguaje de sintaxis restringida con una semántica definida basada en conceptos matemáticos bien establecidos. Informal Expresado en lenguaje natural. Políticas de seguridad organizativas (Organizacional security policies) Una o más reglas de seguridad, procedimientos, prácticas o directrices impuestas por una organización sobre sus operaciones. Producto (Product) Paquete de software, firmware y/o hardware de TI que proporciona una funcionalidad diseñado para su uso o su incorporación en una gran variedad de sistemas. Perfil de protección (Protection Profile PP) Conjunto de requisitos de seguridad, independiente de la implementación, para una categoría de TOEs que satisfacen unas necesidades específicas del consumidor.

194

Objetivo de seguridad (Security objective) Declaración de la intención de contrarrestar las amenazas identificadas y/o de cumplir las políticas e hipótesis de seguridad identificadas de la organización. Declaración de seguridad (Security Target ST) Conjunto de requisitos de seguridad y especificaciones utilizados como base de la evaluación de un TOE identificado. Semiformal Expresado en un lenguaje de sintaxis restringida con semántica definida. Sistema (System) Instalación específica de TI, con un propósito y en un entorno particulares. Objeto a evaluar (Target of Evaluation TOE) Producto o sistema de TI y sus manuales de administrador y de usuario asociados que se somete a evaluación. Funciones de seguridad del TOE (TOE Security Functions TSF) Conjunto compuesto de todo el hardware, firmware y software del TOE con el que hay que contar para la correcta aplicación de la TSP. Política de seguridad del TOE (TOE Security Policy TSP) Conjunto de reglas que regulan cómo se gestionan, protegen y distribuyen los activos en el TOE.

195

ANEXOS

ANEXO 1 METODOLOGIA PARA EL ANALISIS DE RIESGOS (MAGERIT) Esta metodología interesa a todos aquellos que trabajan con información mecanizada y los sistemas informáticos que la tratan. La generalización del uso de las tecnologías de la información y de las comunicaciones es potencialmente beneficiosa para los ciudadanos, las empresas y la propia Administración Pública, pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en su utilización. No es posible una aplicación racional de medidas de seguridad sin antes analizar los riesgos para, así implantar las medidas proporcionadas a estos riesgos, al estado de la tecnología y a los costes (tanto de la ausencia de seguridad como de las salvaguardas). La Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las Administraciones públicas, MAGERIT, es un método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

Objetivos de MAGERIT



Estudiar los riesgos que soporta un sistema de información y el entorno asociado a él. MAGERIT propone la realización de un análisis de los riesgos que implica la evaluación del impacto que una violación de la seguridad tiene en la organización; señala los riesgos existentes, identificando las amenazas que acechan al sistema de información, y determina la vulnerabilidad del sistema de prevención de dichas amenazas, obteniendo unos resultados.



Los resultados del análisis de riesgos permiten a la gestión de riesgos recomendar las medidas apropiadas que deberían adoptarse para conocer,

196

prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios. 

Como objetivo a más largo plazo, MAGERIT prepara su lógica articulación con los mecanismos de evaluación, homologación y certificación de seguridad de sistemas de información (ITSEC, Criterios Comunes de Evaluación de la Seguridad de los Productos y Sistemas de Información).

MAGERIT ha tenido en cuenta los estándares y métodos más avanzados y asentados en SSI.

La Aplicación de MAGERIT permite: 

Aportar racionalidad en el conocimiento del estado de seguridad de los Sistemas de Información y en la introducción de medidas de seguridad;



Ayudar a garantizar una adecuada cobertura en extensión, de forma que no haya elementos del sistema de información que queden fuera del análisis, y en intensidad, de forma que se alcance la profundidad necesaria en el análisis del sistema.



La incrustación de mecanismos de seguridad en el corazón mismo de los sistemas de información:

a) Para paliar las insuficiencias de los sistemas vigentes; b) Para asegurar el desarrollo de cualquier tipo de sistemas, reformados o nuevos, en todas las fases de su ciclo de desarrollo, desde la planificación hasta la implantación y mantenimiento.

El Análisis y Gestión de Riesgos es el ‘corazón' de toda actuación organizada en materia de seguridad y, por tanto, de la gestión global de la seguridad. Influye en las Fases y actividades de tipo estratégico (implicación de la dirección, objetivos, políticas) y condiciona la profundidad de las fases y actividades de tipo logístico (planificación, organización,

implantación

mantenimiento).

salvaguardas,

sensibilización,

acción

diaria

197

ANÁLISIS Y GESTIÓN DE RIESGOS

MAGERIT

DETERMINACIÓN DE OBJETIVOS, ESTRATEGIAS Y POLÍTICAS DE SEGURIDAD

IMPLANTACIÓN DE SALVAGUARDAS Y OTRAS MEDIDAS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

CONCIENCIACIÓN DE TODOS EN LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

SEGUIMINETO, GESTIÓN DE CONFIGURACIÓN DE CAMBIO EN LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

REACCIÓN A CADA EVENTO, REGISTRO DE INCIDENCIA Y RECUPERACIÓN DE ESTADOS DE SEGURIDAD.

Tipos de proyectos MAGERIT responde a las necesidades de un espectro amplio de intereses de usuarios con un enfoque de adaptación a cada organización y a sensibilidades diferentes en Seguridad de los Sistemas de Información. Las diferencias residen en tres cuestiones fundamentales: 

Situación dentro del "ciclo de estudio": marco estratégico, planes globales, análisis de grupos de múltiples activos, gestión de riesgos de activos concretos, determinación de mecanismos específicos de salvaguarda.



Envergadura: complejidad e incertidumbre relativas del Dominio estudiado, tipo de estudio más adecuado a la situación (corto, simplificado), granularidad adoptada.



Problemas específicos que se desee solventar: Seguridad lógica, Seguridad de Redes y Comunicaciones, Planes de Emergencia y Contingencia, Estudios técnicos para homologación de sistemas o productos, Auditorías de seguridad.

Estructura de MAGERIT El modelo normativo de MAGERIT se apoya en tres submodelos: El Submodelo de Elementos proporciona los "componentes" que el Submodelo de Eventos va a relacionar

198

entre sí y con el tiempo, mientras que el Submodelo de Procesos será la descripción funcional ("el esquema explicativo") del proyecto de seguridad a construir.

MODELO DE MAGERIT

SUBMODELO DE ELEMENTOS 6 ENTIDADES BÁSICAS      

ACTIVOS AMENAZAS VULNERABILIDADES IMPACTOS RIESGOS SALVAGUARDAS

SUBMODELO DE EVENTOS 3 TIPOS PRINCIPALES   

ESTÁTICO DINÁMICO ORGANIZATIVO DINÁMICO FÍSICO

SUBMODELO DE PROCESOS 4 ETAPAS TIPIFICADAS    

PLANIFICACIÓN ANÁLISIS DE RIESGOS GESTIÓN DE RIESGOS SELECCIÓN DE SALVAGUARDAS

El Submodelo de Procesos de MAGERIT comprende 4 Etapas: ETAPA 1 PLANIFICACIÓN ACTIVIDADES: 1.1 Oportunidad de realización. 1.2 Definición de dominio y objetivos. 1.3 Planificación del proyecto. 1.4 Lanzamiento del proyecto.

Objetivos, estrategia, políticas de seguridad Planificación y otras fases de gestión de la seguridad S.I.

ETAPA 2

ETAPA 3

ETAPA 4

ANÁLISIS DE RIESGOS ACTIVIDADES: 2.1 Recogida de información. 2.2 Identificación y agrupación de ACTIVOS. 2.3 Identificación y evaluación de AMENAZAS. 2.4 Identificación y evaluación de VULNERABILIDADES. 2.5 Identificación y valoración de IMPACTOS. 2.6 Evaluación de RIESGOS

GESTIÓN DE RIESGOS ACTIVIDADES: 3.1 Interpretación del RIESGO. 3.2 Identificación y estimulación de funciones de salvaguarda. 3.3 Selección de funciones de salvaguarda. 3.4 Cumplimiento de objetivos.

