Post on 15-Aug-2020
i
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERÍA EN SISTEMAS
COMPUTACIONALES
IMPLEMENTACIÓN DE SOFTWARE CON CÓDIGO ABIERTO PARA LA
AUTENTICACIÓN, AUTORIZACIÓN Y FEDERACIÓN DE IDENTIDADES DE
ACCESOS A LOS SISTEMAS DEL PROGRAMA DE INVESTIGACIÓN
MÉDICA DE INFORMÁTICA (PROMEINFO)
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN SISTEMAS COMPUTACIONALES
AUTOR: STALYN ALFREDO GRANDA CHIPRE
TUTORA: ING. ALEXANDRA VARELA
GUAYAQUIL – ECUADOR
2015
ii
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS
TÍTULO:
"Implementación de software con código abierto para la autenticación, autorización y federación de
identidades de accesos a los sistemas del programa de investigación Médica de informática
(PROMEINFO)".
AUTOR:
Stalyn Alfredo Granda Chipre
REVISORES:
INSTITUCIÓN: Universidad De Guayaquil FACULTAD: Ciencias Matemáticas Y Físicas
CARRERA: Ingeniería en Sistemas Computacionales
FECHA DE PUBLICACIÓN: N° DE PÁGS:
ÁREA TEMÁTICA: Seguridad Informática
PALABRAS CLAVES:
Seguridad, Autenticación, Autorización, Red Social, Guayaquil, Ecuador.
RESUMEN: Este proyecto de titulación tiene como objetivo implementar una herramienta que
permite acceder a varias aplicaciones proporcionando las credenciales una sola vez. De esta manera
se autenticaran los usuarios sin tener que ingresar con diferentes en varias aplicaciones.
N° DE REGISTRO(en base de datos): N° DE CLASIFICACIÓN:
DIRECCIÓN URL (tesis en la web):
ADJUNTO PDF
SI x
NO
CONTACTO CON AUTOR:
Stalyn Alfredo Granda Chipre
Teléfono:
0967699943
E-mail:
stalyn.granda@hotmail.com
CONTACTO DE LA INSTITUCIÓN:
Universidad de Guayaquil
Facultad de Ciencias Matemáticas y Físicas
Ingeniería en Sistemas Computacionales
Nombre:
Ab. Juan Chávez Atocha
Teléfono: 043093568
i
APROBACION DEL TUTOR
En mi calidad de Tutor del trabajo de titulación, “Implementación de software
con código abierto para autenticación, autorización y federación de
identidades de accesos a los sistemas del programa de investigación
médica de informática (PROMEINFO)” elaborado por el Sr. Stalyn Alfredo
Granda Chipre, egresado de la Carrera de ingeniería en sistemas
computacionales, Facultad de Ciencias Matemáticas y Físicas de la
Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en
Sistemas, me permito declarar que luego de haber orientado, estudiado y
revisado, la Apruebo en todas sus partes.
Atentamente
Ing. Alexandra Varela Tapia
TUTOR
ii
DEDICATORIA
Dedico este trabajo principalmente a Dios, por haberme dado la vida y por
permitirme haber llegado a este momento tan importante de mi formación
profesional.
A mis padres Santos y Elizabeth que han sido el pilar fundamental para la
culminación del presente trabajo, depositando su confianza quienes no
dudaron ni un minuto en que este momento llegaría.
A mi querido hijo Sebastián Paúl quien es el motor que me anima a seguir
adelante cada día iluminando mi vida y haciendo el camino más claro.
A los que nunca dudaron que lograría este triunfo: hermanos, amigos y
familiares.
iii
AGRADECIMIENTO
Mi efusivo agradecimiento al Ing. Alexandra Varela como mi tutora, por su
colaboración desinteresada y permanente en aclarar mis dudas como los
consejos brindados para mi desarrollo profesional. Gracias por la paciencia y
el tiempo dedicado en el desarrollo del proyecto.
iv
TRIBUNAL PROYECTO DE TITULACIÓN
_____________________________
Ing. Eduardo Santos Baquerizo, M.Sc.