SELECCIÓN DE SALVAGUARDAS. ACTIVIDADES: 4.1 Identificación de mecanismos de seguridad. 4.2 Selección de mecanismos de salvaguarda. 4.3 Especificación de los mecanismos a implantar. 4.4 Planificación de la implantación. 4.5 Integración de resultados.

199

Planificación del Proyecto de Riesgos. Como consideraciones iniciales para arrancar el proyecto de Análisis y Gestión de Riesgos (AGR), se estudia la oportunidad de realizarlo, se definen los objetivos que ha de cumplir y el ámbito que abarcará, planificando los medios materiales y humanos para su realización e inicializando el propio lanzamiento del proyecto

Análisis de riesgos. Se identifican y valoran las diversas entidades, obteniendo una evaluación del riesgo, así como una estimación del umbral de riesgo deseable.

Gestión de riesgos. Se identifican las funciones y servicios de salvaguarda reductoras del riesgo, seleccionando los que son aceptables en función de las salvaguardas

existentes

las

restricciones,

tras

simular

diversas

combinaciones. 4.

Selección de salvaguardas. Se prepara el plan de implantación de los mecanismos de salvaguarda elegidos y los procedimientos de seguimiento para la implantación. Se recopilan los documentos del Análisis y Gestión de Riesgos (AGR), para obtener los documentos finales del proyecto y realizar las presentaciones de resultados a diversos niveles.

Para poder construir proyectos específicos de seguridad, MAGERIT posee interfaces de enlace con MÉTRICA VERSIÓN 2.1. MAGERIT permite añadir durante el desarrollo del Sistema la consideración de los requerimientos de seguridad, sin interferir en los procedimientos de Métrica, pero utilizándolos para identificar y documentar los procedimientos y productos de aseguramiento. Estas interfaces tienen ventajas inmediatas: analizar la seguridad del Sistema antes de su desarrollo, incorporar defensas antes de completarlo (lo que es más barato y efectivo) y controlar su consistencia a lo largo de todo el ciclo de vida del Sistema.

Tipos de Técnicas usadas en MAGERIT Cada una de las Tareas del Submodelo de Procesos en la Guía de Procedimientos indica las técnicas empleadas para realizarla. MAGERIT tipifica las técnicas recomendadas como: - Técnicas Comunes con METRICA v2.1 y con EUROMÉTODO - Técnicas características de MAGERIT, tales como matriciales, algorítmicas y de lógica difusa Técnicas Complementarias

200

MAGERIT consta de siete guías: 

Guía de Aproximación. Presenta los conceptos básicos de seguridad de los sistemas de información, con la finalidad de facilitar su comprensión por personal no especialista y ofrece una introducción al núcleo básico de MAGERIT, constituido por las Guías de Procedimientos y de Técnicas.



Guía de Procedimientos. Representa el núcleo del método, que se completa con la Guía de Técnicas. Ambas constituyen un conjunto autosuficiente, puesto que basta su contenido para comprender la terminología y para realizar el Análisis y Gestión de Riesgos de cualquier sistema de información.



Guía de Técnicas. Proporciona las claves para comprender y seleccionar las técnicas más adecuadas para los procedimientos de análisis y gestión de riesgos de seguridad de los sistemas de información.



Guía para Responsables del Dominio protegible. Explica la participación de los directivos "responsables de un dominio" en la realización del análisis y gestión de riesgos de aquellos sistemas de información relacionados con los activos cuya gestión y seguridad les están encomendados.



Guía para Desarrolladores de Aplicaciones. Está diseñada para ser utilizada por los desarrolladores de aplicaciones, y está íntimamente ligada con la Metodología de Planificación y Desarrollo de Sistemas de Información, Métrica v2.1.



Arquitectura de la información y especificaciones de la interfaz para el intercambio de datos. La interfaz para intercambio de datos posibilita que un usuario de MAGERIT establezca la comunicación con otras aplicaciones y sistemas facilitando la incorporación de sus productos a la herramienta MAGERIT y viceversa.



Referencia de Normas legales y técnicas. Lista de normas en materia de seguridad a fecha 31 de Diciembre de 1996.

201

ANEXO 2 Formato Listado de Sugerencias ORGANIZACIÓN:

NO. DE AUDITORÍA:

PROCESO

FECHA:

AUDITORES Listado de Sugerencias Núm. Obs

Factor

Categoría

Riesgo

Recomendación

202

ANEXO 3 Formato de Informe de Auditoría ORGANIZACIÓN:

NO. DE AUDITORÍA:

FECHA:

PROCESO AUDITORES DOCUMENTO DE REFERENCIA OBJETIVO

ALCANCE

NO CONFORMIDADES No.

Descripción del Hallazgo

1. 2. 3. 4. CONCLUSIONES DE AUDITORÍA

AUDITOR LÍDER

RECIBÍ DE CONFORMIDAD

FECHAS DE AUDITORÍA

FECHA DE EMISIÓN DEL INFORME

203

ANEXO 4 NORMA TÉCNICA ECUATORIANA NTE INEN-ISO 19011:2005 Directrices Para La Auditoría De Los Sistemas De Gestión De La Calidad Y/0 Ambiental

204

ANEXO 5 INVENTARIO DE EQUIPO Servidor Web

Registro de HW (1) Departamento o Área: (2) ____CITIC_______________________________________ Departamento a la cual pertenece: (3) ___CITIC____________________________________ Departamento administrativo (4) ______REDES__________________________________ Tipo de equipo de cómputo (5) Portátil

Escritorio

Servidor

Marca del equipo (6) _______________IBM____________________________________ No. Inventario del equipo (7) ________________________________________________ No. Serie del equipo (8) _______________________________________________________ Departamento que resguarda equipo (9) ____REDES________________________________ Función principal que desempeña el equipo (10) ____SERVIDOR WEB__________________ Ubicación física del equipo (11) _____CUARTO FRIO____________________________ Uso de equipo de cómputo (12)

Administrativo

Educativo

Componentes básicos del equipo (13) _____SOLO CPU_____________________________ El equipo está conectado a red (14)

Procesador (15) __________INTEL XENON 2 DUO___________________________ Memoria RAM (16) _____2 GB__________________________________ Capacidad DD (17) ______260GB________________________________________

205

Velocidad procesador (MHZ) (18) ____1.86 GHZ_______________________________

Registro de SW (1) a) Ambiente Catálogo instalados o requieren instalarse (19) MSDOS

UNIX

LINUX

MAC

SOLARIS

OTRO

Versión (20) ________CENTOS 5______________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Documento que ampara licencia (24) _________________________________________ Departamento que resguarda licencia (25) _____________________________________ Requiere licencia (26) Si

Requiere actualización (27) Si

b) Manejador de base de datos Manejadores instalados Versión (20) _________MYSQL 5.0_______________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Docto. Que ampara licencia (24) _________________________________________ Departamento que resguarda licencia (25) _________________________________ Requiere licencia (26) Si Requiere actualización (27) Si

No No

c) Lenguajes de programación Lenguajes instalados Versión (20) _________PHP 5.0______________________

206

Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Docto. Que ampara licencia (24) _________________________________________ Departamento que resguarda licencia (25) _________________________________ Requiere licencia (26) Si

Requiere actualizaci贸n (27) Si

d) Paquetes de c贸mputo Paquetes instalados Versi贸n (20) ____________________________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

No No

207

Instructivo de llenado (1) Hardware/Software (2) Anote el nombre del Departamento de Investigación al cual pertenece el Área de Redes (3) Anote el nombre del Departamento que registra HW/SW (4) Anote el nombre de la Dirección de Área/Subdirección/Departamento, según sea el caso que administra el equipo (5) Marque con una “x” el tipo de equipo de cómputo que enuncia (6) Anote la marca del CPU/servidor que enuncia (7) Anote el número de inventario del CPU/servidor que enuncia (8) Anote el número de serie del CPU/servidor que enuncia (9)

Anote el nombre del Departamento que resguarda (protege) el equipo de cómputo que

enuncia (10) Anote la función principal que desempeña el CPU/servidor que enuncia (11) Anote el domicilio (localidad o municipio/calle/número/tel. /col.) en el que se encuentra el equipo de cómputo que describe (12) Marque con una “x” el uso del CPU/servidor que enuncia (13) Mencione si el CPU/servidor que enuncia cuenta con tipo de monitor, lector de CD, lector de DVD, tarjeta de red, tarjeta de audio, tarjeta de video, puerto USB, tarjeta de fax MODEM, si se encuentra conectado a Internet, etc. (14) Marque con una “x” si el equipo de cómputo que enuncia está conectado a Internet (15) Anote el tipo de procesador con que cuenta el CPU/servidor que enuncia (16) Anote la capacidad de memoria RAM con que cuenta el CPU/servidor al que hace referencia (17) Anote la capacidad en disco duro con que cuenta el CPU/servidor que enuncia (18) Anote la velocidad del procesador (MHZ) del equipo de cómputo que describe (19) Marque con una “x” el sistema operativo que emplea el equipo de cómputo al que hace referencia (20) Anote la versión del software al que hace referencia (21) Marque con una “x” si el software que enuncia cuenta con licencia (22) Marque con una “x” el origen de la licencia del software que describe (23) Marque con una “x” el tipo de licencia del software que enuncia (24) Anote el tipo de documento que ampara la licencia del software que describe (25) Anote el nombre del Departamento que resguarda la licencia del software que enuncia (26) Marque con una “x” si el software al que hace referencia requiere licencia (27) Marque con una “x” si la licencia del software que describe requiere actualización NOTA: En caso de no llenar este apartado, escriba dentro del formato una leyenda que indique o justifique por qué no se requisita.

208

ANEXO 6 INVENTARIO SERVIDOR PROXY Servidor Proxy

Escritorio

Servidor

Marca del equipo (6) _______________CLON____________________________________ No. Inventario del equipo (7) ________________________________________________ No. Serie del equipo (8) _______________________________________________________ Departamento que resguarda equipo (9) ____REDES________________________________ Función principal que desempeña el equipo (10) ____DAR INTERNET__________________ Ubicación física del equipo (11) _____CUARTO FRIO____________________________ Uso de equipo de cómputo (12)

Administrativo

Educativo

Componentes básicos del equipo (13) _____SOLO CPU_____________________________ El equipo está conectado a red (14)

Procesador (15) __________INTEL CORE 2 DUO___________________________ Memoria RAM (16) _____2 GB__________________________________

209

Capacidad DD (17) ______300GB________________________________________ Velocidad procesador (MHZ) (18) ____250 GHZ_______________________________

Registro de SW (1) a) Ambiente Catálogo instalados o requieren instalarse (19) MSDOS

UNIX

LINUX

MAC

SOLARIS

OTRO

Versión (20) ________CENTOS 5______________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Documento que ampara licencia (24) _________________________________________ Departamento que resguarda licencia (25) _____________________________________ Requiere licencia (26) Si

Requiere actualización (27) Si

b) Manejador de base de datos Manejadores instalados Versión (20) ____________________________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

No No

210

Versiรณn (20) ____________________________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Docto. Que ampara licencia (24) _________________________________________ Departamento que resguarda licencia (25) _________________________________ Requiere licencia (26) Si

Requiere actualizaciรณn (27) Si

d) Paquetes de cรณmputo Paquetes instalados Versiรณn (20) ____________________________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

No No

211

ANEXO 7 INVENTARIO DE EQUIPO Hardware y Software

Registro de HW (1) Departamento o Área: (2) ____CITIC_______________________________________ Departamento a la cual pertenece: (3) ___CITIC____________________________________ Departamento administrativo (4) ______ACTIVO FIJO___________________________ Tipo de equipo de cómputo (5) Portátil

Escritorio

Servidor

Marca del equipo (6) _______________COLORSIT_____________________________ No. Inventario del equipo (7) _________ESF50045_______________________ No. Serie del equipo (8) _______________________________________________________ Departamento que resguarda equipo (9) ____ACTIVOS FIJOS_____________________ Función principal que desempeña el equipo (10) ____INVESTIGACIÓN Y GESTIÓN_____ Ubicación física del equipo (11) ____ÁEREA DE REDES_______________________ Uso de equipo de cómputo (12)

Administrativo

Educativo

Componentes básicos del equipo (13) ____MONITOR, CPU, TECLADO Y MOUSE_______ El equipo está conectado a red (14)

Procesador (15) __________INTEL PENTIUM D___________________________ Memoria RAM (16) _____1 GB__________________________________ Capacidad DD (17) ______160GB________________________________________ Velocidad procesador (MHZ) (18) ____3.4MHZ_______________________________

Registro de SW (1)

212

a) Ambiente Catálogo instalados o requieren instalarse (19) MSDOS

UNIX

LINUX

MAC

SOLARIS

OTRO

Versión (20) __UBUNTU 10.4_________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Documento que ampara licencia (24) ___GNU GPL_________________________ Departamento que resguarda licencia (25) _____________________________________ Requiere licencia (26) Si

Requiere actualización (27) Si

b) Manejador de base de datos Manejadores instalados Versión (20) _________MYSQL 5.0_______________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

No No

c) Lenguajes de programación Lenguajes instalados Versión (20) _________PHP 5.0______________________ Cuenta con licencia (21) Si Origen de licencia (22) Comercial Tipo de licencia (23) Educativa

No Libre Administrativa

Gratuita

213

Docto. Que ampara licencia (24) _________________________________________ Departamento que resguarda licencia (25) _________________________________ Requiere licencia (26) Si

Requiere actualizaci贸n (27) Si

d) Paquetes de c贸mputo Paquetes instalados Versi贸n (20) ___________VARIOS_________________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Docto. Que ampara licencia (24) __GNU GPL__________________________________ Departamento que resguarda licencia (25) _________________________________ Requiere licencia (26) Si Requiere actualizaci贸n (27) Si

No No

214

INVENTARIO DE EQUIPO Hardware y Software (Técnico 1)

Registro de HW (1) Departamento o Área: (2) ____CITIC_______________________________________ Departamento a la cual pertenece: (3) ___CITIC____________________________________ Departamento administrativo (4) ______ACTIVO FIJO_AREA DE REDES__________ Tipo de equipo de cómputo (5) Portátil

Escritorio

Servidor

Marca del equipo (6) _______________CLON COLORSIT____________ No. Inventario del equipo (7) _________ECED0017_______________________ No. Serie del equipo (8) ______N/A____________________________________________ Departamento que resguarda equipo (9) ____ACTIVOS FIJOS_RECURSOS FÍSICOS___ Función principal que desempeña el equipo (10) ____INVESTIGACIÓN Y GESTIÓN_____ Ubicación física del equipo (11) __ÁEREA DE REDES Y sistemas OPERATIVO__________ Uso de equipo de cómputo (12)

Administrativo

Educativo

Componentes básicos del equipo (13) ____MONITOR, CPU, TECLADO Y MOUSE_______ El equipo está conectado a red (14)

Procesador (15) __________INTEL PENTIUM DUAL CORE_________________ Memoria RAM (16) _____2 GB_____________________________ Capacidad DD (17) ______160GB________________________________________ Velocidad procesador (MHZ) (18) ____3.4MHZ_______________________________

215

Registro de SW (1) a) Ambiente Catálogo instalados o requieren instalarse (19) MSDOS

UNIX

LINUX

MAC

SOLARIS

OTRO

Versión (20) __UBUNTU 10.4_________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Documento que ampara licencia (24) ___GNU GPL V.3____________________ Departamento que resguarda licencia (25) _GNU_ ORG______________________ Requiere licencia (26) Si

Requiere actualización (27) Si

b) Manejador de base de datos Manejadores instalados Versión (20) _________N/A____________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

No No

c) Lenguajes de programación Lenguajes instalados Versión (20) _________N/A______________________ Cuenta con licencia (21) Si Origen de licencia (22) Comercial

No Libre

Gratuita

216

Tipo de licencia (23) Educativa

Administrativa

Docto. Que ampara licencia (24) _________________________________________ Departamento que resguarda licencia (25) _________________________________ Requiere licencia (26) Si