DECANO DE LA FACULTAD
CIENCIAS MATEMATICAS Y FISICAS
______________________________
Lcda. Elizabeth Yuquilema
PROFESOR DEL ÁREA - TRIBUNAL
______________________________
Ing. Alexandra Varela
DIRECTOR DEL PROYECTO DE
TITULACIÓN
_____________________________
Ing. Inelda Martillo Alcívar, Mgs
DIRECTORA
CISC
______________________________
Ing. Luis Arias
PROFESOR DEL ÁREA - TRIBUNAL
________________________________
Ab. Juan Chávez A.
SECRETARIO
v
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de esta Tesis de Grado, me corresponden
exclusivamente; y el patrimonio intelectual de la misma a la UNIVERSIDAD
DE GUAYAQUIL”
Granda Chipre Stalyn Alfredo
vi
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERÍA EN SISTEMAS
COMPUTACIONALES
IMPLEMENTACIÓN DE SOFTWARE CON CÓDIGO ABIERTO PARA LA
AUTENTICACIÓN, AUTORIZACIÓN Y FEDERACIÓN DE IDENTIDADES DE
ACCESOS A LOS SISTEMAS DEL PROGRAMA DE INVESTIGACIÓN
MÉDICA DE INFORMÁTICA (PROMEINFO)
Proyecto de Titulación que se presenta como requisito para optar por el título
de Ingeniero en Sistemas Computacionales.
Autor: Granda Chipre Stalyn Alfredo
C.I.0922676945
Tutor: ING. ALEXANDRA VARELA
Guayaquil, Diciembre del 2015
vii
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad
de Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por el/la
estudiante GRANDA CHIPRE STALYN ALFREDO, como requisito previo
para optar por el título de Ingeniero en Sistemas Computacionales cuyo
problema es:
IMPLEMENTACIÓN DE SOFTWARE CON CÓDIGO ABIERTO PARA LA
AUTENTICACIÓN, AUTORIZACIÓN Y FEDERACIÓN DE IDENTIDADES
DE ACCESOS A LOS SISTEMAS DEL PROGRAMA DE INVESTIGACIÓN
MÉDICA DE INFORMÁTICA (PROMEINFO)
Considero aprobado el trabajo en su totalidad.
Presentado por:
Granda Chipre Stalyn Alfredo 0922676945
Tutor: ING. ALEXANDRA VARELA
Guayaquil, Diciembre del 2015
viii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPPUTACIONALES
Autorización para Publicación de Proyecto de Titulación en
Formato Digital
1. Identificación del Proyecto de Titulación
Nombre Alumno: Stalyn Alfredo Granda Chipre
Dirección: Calle 22ava. Calle P
Teléfono: 0967699943 E-mail: stalyn.granda@hotmail.com
Facultad: Ciencias Matemáticas y Física
Carrera: Ingeniería en Sistemas Computacionales
Proyecto de titulación al que opta:
Profesor tutor: ING.ALEXANDRA VARELA
Título del Proyecto de titulación: IMPLEMENTACIÓN DE SOFTWARE
CON CÓDIGO ABIERTO PARA LA AUTENTICACIÓN, AUTORIZACIÓN Y
FEDERACIÓN DE IDENTIDADES DE ACCESOS A LOS SISTEMAS DEL
PROGRAMA DE INVESTIGACIÓN MÉDICA DE INFORMÁTICA
(PROMEINFO)
ix
Tema del Proyecto de Titulación: Framework de Seguridad de Acceso
Informático
2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de
Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la
versión electrónica de este Proyecto de titulación.
Publicación electrónica:
Inmediata Después de 1 año
Firma Alumno:
3. Forma de envío:
El texto del proyecto de titulación debe ser enviado en formato Word, como
archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen
pueden ser: .gif, .jpg o .TIFF.
DVDROM CDROM
x
ÍNDICE GENERAL
APROBACION DEL TUTOR .................................................................................... i
DEDICATORIA ......................................................................................................... ii
AGRADECIMIENTO ............................................................................................... iii
TRIBUNAL PROYECTO DE TITULACIÓN ............................................................ iv
DECLARACIÓN EXPRESA ..................................................................................... v
CERTIFICADO DE ACEPTACIÓN DEL TUTOR .................................................. vii
Autorización para Publicación de Proyecto de Titulación en Formato Digital ..... viii
ÍNDICE GENERAL ................................................................................................... x
ABREVIATURAS ................................................................................................... xv
SIMBOLOGÍA ........................................................................................................ xvi
ÍNDICE DE CUADROS ........................................................................................ xvii
ÍNDICE DE GRÁFICOS ...................................................................................... xviii
INTRODUCCIÓN .................................................................................................... 1
CAPÍTULO I ............................................................................................................ 2
EL PROBLEMA ....................................................................................................... 2
PLANTEAMIENTO DEL PROBLEMA................................................................. 2
Ubicación del Problema en un Contexto ......................................................... 2
Situación Conflicto Nudos Críticos .................................................................. 3
Formulación del Problema ............................................................................... 4
Evaluación del Problema ................................................................................. 4
OBJETIVOS ............................................................................................................ 6
OBJETIVO GENERAL ........................................................................................ 6
xi
OBJETIVOS ESPECÍFICOS ........................................................................... 6
ALCANCES DEL PROBLEMA ............................................................................ 7
JUSTIFICACIÓN E IMPORTANCIA .................................................................. 8
Razones: .......................................................................................................... 8
METODOLOGÍA DEL PROYECTO .................................................................... 9
Supuestos y Restricciones ................................................................................ 10
Plan de Calidad (Pruebas a realizar) ................................................................ 10
CAPÍTULO II ......................................................................................................... 11
MARCO TEÓRICO ............................................................................................... 11
ANTECEDENTES DEL ESTUDIO .................................................................... 11
FUNDAMENTACIÓN TEÓRICA ....................................................................... 12
Finalidad De La Seguridad Informática. ........................................................ 12
Datos .............................................................................................................. 12
Información .................................................................................................... 13
Infraestructura Computacional ...................................................................... 14
Tipos De Amenazas .......................................................................................... 15
Amenazas internas y amenazas externas. (SBAJANSMX2013, 2015) ....... 15
Virus Informáticos .......................................................................................... 17
Servidor De Aplicaciones .............................................................................. 18
Servidor De Aplicaciones Jboss .................................................................... 19
Implementaciones En Servidor Jboss ........................................................... 21
Web Services ................................................................................................. 21
Ventajas Del Web Services ........................................................................... 23
Lenguaje De Programación Java .................................................................. 23
Control de Riesgos ........................................................................................ 25
Integridad ....................................................................................................... 25
xii
Confidencialidad ............................................................................................ 25
Disponibilidad ................................................................................................. 25
Autenticación (o identificación) ...................................................................... 25
Federación de Identidades ............................................................................ 26
Sistemas de autenticación y autorización. .................................................... 28
FUNDAMENTACIÓN LEGAL ............................................................................... 29
CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR ...................................... 29
Sección tercera .................................................................................................. 29
Comunicación e Información ......................................................................... 29
Título VII ............................................................................................................ 29
RÉGIMEN DEL BUEN VIVIR ............................................................................ 29
Sección primera ................................................................................................. 29
Educación ...................................................................................................... 29
Sección octava .................................................................................................. 30
Ciencia, tecnología, innovación y saberes ancestrales ................................ 30
Según el decreto N° 1014 ................................................................................. 30
Según la Ley Orgánica de Educación Superior ............................................ 31
Sección Novena ................................................................................................ 31
De la Ciencia y Tecnología ............................................................................ 31
Según la ley de Propiedad Intelectual: ............................................................. 32
Sección V........................................................................................................... 32
Disposiciones Especiales sobre ciertas Obras ............................................. 32
PROYECTO DE LEY ORGÁNIC A GENERAL DE SALUD (CÓDIGO ORGÁNICO
DE SALUD) ........................................................................................................... 34
PREGUNTA CIENTÍFICA A CONTESTARSE ................................................. 34
DEFINICIONES CONCEPTUALES .................................................................. 35