Requiere actualizaci贸n (27) Si

d) Paquetes de c贸mputo Paquetes instalados Versi贸n (20) ______APLICACIONES_VARIOS_________________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Docto. Que ampara licencia (24) __GNU GPL__________________________________ Departamento que resguarda licencia (25) ___________CNU ORG.________________ Requiere licencia (26) Si Requiere actualizaci贸n (27) Si

No No

217

INVENTARIO DE EQUIPO Hardware y Software (Técnico 2)

Registro de HW (1) Departamento o Área: (2) ____CITIC_______________________________________ Departamento a la cual pertenece: (3) ___CITIC____________________________________ Departamento administrativo (4) ______ACTIVO FIJO_AREA DE REDES__________ Tipo de equipo de cómputo (5) Portátil

Escritorio

Servidor

Marca del equipo (6) _______________CLON _______________ No. Inventario del equipo (7) _________ECLC0200_______________________ No. Serie del equipo (8) ______N/A____________________________________________ Departamento que resguarda equipo (9) ____ACTIVOS FIJOS_RECURSOS FÍSICOS___ Función principal que desempeña el equipo (10) ____INVESTIGACIÓN Y GESTIÓN_____ Ubicación física del equipo (11) __ÁEREA DE REDES Y SISTEMA OPERATIVO__________ Uso de equipo de cómputo (12)

Administrativo

Educativo

Componentes básicos del equipo (13) ____MONITOR, CPU, TECLADO Y MOUSE_______ El equipo está conectado a red (14)

Procesador (15) __________INTEL PENTIUM DUAL CORE_________________ Memoria RAM (16) _____2 GB_____________________________ Capacidad DD (17) ______450 GB + 160GB________________________________________

218

Velocidad procesador (MHZ) (18) ____3.4MHZ_______________________________

Registro de SW (1) a) Ambiente Catálogo instalados o requieren instalarse (19) MSDOS

UNIX

LINUX

MAC

SOLARIS

OTRO

Versión (20) __WINDOWS 7_________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Documento que ampara licencia (24) ___GNU GPL V.3____________________ Departamento que resguarda licencia (25) _GNU_ ORG______________________ Requiere licencia (26) Si

Requiere actualización (27) Si

b) Manejador de base de datos Manejadores instalados Versión (20) _________N/A____________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

No No

c) Lenguajes de programación Lenguajes instalados Versión (20) _________N/A______________________

219

Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

Docto. Que ampara licencia (24) _________________________________________ Departamento que resguarda licencia (25) _________________________________ Requiere licencia (26) Si

Requiere actualizaci贸n (27) Si

d) Paquetes de c贸mputo Paquetes instalados Versi贸n (20) ______APLICACIONES_VARIOS_________________________ Cuenta con licencia (21) Si

Origen de licencia (22) Comercial

Libre

Tipo de licencia (23) Educativa

Gratuita

Administrativa

No No

220

ANEXO 8 CUESTIONARIO DE AUDITORÍA DE DIRECCIÓN CONFIGURACIÓN DEL SERVIDOR WEB 1. ¿Existe una configuración de referencia para los servidores web?

SI (

)

NO ( x ) 2. ¿Cuentan con una correcta configuración los servidores web?

SI ( ) NO( x )

3. ¿Esta configuración garantiza la integridad del sistema operativo?

SI (x )

NO ( ) 4. ¿Se determina la existencia de varios dominios?

SI ( ) NO (x )

5. Se permitir a los usuarios de un dominio que pueda acceder a recursos en otro dominio.

SI (x) NO ( )

6. ¿Se mantiene la información que se encuentra en los servidores fuera del área de servidores?

SI ( ) NO (x )

7. ¿Se encuentra configurado el servidor web para evitar sitio de dudosa procedencia?

SI (x) NO ( )

8. ¿Se cuenta con un sitio de publicación?

SI (x) NO ( )

9. ¿Este sitio está como protegido de amenazas externas e internas? SI (x) NO ( ) 10. ¿Con que frecuencia se evalúa la configuración del servidor web? Diaria.

( )

Mensual.

(X)

Semestral.

( )

Anual.

( )

POLÍTICAS Y PROCEDIMIENTOS Verificar que las políticas, normas y procedimientos existen para: 11. Asegúrese de que el material confidencial de la PUCE SD está limitada; SI ( )

NO(x)

12. Asegúrese de que la instalación o el funcionamiento de servidores web está restringido;

SI( x )

NO( )

221

13. Asegúrese de que descargar, instalar o ejecutar software de servidor web está restringido;

14. Asegúrese de que está bien usar el software con licencia;

SI(x)

NO(

)

SI(x)

NO ( )

15. Compruebe que el servidor Web de respuesta a incidentes de seguridad, se han desarrollado procedimientos.

SI( x)

NO ( )

16. Asegurar los procedimientos son las acciones que deben tomarse cuando se sospeche un ataque real.

SI( x )

NO( )

17. Verifica que las normas de identificar las funciones y responsabilidades de los individuos responsables del acceso a la red interna, externa y sitio web WWW. SI(x)

NO ( )

18. Política de Seguridad de Intranet / Internet

SI( x )

NO( )

19. Cifrado de datos sensibles.

SI( x )

NO( )

20. Administración de la Seguridad de la web de medio ambiente.

SI( )

NO( x )

21. Instalación y configuración de información básica.

SI( x )

NO( )

22. Componente de fracaso, de back-up, y la recuperación.

SI( x )

NO ( )

23. Se tiene configurado el servidor web para realizar seguimiento de registros y detectar violaciones en la seguridad.

SI( x )

NO( )

PLANEAMIENTO Y CAPACIDAD 24. Se tiene un plan específico para el control de actividades dentro del área de los servidores.

SI( )

NO( x )

25. Se verifica que el plan incluye estadísticas internas y externas de las conexiones de red, la carga de la CPU y la utilización de disco. SI( x )

NO ( )

26. Asegúrese de que la capacidad de modelado se lleva a cabo cuando las especificaciones de calificación de proveedores de seguridad (este es un control de seguridad que debe tener su perfil de desempeño en una prueba de red. SI( x )

NO( )

222

Ver en el Archivo de Tablas de Valorizaci贸n p谩g. 1

223

ANEXO 9 CUESTIONARIO DE AUDITORÍA DE MANTENIMIENTO RECUPERACIÓN Y MANTENIMIENTO LÓGICO

1. Se almacenan copias de seguridad de datos y archivos importantes de los servidores web y proxy? SI ( x ) NO ( ) 2. ¿Se garantiza la disponibilidad de estas copias de seguridad? SI ( x ) NO ( ) 3. Con que frecuencia se realizan estas copias de seguridad a los servidores web? Diaria.

( )

Mensual.

( )

Semestral.

(x)

Anual.

( )

4. Se verifica que las conexiones de copia de seguridad se mantienen a reanudar servicio en caso de un corte de luz de Internet o la denegación de servicio. SI ( x ) NO ( ) RECUPERACIÓN Y MANTENIMIENTO FÍSICO 5. En caso de un corte de energía, se cuenta con un generador eléctrico de reserva? SI ( x ) NO ( ) 6. Los servidores web y proxy cuentan con un mantenimiento de hardware adecuado?

SI ( x ) NO ( )

7. Con que frecuencia se realiza el mantenimiento de hardware a los servidores web? Diario

( )

Mensual.

( )

Semestral.

(x)

Anual.

( )

8. Con que frecuencia se realiza el mantenimiento del área de los servidores?

224

Diaria.

( )

Mensual.

( )

Semestral.

(x )

Anual.

( )

9. Cuentan con encargados de limpieza del área de servidores?. Identificar Administrador

( ) ( )

Técnico

( ) ( )

Personal de aseo

(x) ( )

Otros

( ) ( )

10. Cuentan con encargados del mantenimiento de hardware en el área de servidores?. Identificar. Personal de aseo

( )

Técnico

(x)

( )

Administrador

( )

RECUPERCIÓN DEL DESASTRE Y PLANEAMIENTO DE LA CONTINUIDAD DEL ÁREA DE SERVIDORES. 11. Se tiene un plan de contingencia en caso de el área de servidores atraviese algún tipo de desastre físico y lógico? 12. Este plan de contingencia se encuentra documentado?