xiii
Integridad ....................................................................................................... 35
Confidencialidad ............................................................................................ 35
Disponibilidad ................................................................................................. 35
Autenticación (o identificación) ...................................................................... 35
CAPÍTULO III ........................................................................................................ 37
PROPUESTA TECNOLÓGICA ............................................................................ 37
Análisis de factibilidad ....................................................................................... 37
Factibilidad Operacional .................................................................................... 37
Factibilidad técnica ............................................................................................ 38
Factibilidad Legal ........................................................................................... 40
Factibilidad Económica .................................................................................. 41
Etapas de la metodología del proyecto ............................................................ 42
Grupos de Procesos ...................................................................................... 42
Áreas de Conocimiento ................................................................................. 43
Gestión de la integración ............................................................................... 43
Gestión del alcance ....................................................................................... 43
Gestión del tiempo ......................................................................................... 43
Gestión del costo ........................................................................................... 43
Gestión de la calidad ..................................................................................... 43
Gestión de recursos humanos ...................................................................... 44
Gestión de riesgos ......................................................................................... 44
Gestión de adquisiciones .............................................................................. 44
Gestión de los interesados ............................................................................ 44
Entregables del proyecto................................................................................... 45
o Validar Alcances, Tomar del Capítulo III en la sección de “criterios de
validación de la propuesta” ............................................................................... 45
xiv
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA .......................................... 46
Encuesta de Satisfacción del proyecto ............................................................. 48
Gráfico 13: Cuadro estadístico - Pregunta 3 ................................................. 50
CAPÍTULO IV ........................................................................................................ 58
Criterios de aceptación del producto o Servicio ................................................... 58
Objetivos de la ISO 27001 ................................................................................ 59
Informe de aceptación y aprobación para productos de SOFTWARE/
HARDWARE ...................................................................................................... 59
Informe de aseguramiento de la calidad para productos de SOFTWARE/
HARDWARE ISO .............................................................................................. 60
Establecer mecanismos de control ............................................................... 60
Definir métodos para corrección ................................................................... 60
Medidas, métricas e indicadores ................................................................... 61
CONCLUSIONES ................................................................................................. 62
RECOMENDACIONES ......................................................................................... 64
BIBLIOGRAFÍA ..................................................................................................... 66
ANEXOS ............................................................................................................... 69
xv
ABREVIATURAS
ABP Aprendizaje Basado en Problemas
UG Universidad de Guayaquil
FTP Archivos de Transferencia
g.l. Grados de Libertad
Html Lenguaje de Marca de salida de Hyper Texto
http Protocolo de transferencia de Hyper Texto
Ing. Ingeniero
CC.MM.FF Facultad de Ciencias Matemáticas y Físicas
ISP Proveedor de Servicio de Internet
Mtra. Maestra
Msc. Master
URL Localizador de Fuente Uniforme
www world wide web (red mundial)
xvi
SIMBOLOGÍA
s Desviación estándar
e Error
E Espacio muestral
E(Y) Esperanza matemática de la v.a. y
s Estimador de la desviación estándar
e Exponencial
xvii
ÍNDICE DE CUADROS
Pág.
Tabla 1: Causas y Consecuencias del Problema .................................................. 3
Tabla 2: Delimitación del Problema ........................................................................ 4
Tabla 3: Factibilidad técnica del proyecto – Software .......................................... 39
Tabla 4. Factibilidad técnica del proyecto – Software .......................................... 40
Tabla 5: Factibilidad Económica Costo-Beneficios .............................................. 41
Tabla 6.Informe De Pruebas Del Software ........................................................... 46
Tabla 7. Pregunta 1............................................................................................... 48
Tabla 8. Pregunta 2............................................................................................... 49
Tabla 9. Pregunta 3............................................................................................... 50
Tabla 10. Pregunta 4 ............................................................................................ 51
Tabla 11. Pregunta 4 ............................................................................................ 52
Tabla 12. Pregunta 6 ............................................................................................ 53
Tabla 13. Pregunta 7 ............................................................................................ 54
Tabla 14. Pregunta 8 ............................................................................................ 55
Tabla 15. Pregunta 9 ............................................................................................ 56
Tabla 16. Pregunta 10 .......................................................................................... 57
Tabla 17. Plan de Correcciones ........................................................................... 61
Tabla 18. Matriz de Calidad .................................................................................. 62
Tabla 197: Cronogramas del Proyecto ................................................................. 69
Tabla 20. Grupos de Procesos de Direcciones .................................................... 71
Tabla 21: FORMATO DE INTERESADOS DEL PROYECTO ............................. 72
Tabla 22: FORMATO DE RECURSO HUMANO ................................................. 73
Tabla 23: Plan de Riesgos .................................................................................... 74
Tabla 24: ENCUESTA .......................................................................................... 75
xviii
ÍNDICE DE GRÁFICOS
Pág.