SI ( ) NO ( x ) SI ( ) NO ( x )

13. Se evalúa el plan de contingencia y garantiza los procedimientos fundamentales que se incluyen en el plan? 14. Se mantiene una copia de seguridad de firewall existente.

SI ( ) NO ( x ) SI ( x ) NO ( )

15. Se cuenta con un disco de reparación de emergencia actualizado y garantizado para cada servidor?

SI ( ) NO ( x )

225

Ver en el Archivo de Tablas de Valorizaci贸n p谩g. 2

226

ANEXO 10 CUESTIONARIO DE AUDITORÍA LÓGICA AL SERVIDOR WEB Registro y reportes de eventos web(5) 1. Se evalúan y revisan los procesos que realizan de los registros de seguridad. SI ( x ) NO ( ) 2. Se determina que los instrumentos de análisis de tráfico web se utilizan correctamente.

SI ( x ) NO ( )

3. Se lleva un control de los registros y se analizan periódicamente. SI ( ) NO ( x ) 4. Estos registros se respaldan fuera del servidor web.

SI ( ) NO ( x )

Estándares Scripts y Contenido del servidor web 5. Se clasifican los datos obtenidos de los scripts y contenido web. SI ( ) NO ( x ) 6. El administrador del servidor web es el único que tiene acceso.

SI ( ) NO ( x )

7. El administrador del servidor web es el que define los niveles de accesos. SI ( x ) NO ( ) Estándares Scripts y Contenido de sitios del servidor web 8. Se tiene un software instalado y configurado para la detección de intrusos . SI ( ) NO ( x ) 9. Se lleva un registro con fecha y hora de los eventos ocurridos.

SI ( ) NO ( x )

10. Se controla que el número de directorios CGI y el acceso a ellos es limitado. SI ( x ) NO ( ) 11. Se encuentra restringido el acceso de los usuarios a los scripts CGI. SI ( x ) NO ( ) 12. Se lleva un control de los scripts CGI para reducir posibles riesgos de seguridad. SI ( ) NO ( x ) 13. Se usa Perl como programa para desarrollo de aplicaciones web. SI ( ) NO ( x )

227

14. Se ha configurado el servidor para tener bloqueado el acceso al Perl. SI ( ) NO ( x ) 15. Se lleva un control de los sitos no permitidos.

SI ( x ) NO ( )

16. Se controla el uso de secuencias de comandos previstas por los usuarios. SI ( x ) NO ( ) Vigilancia y gestión del servidor web. 17. Se controla de forma continua los procesos y cambios que realiza el administrador. 18. Se lleva una bitácora de estos cambios.

SI ( ) NO ( x ) SI ( ) NO ( x )

19. Se verifica que los sucesos de seguridad se controlan, revisan y actuó en forma oportuna.

SI ( x ) NO ( )

Vigilancia y gestión de sitios del servidor web. 20. Se revisar y se determina las ”listas de control de acceso” (ACL) que se instala en el software de los servidores web.

SI ( x ) NO ( )

Firewall del servidor Web 21. Los servidores de seguridad bloquean todas las conexiones TCP en el que los usuarios y FTP a los usuarios que no tiene acceso. 22. Se usa ICMP para el envío de mensajes de error.

SI ( x ) NO ( ) SI ( ) NO ( x )

23. Estos mensajes están bloqueados para ocultar la red y evitar el uso de los escáneres de red.

SI ( x ) NO ( )

24. Se maneja un firewall para mantener protegida la información. SI ( x ) NO ( ) 25. El firewall administra todas las conexiones entre los usuarios externos e internos. SI ( x ) NO ( ) 26. El firewall está configurado para limitar el acceso a dichos datos sólo autoriza a los usuarios internos.

SI ( x ) NO ( )

27. Se utiliza varios servidores de seguridad en paralelo para conocer la disponibilidad o razones de rendimiento y configuraciones idénticas y están bajo el control de un único administrador de servidor de seguridad.

SI ( ) NO ( x )

228

28. El Administrador de Servicios de Red es el que puede aprobar cambios en el servidor de seguridad.

SI ( x ) NO ( )

29. Los sistemas de control de los firewalls de perímetro de red y otros sistemas de control de acceso se realizan de manera rutinaria.

SI ( x ) NO ( )

30. Los registros de los sistemas de control de acceso del perímetro de red se revisan a diario. 31. Tienen el servidor FTP configurado fuera del firewall.

SI ( x ) NO ( ) SI ( ) NO ( x )

Control de Cambios del servidor web. 32. Los procedimientos de control de cambios se están siguiendo para el desarrollo de aplicaciones web y de los cambios.

SI (

)

NO ( x ) Control de Cambios desde los sitios web. 33. Todos los sitios Web de acceso público deben ser cuidadosamente probados para asegurar que todos los vínculos de trabajo tal y como se diseñó y no están "en construcción" cuando el sitio está abierto al público.

SI ( ) NO ( x )

34. Se realizan pruebas para los software nuevos y evitar un mal funcionamiento. SI ( x ) NO ( ) 35. Se verifica que el uso de Applets es acceso sólo al desarrollo de redes. SI ( x ) NO ( ) 36. Se revisa las intrusiones de sitios y paginas dudosas.

SI ( x ) NO ( )

37. Se controla los cambios a darse en las conexiones a bases de datos de back-end SI ( x ) NO ( ) Controles de acceso remoto al servidor web 38. Cuentan con un sistema para el acceso remoto.

SI ( x ) NO ( )

39. Si se cuenta con RAS, la configuración es la adecuada.

SI ( x ) NO ( )

40. Los usuarios se les concede permiso de acceso remoto.

SI ( x ) NO ( )

41. Si se concede los permisos a los usuarios se lleva un control de ello. SI ( ) NO ( x ) 42. En el caso del acceso remoto, se tiene configurados el servidor web con autenticación de acceso remoto o servidores de seguridad instalados.

229

SI ( ) NO ( x ) 43. Las operaciones de administrador (cambios de seguridad) se realizan de la consola.

SI ( x ) NO ( )

44. Se tiene configurado el inicio de sesión de la consola solo para el administrador del servidor web.

SI ( x ) NO ( )

Autentificación de usuarios y controles de acceso a sitios del servidor web 45. El administrador se asegura de:



Adecuación de las Propiedades de cuenta de usuario.



Controles y contraseña para el numero en cuentas de usuario.

(x)

( )

(x)

( )



Adecuación del perfil de usuario opciones de control.

(

)

(x)



Asignación de los privilegios del servidor.

(x)

( )



Adecuación del servidor de gestión de claves.

(

)

(x)



Listas de control de acceso.

(x)

( )



Distribución de datos a través de Internet.

(x)

( )



Enlaces de otras entidades a los servidores web.

(

)

(x)



Métodos de autenticación de usuario

(x)

( )



Verificar que las firmas digitales y SSL son utilizados por los usuarios de Internet.

(



Prueba de contraseñas mal construida.

(x)



Verifique que los usuarios remotos no comparten sus nombres de usuario y contraseñas

)

(x)

(x) (

( )

)

230

Ver en el Archivo de Tablas de Valorizaci贸n p谩g. 5, 6 y 7

231

232

233

ANEXO 11 CONTROL DE SEGURIDAD FÍSICA 1. PERÍMETROS DE SEGURIDAD DE LOS SERVIDORES WEB Y PROXY 1.1. Tienen un perímetro de seguridad establecido para protección de los servidores. SI ( x ) NO ( ) 1.1.1. Este perímetro de seguridad está claramente definido.

SI ( x ) NO ( )

1.1.2. Este perímetro es adecuado a la ubicación física en que se encuentran los servidores.

SI ( ) NO ( x )

1.1.3. El tipo de seguridad del perímetro está estructurado acorde con los activos para lo cual fue diseñado.

SI ( ) NO ( x )

1.1.4. El área de los servidores se encuentran en una ubicación segura. SI ( x ) NO ( ) 1.1.5. Esta área de servidores consta con la seguridad para evitar ingresos no autorizados.