Gráfico 1: Pruebas de Integración ........................................................................ 10
Gráfico 2: Datos .................................................................................................... 13
Gráfico 3: Información ........................................................................................... 13
Gráfico 4: INFRAESTRUTURA INFORMÁTICA .................................................. 14
Gráfico 5: Icono de JBoss Server Aplication ........................................................ 20
Gráfico 6: Icono de Web Services ........................................................................ 22
Gráfico 7: Icono de Java ....................................................................................... 24
Gráfico 8: Federación de Identidades .................................................................. 27
Gráfico 9: Cuadro estadístico - Pregunta 1 .......................................................... 48
Gráfico 10: Cuadro estadístico - Pregunta 2 ........................................................ 49
Gráfico 11: Cuadro estadístico - Pregunta 3 ........................................................ 50
Gráfico 12: Cuadro estadístico - Pregunta 4 ........................................................ 51
Gráfico 13: Cuadro estadístico - Pregunta 5 ........................................................ 52
Gráfico 14: Cuadro estadístico - Pregunta 6 ........................................................ 53
Gráfico 15: Cuadro estadístico - Pregunta 7 ........................................................ 54
Gráfico 16: Cuadro estadístico - Pregunta 8 ........................................................ 55
Gráfico 17: Cuadro estadístico - Pregunta 9 ........................................................ 56
Gráfico 18: Cuadro estadístico - Pregunta 10 ...................................................... 57
xix
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES
IMPLEMENTACIÓN DE SOFTWARE CON CÓDIGO ABIERTO PARA LA
AUTENTICACIÓN, AUTORIZACIÓN Y FEDERACIÓN DE IDENTIDADES DE
ACCESOS A LOS SISTEMAS DEL PROGRAMA DE INVESTIGACIÓN
MÉDICA DE INFORMÁTICA (PROMEINFO)
Resumen
El objetivo de este presente proyecto es brindar seguridades a nivel
informático con lo que tiene que ver el acceso de personas a sistemas o
aplicaciones web, utilizando técnicas informáticas para validar la
autenticación de quien dice ser y autorización para estas aplicaciones web,
seguido de la implementación de las seguridades utilizando Certificados SSL
para la encriptación de la información cuando viaje en la URL. Para la
gestión y funcionamiento de este proyecto se aplicó la metodología PMI que
nos ayudará a llevar de manera ordenada los procesos para el mejoramiento
constantes de la calidad.
Autor: Stalyn Alfredo Granda Chipre
Tutor: Ing. Alexandra Varela
xx
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES
IMPLEMENTACIÓN DE SOFTWARE CON CÓDIGO ABIERTO PARA LA
AUTENTICACIÓN, AUTORIZACIÓN Y FEDERACIÓN DE IDENTIDADES DE
ACCESOS A LOS SISTEMAS DEL PROGRAMA DE INVESTIGACIÓN
MÉDICA DE INFORMÁTICA (PROMEINFO)
Abstract
The objective of this project is to provide computer security level you have to
see people's access to systems or web applications, using computer
techniques to validate authentication and authorization who claims to be for
these web applications, followed by the implementation securities using SSL
certificates for encrypting information when traveling in the URL.
Management and operation of this project the PMI methodology that will help
us bring orderly processes for continuous quality improvement applied.
Autor: Stalyn Alfredo Granda Chipre
Tutor: Ing. Alexandra Varela
1
INTRODUCCIÓN
En la actualidad existen varias de personas que se encuentran
interactuando con diferentes sistemas informáticos diariamente, las cuales
nos obliga a estar atentos a no perder las prácticas que pueden pasar
desapercibidas por los usuarios y que a la vez nos puede causar grandes
problemas si no le ponemos cuidado. La acumulación de información diaria
causa que las personas tengan problemas para recordar datos importantes
como los de inicio de sesión de cada uno de los sistemas tecnológicos o
aplicaciones informáticas, con las que interactúa para realizar alguna tipo de
trabajo o servicio.
2
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
Ubicación del Problema en un Contexto
Actualmente los sistemas informáticos están protegidos por usuarios y
contraseñas, mucho más si estos sistemas son accesibles a diferentes
personas. Y qué decir de las grandes organizaciones manejan varios
sistemas con la finalidad de administrar y procesar la información, muchos de
estos sistemas pueden contener varias aplicaciones WEB, causando que los
usuarios en ocasiones tengan diferentes tipos de credenciales para acceso
de las mismas; es decir que los usuarios cuando traten de ingresar a cada
una de estas aplicaciones deberán autenticarse en cada una de ellas, esto
sin tomar en cuenta el números de las aplicaciones que pueden tener estas
organizaciones.
Otra problemática se crea cuando las aplicaciones no comparten las mismas
sesiones, es decir que si se autentica en una aplicación WEB, posiblemente
en la otra tenga que acceder con otro tipo de usuario. De esta manera tendré
diferentes usuarios con diferentes contraseñas o posiblemente el mismo
usuarios.
Esto puede causar lo que se denomina entre los usuarios “Fatiga de
contraseñas”, lo que puede provocar es que los usuarios para poder acceder
a varias aplicaciones van a optar en poner las mismas contraseñas de
manera predecibles; dañando totalmente el concepto de políticas de
seguridades en la organización. (Consultoria, 2014)
Adicional a esto puede incurrir en cargas operativas al soporte técnico en
caso de perder u olvidar alguna credencial de acceso a una aplicación WEB.
3
Situación Conflicto Nudos Críticos
Dentro de grandes organizaciones e instituciones se pueden existir
variedades de aplicaciones WEB, por lo que los usuarios tendrán que
almacenar varias credenciales de acceso a estas aplicaciones, por
consiguiente genera que al ingresar a varias de estas aplicaciones ingresen
con diferentes usuarios distinto y en ocasiones con distintas contraseñas.
Esto conlleva a los usuarios crear las mismas contraseñas para el acceso a
cada aplicación WEB; a su vez puede incurrir en afectar las políticas de
seguridades de la institución u organización.
Tabla 1: Causas y Consecuencias del Problema
CAUSAS Consecuencias del Problema
Tener diferentes accesos
para varios aplicativos WEB.
Afecta a las políticas de seguridad
Informática de la institución.
No contar con métodos para
generar contraseñas.
El usuario toma la decisión de crear
contraseñas que pueden ser predecibles.
No contar con un gestor de
accesos para las
credenciales de los usuarios.
El hecho de no contar con gestores de
accesos puede afectar el área de confianza
tecnología dentro de la organización.
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
4
Tabla 2: Delimitación del Problema
CAMPO Instituciones que brindan servicio de
atención hospitalaria.
AREA Departamento de sistemas.
ASPECTO Autentificar, autorizar los accesos de los
aplicativos web.
TEMA Implementar un software para la
administración de accesos a los aplicativos
WEB de PROMEINFO.
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Formulación del Problema
Para este problema surgen algunas incógnitas, como por ejemplo:
¿Cómo incide la vulnerabilidad de los accesos a los sistemas de las grandes
organizaciones, que a pesar de tener políticas de seguridad informáticas
establecidas, no cuenten con un sistema que administre la seguridad en la
Autenticación, Autorización y federación de identidades de accesos; las
cuales pueden permitir que las normas o políticas de seguridad informática
se mantengan implementadas dentro de la institución del programa de
investigación médica de informática (PROMEINFO)?