SI ( ) NO ( x )

1.2. Las paredes externas del área de servidores y todas las puertas externas están adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control.

SI ( ) NO ( x )

1.3. Seleccione cuál de los mecanismos de control tiene el área de servidores: Vallas.

( )

Alarmas.

( )

Relojes Temporizadores.

( )

Cámaras de vigilancia.

( )

(x)

( )

Otros

1.4. Se cuenta con alguien que controle el acceso al área de servidores. SI ( ) NO ( x ) 1.5. Se cuenta con algún sistema de control para el acceso al área de servidores. SI ( ) NO ( x )

234

1.6. Estos accesos son permitidos a: Personal perteneciente a la institución

(x)

( )

Personal Autorizado

(

)

( )

Particulares

(

)

( )

Personal de aseo

(

)

( )

1.7. El área de servidores cuenta con salidas de emergencias. SI ( ) NO ( x ) 1.8. Estas salidas de emergencia y paredes

SI ( ) NO ( x )

1.9. Todas las puertas de emergencia en un perímetro de seguridad debieran contar con alarma, debieran ser monitoreadas y probadas en conjunción con las paredes para establecer el nivel de resistencia requerido en concordancia con los adecuados estándares regionales, nacionales e internacionales; debieran operar en concordancia con el código contra-incendios local de una manera totalmente segura; 1.10.

SI ( ) NO ( x )

Cuentan con equipos manejados por terceros que estén dentro del área de

servidores. SI ( x ) NO ( ) 1.11.

Estos equipos se encuentran físicamente separados de aquellas son

usados por el área de servidores. SI ( ) NO ( x ) 2. CONTROLES DE INGRESO FÍSICO 2.1. Dentro del área de servidores se registra la fecha y la hora de entrada y salida del personal. SI ( ) NO ( x ) 2.2. Se supervisa el acceso a las áreas de los servidores.

SI ( ) NO ( x )

2.3. Se lleva un control de las personas autorizada.

SI ( ) NO ( x )

2.3.1. Se usa algún tipo de identificación. 3. Se tiene un equipo contra-incendios ubicado adecuadamente.

SI ( ) NO ( x ) SI ( ) NO ( x )

235

PROTECCIÓN CONTRA AMENAZAS EXTERNAS E INTERNAS 4. Se lleva un control por parte de los administradores de los servidores para evitar intrusiones de forma física.

SI ( ) NO ( x )

4.1. Se presenta un informe de este control

SI ( ) NO ( x )

4.2. Se controla el acceso de visitantes al área de servidores.

SI ( ) NO ( x )

4.3. Este tipo acceso es autorizado y monitoreado.

SI ( ) NO ( x )

5. SEGURIDAD DEL CABLEADO 5.1. Se tiene estructurado el cableado tanto el de la energía eléctrica y el de telecomunicaciones del área de servidores.

SI ( ) NO ( x )

5.2. El cableado de la red está protegido contra intercepciones no autorizadas o daños, por ejemplo, utilizando un tubo o evitando las rutas a través de áreas públicas.

SI ( x ) NO ( )

5.3. Los cables de energía están separados de los cables de comunicaciones para evitar la interferencia.

SI ( x ) NO ( )

5.4. Utilizan marcadores de cables y equipos claramente identificables para minimizar errores en la manipulación, como un empalme accidental de los cables de red. SI ( ) NO ( x ) 5.5. Se utiliza una lista de empalmes documentados para reducir la posibilidad de error.

SI ( ) NO ( x )

236

Ver en el Archivo de Tablas de Valorizaci贸n p谩g. 3 y 4

237

238

ANEXO 12 AUDITORÍA DE MEDIO AMBIENTE SEGURIDAD EN EL ÁREA DE LOS SERVIDORES Perímetro de



Se tiene implementado como política de seguridad

seguridad

que exista un tipo de acceso que restringa el fácil

física.

acceso al área de servidores. 

Existen tipo de acceso como puertas eléctricas, X

tarjetas magnéticas, identificaciones adecuadas, paredes. Seguridad en el



área de trabajo Reserva de

Existe políticas para el control del ingreso y X

manipulación de los equipos por parte de terceros. 

poder

Se tiene como políticas el tener un respaldo de energía como UPS, generador de corriente dentro

del área de servidores para protección preventiva. Seguridad del



cableado

Si se tiene protegidos el cable portadora de datos, para evitar intercepción o daño.



Si se tiene respectivo cuidado con los cables de alimentación de poder, que sean uso exclusivo de

los equipos de cómputo. Mantenimiento



Existen políticas que apliquen que se realice el mantenimiento a los servidores de acuerdo a

de equipos.

recomendaciones según especificaciones de hardware y software. DESASTRES



NATURALES

Tienen un plan de contingencia en caso de un desastre natural, sea este por terremoto, lluvia, inundación.



En caso de incendio tienen extintores

239



Respaldan las configuraciones y versiones de sistemas operativos al igual que las aplicaciones en un servidor espejo.

Ver en el Archivo de Tablas de Valorización pág. 8

240

ANEXO 13 AUDITORÍA DE POLÍTICAS DE SEGURIDAD

Políticas de Seguridad Sección

POLÍTICAS DE SEGURIDAD 1.1

INFORMACIÓN SOBRE POLÍTICA DE SEGURIDAD DE LOS SERVIDORES.

1.1.1

Documentos o



Manuales.

Existen documentos de políticas de X

seguridad aprobadas y aplicadas a los servidores web y proxy. -

Es de conocimiento absoluto por el administrador y personal del área de servidores.

aplican

estas

políticas

se X

seguridad a los servidores. 

Existen

políticas

preventivas

contra

seguridad desastres

informáticos y de medio ambiente. 1.1.2

Revisión y



evaluación

Existen políticas de seguridad, que de X

acuerdo a un proceso definido permite realizar

las

respectivas

actualizaciones,

revisiones,

mantenimientos

preventivos

los X

servidores web y proxy. 

Existe

una

responsables actualizaciones, mantenimientos

varias por

personas dichas

revisiones, X preventivos a los

servidores web y proxy.

241



Esta(s) persona(s) dan reportes al administrador servidores

del

área

después

actualizaciones,

los

realizar revisiones,

mantenimientos preventivos de los servidores web y proxy. SEGURIDAD EN EL ÁREA DE SERVIDORES 1.2

SEGURIDAD EN LA INFRAESTRUCTURA 

1.2.1

Existen políticas de seguridad que controlen el acceso físico y de

software a los servidores web y proxy. -

Estas políticas se han dado a conocer al personal encargado y personal de limpieza del área de servidores.



Existen políticas de seguridad que enfoque aspectos como temperatura,

alimentación de corriente, conexiones de red, cableado estructurado entre otros, que afectan directamente el desempeño de los servidores web y proxy. SEGURIDAD DEL PERSONAL SEGURIDAD EN LA DEFINICION DEL TRABAJO Y RECURSOS Incluyendo la



Las responsabilidades y roles de

seguridad en la

seguridad se encuentran establecidas

responsabilidad del

en el área de servidores de forma

trabajo.

apropiada en manuales de procedimientos de acuerdo a las políticas de seguridad.

242

Acuerdos de



Se les pide a los administradores de

confidencialidad con

los servidores que firmen un acuerdo

los empleados.

de confidencialidad y de no divulgación

en los términos y condiciones de la contratación de sus empleos. X 

Este acuerdo responde a los activos y la seguridad de las instalaciones del área de servidores.

CAPACITACIÓN DE USUARIOS 

Se capacita al personal que se encuentra encargado del área de

servidores siguiendo un manual de procedimientos. 

Se capacita los administradores de los X

servidores web y proxy para sus respectivas actualizaciones y mantenimientos. RESPUESTAS PARA MALFUNCIONAMIENTOS DE LOS SERVIDORES WEB Y PROXY. Presentación de



En caso de daños físicos o lógicos y

informes de

caídas de los servidores se da una

incidentes de

solución inmediata al problema

seguridad.

presentado. 

Si se mantiene un registro de archivos en los cuales se almacene de forma

periódica los distintos fallos producidos. Presentación de



Se tiene establecido un procedimiento

informes de

configurado que permita que los

debilidades de

servidores web y proxy presenten un

243

seguridad.

informe de posibles amenazas o debilidades.

Incidentes



Son cuantificados y monitoreados por X

los administradores o el personal asignado a los servidores de web y proxy. SEGURIDAD FÍSICA Y DE MEDIO AMBIENTE ÁREAS SEGURAS Perímetro de



seguridad física.

Se tiene implementado como política X

de seguridad que exista un tipo de acceso que restringa el fácil acceso al área de servidores. 

Existen varios tipos de acceso como X

puertas eléctricas, tarjetas magnéticas, identificaciones adecuadas, paredes. Seguridad en el



área de trabajo

Existe políticas para el control del X

ingreso y manipulación de los equipos por parte de terceros.

Reserva de poder



Se tiene como políticas el tener un respaldo de energía como UPS,

generador de corriente dentro del área de servidores para protección preventiva. Seguridad del



cableado

Si se tiene protegidos el cable portadora de datos, para evitar

intercepción o daño. 

Si se tiene respectivo cuidado con los cables de alimentación de poder, que sean uso exclusivo de los equipos de

244

cómputo. Mantenimiento de



equipos.

Existen políticas que apliquen que se realice el mantenimiento a los

servidores de acuerdo a recomendaciones según especificaciones de hardware y software. CONTROLES GENERALES Escritorio abierto y



Hay políticas que permitan que los

protección de

equipos se bloquen automáticamente

pantalla.

después de un cierto tiempo de espera

si los usuarios están inactivos. 

Existen políticas que impidan movilizar X

los equipos sin previa autorización. ACEPTACIÓN Y PLANIFICACIÓN DE SISTEMAS 

Existen políticas que permitan planear el futuro incremento de tecnología

tanto para capacidad de hardware y software. PROTECCIÓN CONTRA SOFTWARE MALICIOSO 

Existe control para evitar el uso de software no autorizado y control sobre

software maliciosos. 

Existe antivirus instalado en los ordenadores para poder aislar o

eliminar cualquier virus. 

Esta firma de antivirus se actualiza periódicamente para poder eliminar los

245

virus más recientes. GESTIÓN INTERNA 

Como política está predefinido el X

respaldar los archivos de información obtenidos por los servidores web y proxy. 

Si se guarda copias de seguridad y se los examina con regularidad para

obtener una recuperación optima de los archivos guardados. 

Si los errores son reportados y se X

aplican las medidas de acuerdo a los manuales de procedimientos. ADMINISTRACIÓN DE REDES CONTROLES DE



LA RED

Para mayor control de las redes se X

administra de forma estructurada como redes independientes. 

Se ha establecido respectivas responsabilidades en los accesos

remotos a los administradores de los servidores web y proxy. MANEJO DE MEDIOS DE INFORMACIÓN CON SEGURIDAD GESTIÓN DE LOS



Existe un procedimiento para la

SOPORTES

gestión de los soportes informáticos

INFORMÁTICOS

removibles como cintas, discos, cintas,

EXTRAÍBLES

tarjetas de memoria.

ELIMINACIÓN DE LOS MEDIOS DE



Si los medios de comunicación que ya no son necesarios se eliminan de forma segura. Esto comprende la parte

246

COMUNICACIÓN

lógica configuraciones de los servidores web y proxy, password, usuarios, archivos log, y física a lo que es todo hardware, CPU y sus periféricos en caso de daño.

PROCESOS PARA



Si existe un procedimiento para el

MANEJO DE LA

manejo del almacenamiento de

INFORMACIÓN

información. ¿Este procedimiento de

abordar cuestiones como la protección de la información de la divulgación no autorizada o uso indebido. SEGURIDAD DE



Si la documentación del sistema está

protegido contra el acceso no

DOCUMENTACIÓN

autorizado.

DEL SISTEMA.



Si la lista de acceso (ACL) para la documentación del sistema se

mantiene al mínimo y autorizado por los administradores de los servidores proxy y web. CONTROL DE ACCESO ADMINISTRACIÓN DE ACCESO A USUARIOS REGISTRO DE



USUARIO

Existen procedimientos que garantice y permita a los usuarios del área de

servidores el acceso total a ellos. 

Existen procedimientos que permitan resguardar la seguridad de las tecnologías de la información, de usuarios que ya no tengan el acceso permitido en caso de que ya no trabajen en el área de los servidores.

ADMINISTRACIÓN



Existen procedimientos que

247

DE PRIVILEGIOS

individualice a los usuarios por cargos

asignados de acuerdo a su tipo de trabajo. ADMINISTRACIÓN



La asignación y reasignación de

contraseñas se controla a través de un

CONTRASEÑAS

proceso de formal que está

establecido por las políticas. RESPONSABILIDADES DE LOS USUARIOS USO DE LA



CONTRASEÑA

Existe procedimientos que permita seleccionar a los usuarios de un

rango, cuales son los tipos de contraseñas seguras. MONITOREO DE LOS ACCESOS A LOS SERVIDORES REGISTRO DE



SUCESOS

Si los registros de sucesos y eventos de seguridad ocurrido, se graban

pertinente durante un período de tiempo acordado para ayudar en futuras investigaciones y de supervisión para llevar un control de acceso. USAR UN



Se tiene establecido procedimientos

SISTEMA DE

de control para del uso software de

MONITOREO

monitoreo en el área de servidores.

El procedimiento debe garantizar que los usuarios realizan sólo las actividades que están expresamente autorizadas. 

Se mantiene sincronizado los equipos con el reloj del servidor?



Los resultados de las actividades de

248

seguimiento se revisan con

regularidad?. SINCRONIZACION



El ajuste de la hora se realiza de forma

EN LOS RELOJS

sincronizada para poder llevar un

DE LOS

registro exacto de la hora en que se

SERVIDORES

realizan los sucesos ocurridos en los

archivos de registro. DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE APLICACIÓN EN LOS SERVIDORES REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE APLICIÓN EN LOS SERVIDORES. REQUERIMIENTOS



Se realiza una debida encriptación de

DE SEGURIDAD

los datos almacenados en la(s)

DE LOS SISTEMAS

paginas alojadas en el servidor.

DE APLICACIÓN. SEGURIDAD EN ARCHIVOS DEL LOS SERVIDORES 

Existe controles establecidos para la aplicación de software en los

servidores PROTECCIÓN DE



ARCHIVOS

Son protegidos y controlados los datos que se encuentran en pruebas

constantes en los servidores. 

Se comprueba vulnerabilidades que tengan las bases que se encuentran en constante modificaciones y actualizaciones.

249

Ver en el Archivo de Tablas de Valorizaci贸n p谩g. 9, 10, 11, 12 y 13

250

251

252

253

254

ANEXO 14 CONFIGURACIÓN DEL SERVIDOR PROXY DE LA PUCE SD Sub redes que trabajan en el Área de Redes de la PUCE SD son: Subred 1: 192.168.1.0/24

Subred 2: 192.168.7.0/24

255

Subred 3: 192.168.0.0/24

Subred 4: 192.168.3.0/24

256

Subred 5: 192.168.6.0/24

Puerto en el que trabajo el Proxy y que tipo es: Puerto 3128, Proxy Transparente

257

El nombre de usuario y clave están ubicados: Maquina Local del administrador del Servidor Proxy La cantidad de bit utilizados en la clave es Mínimo, además que

combinando con

caracteres como “#@-!?¿º, Letras (mayúsculas y minúsculas) y números y esta en el rango de e 8 y 16 caracteres La cantidad de memoria Cache que se le asigna al Servidor Proxy es de 100 MB que se ilustra en la siguiente imagen.

Cache dir.- Este parámetro se utiliza para establecer que tamaño se desea que tenga el caché en el disco duro para Squid que es de 10 GB como se demuestra en la siguiente imagen proporcionada por el Administrador del Servidor.

258

No tienen levantado el Servidor FTP. Las Listas de Control de Acceso (ACL), que tienen la Red Local son:

259

En la imagen anterior se observa las ACL que existen en la red local que son Administradores y Extensiones. En las ACL de Administradores contiene dos direcciones IP como se ilustra en la siguiente imagen.

260

ANEXO 15 Análisis del Sitio Web www.pucesd.edu.ec con Herramientas externas al Servidor Dominio Para identificar el dominio utilizamos la página web: http://www.nic.ec Los datos detallados a continuación por NIC.EC es información pública cuyo propósito es únicamente informativo que sirve para la obtención de la información acerca de o relacionado con los registros de un Nombre de Dominio. Los datos se muestran de acuerdo a los datos de NIC.EC en la última actualización de su base de datos. Al realizar una búsqueda de WHOIS de un dominio, usted declara y acepta que los datos serán utilizados solo para fines legales y que no utilizara los datos para envíos masivos no solicitados de correo electrónico o para publicidad o fines comerciales no solicitados.

261

Análisis de Sito Web con Woorank WooRank es un programa/extensión/sitio web que permite analizar de manera rápida y sencilla una página web, otorga un informe con datos del sitio que hemos analizado. Este servicio se basa en 50 criterios de análisis, entre los que se encuentran por un lado los de Off-Site SEO como también del otro lado In-Site SEO, a parte de la estimación de visitas, usabilidad y datos adicionales.

262

263

264

SEGURIDAD SITIO WEB La página web esta realizada en Joomla el cual permite modificar el contenido desde cualquier pc con el único requisito que es tener acceso a internet como se ilustra en la imagen a continuación se tiene acceso a la pantalla principal de administrador

265

ANEXO 16 VISITA AL CUARTO DE SERVIDORES 2009

Imagen 1 Servidores. a. Servidor de Dominio b. Servidor Secretarias. c. Servidor Impresoras. Tabla 1: Imรกgenes de รกrea de los servidores.

Imagen 2 Servidores. d. Servidor Contable Tabla 2: Imรกgenes del รกrea de los servidores.

266

Imagen 3 Servidores. e. Servidor de Correo. f. Servidor de Pagina Web. g. Servidor Proxy. Tabla 3: Imรกgenes de รกrea de los servidores.

Imagen 4 Servidores. h. Servidor de Pruebas. i. Servidor proxy sistemas. Tabla 4: Imรกgenes de รกrea de los servidores.

267

Imagen 5 j. k. l. m. n. o. p.

Accesos de conexión. Punto al servidor Contable Punto al servidor de Prueba Punto al servidor Proxy Punto al servidor Página Web Punto al servidor Correo internet. Punto al servidor Correo. Punto LAN, hacia el servidor Pág. web. q. Punto LAN al servidor Proxy. r. Punto LAN al servidor Proxy. s. Punto DMZ al servidor Proxy. Tabla 5: Imágenes de área de los servidores.

Imagen 6 Servidores. t. Rack de Piso Cerrado. Tabla 6: Imágenes del área de los servidores.

268

Imagen 7 Switch u. Switch Hp. v. Switch Trendnet Tabla 7: Imรกgenes de รกrea de los servidores.

Imagen 8 Switch w. Switch para fibra รณptica. x. Router CISCO 7604. Tabla 8: Imรกgenes de รกrea de los servidores.

269

Imagen 9 y.

Convertidor. XDK Ethernet Media Converter. Tabla 9: Imágenes del área de los servidores.

Imagen 10 Central Telefónica z. TDA 200 Panasonic. aa. Cajetín de revisión. Tabla 10: Imágenes del área de los servidores.

270

Imagen 11 Ventilaciรณn ab. Aire Acondicionado LG Tabla 11: Imรกgenes del รกrea de los servidores.

Imagen 12 Respaldo de Corriente ac. UPS APC Smart 1000 VA Tabla 12: Imรกgenes del รกrea de los servidores.

271

ANEXO 16 VISITA AL CUARTO DE SERVIDORES 2010

Imagen 14 Servidores. ad. Servidor Proxy ae. Servidor Secretarias. af. Servidor Impresoras. Tabla 14: Imรกgenes de รกrea de los servidores.

Imagen 15 Servidores. ag. Servidor Sistema Contable. Tabla 15: Imรกgenes de รกrea de los servidores.

272

Imagen 16 Servidores. ah. Servidor Dominio. ai. Servidor Proxy. aj. Servidor Correo. Tabla 16: Imรกgenes de รกrea de los servidores.

Imagen 17 Servidores. ak. Servidor Pagina Web. Tabla 17: Imรกgenes de รกrea de los servidores.

273

al. am.

ao. ap.

au av

Imagen 18 al. am. ao. ap. aq. ar. as.

Accesos de conexión. Punto al servidor Contable Punto al servidor de Prueba Punto al servidor Proxy Punto al servidor Página Web Punto al servidor Correo internet. Punto al servidor Correo. Punto LAN, hacia el servidor Pág. web. at. Punto LAN al servidor Proxy. au. Punto LAN al servidor Proxy. av. Punto DMZ al servidor Proxy. Tabla 18: Imágenes de área de los servidores.

Imagen 19 Servidores. aw. Servidor Pagina Web. Tabla 19: Imágenes de área de los servidores.

274

Imagen 20 Switch ax. Switch Hp. ay. Switch Trendnet Tabla 20: Imรกgenes de รกrea de los servidores.

Imagen 21 Switch az. Switch para fibra รณptica. ba. Router CISCO 7604. Tabla 21: Imรกgenes de รกrea de los servidores.

275

Imagen 22 bb.

Convertidor. XDK Ethernet Media Converter. Tabla 22: Imágenes del área de los servidores.

Imagen 23 Central Telefónica bc. TDA 200 Panasonic. bd. Cajetín de revisión. Tabla 23: Imágenes del área de los servidores.

276

Imagen 24 Ventilaciรณn be. Aire Acondicionado LG Tabla 24: Imรกgenes del รกrea de los servidores.

Imagen 25 Respaldo de Corriente bg. UPS APC Smart 1000 VA Tabla 25: Imรกgenes del รกrea de los servidores.

277

ANEXO 17

278

ANEXO 18 Herramienta de Anรกlisis de Riesgos Pilar Basic de Evaluaciรณn, las grรกficas presentadas a continuaciรณn son los pasos para la utilizaciรณn de dicha herramienta PROYECTO DATOS DEL PROYECTO

SUBCONJUNTO DE DIMENSIONES

279

SUBCONJUNTO DE CRITERIOS DE VALORIZACIÓN

SUBCONJUNTO DE AMENAZAS

280

ANÁLISIS DE RIESGOS ACTIVOS IDENTIFICACIÓN

CLASES DE ACTIVOS

281

VALORACIÓN DE LOS DOMINIOS

DEPENDENCIAS

282

VALORIZACIÓN DE ACTIVOS

AMENAZAS VULNERABILIDAD DE LOS DOMINIOS

IDENTIFICACIÓN

283

VALORIZACIÓN

284

IMPACTO Y RIESGO IMPACTO

285

RIESGO

TABLA

286

VALORES REPERCUTIDOS IMPACTO

RIESGO

287

TABLA

TRATAMIENTO DE LOS RIESGOS SALVAGUARDAS IDENTIFICACION

288

VALORIZACIÓN

ESPECIFICACIÓN DE ACTIVOS

289

PROTECCIÓN ADICIONALES VALORIZACIÓN

PROCEDIMIENTOS DE SEGURIDAD

290

IMPACTO Y RIESGOS RESIDUALES IMPACTO

RIESGO

291

TABLA

TABLA IMPACTO

292

RIESGO

TABLA

293

INFORME

294

ANEXO 19

295

ANEXO 20

296

ANEXO 21

297

ANEXO 22

298

ANEXO 23

299

ANEXO 24

300

ANEXO 25

301

ANEXO 26

302

ANEXO 27

303

ANEXO 28

304

ANEXO 29

305

ANEXO 30

306

ANEXO 31

307

308

ANEXO 32

309

ANEXO 33

310

311