Evaluación del Problema
5
Según lo antes mencionados acerca del problema expuesto tenemos los
siguientes aspectos:
Delimitado: La seguridad de la información dentro de la organización o
institución, daña el área de confianza tecnológica. (Luján, Riesgo vs.
Seguridad de la Información, 2015)
Claro: Reducir las vulnerabilidades de la seguridad al momento de acceder
a los aplicativos WEB y a su vez dar por asentado las políticas de seguridad
a nivel contraseñas. (Luján, Seguridad Informatica, 2014)
Evidente: Debido a la variedad de aplicativos Web que pueden existir en la
organización o institución, podemos generar una “fatiga de contraseñas” para
el usuario en el caso de no contar con un gestor de autenticación.
Factible: Con respecto a la factibilidad debe de ser orientado para los
mantener los controles de acceso a la información sensible de la
organización o institución.
Identifica los productos esperados: Además de brindar la seguridad de la
información sensible de la organización, se espera que los usuarios
comprendan la necesidad de implementar metodologías, procesos o normas
para asignar, actualizar y restringir accesos a los sistemas de la
organización.
Variables: Se puede identificar las variables:
V1: Implementar software con código abierto.
V2: Autenticación, autorización y federación de identidades de accesos
6
OBJETIVOS
OBJETIVO GENERAL
Implementar software con código abierto para autenticación, autorización y
Federación de identidades del Programa De Investigación Médica De
Informática (PROMEINFO), para complementar las políticas de seguridades
informáticas de la institución que contenga estándares autentificación,
autorización y auditoria.
OBJETIVOS ESPECÍFICOS
Mejorar las políticas de seguridad de contraseñas para poder gestionar el
uso de las mismas en las aplicaciones Web y poder generar un área de
confianza dentro de la organización.
Centralizar las credenciales de los usuarios para poder acceder a todas
las aplicaciones del sistema de PROMEINFO reduciendo fatiga de
contraseña al usuario.
Emplear el concepto de autenticación para la organización entre las
distintas aplicaciones WEB utilizando el framework de open source para
la implementación.
7
ALCANCES DEL PROBLEMA
Implementar e Integrar el software open source de gestión para la
autenticación y autorización dentro del sistema de PROMEINFO.
Crear un solo repositorio en donde se pueda consultar los diferentes
usuarios de la organización, creando un área de confianza.
Complementar las políticas de seguridad de identidades con respecto a
los perfiles de usuario.
Definir autorizaciones de seguridad para los accesos a los aplicativos
WEB que pueden existir en la organización.
8
JUSTIFICACIÓN E IMPORTANCIA
Existen varias razones en que el software a integrarse a la organización
puede ayudar a la seguridad informática.
Razones:
Es un software implementado para los retos digitales del día a día, diseñado
para el contexto de inicio de sesión único de acceso en el que se puede
integrar cualquier canal digital. (NACIONAL, 2010)
El software, a pesar de ser open source cuenta con estándares internaciones
de autenticación, autorización y auditoria, todo en un solo punto.
Es flexible al momento de la integración, personalización y configuración en
los aplicativos WEB; en caso de autenticarse a las base de Datos se puede
desarrollar un plugin adaptable. (Valero, 2013)
Es 100% Java, por los tanto es adaptable a diferentes tipos de sistemas
dentro de una organización.
Conserva la integridad de la información de los usuarios conforme se usa la
aplicación.
Se distribuye la información en cada herramienta, con la finalidad de evitar
percances en la sincronización de los datos con la herramienta. (Valero,
2013)
9
METODOLOGÍA DEL PROYECTO
Aplica a proyecto tecnológico funcional.
Para la implementación del presente proyecto tecnológico se basa en
metodologías de Project Management Institute (PMI), ofreciendo varios
recursos para el avance profesional de los gerentes de proyectos en lo que
corresponde a los estándares de desarrollo.
Metodología de Desarrollo
Metodología de Project Management Institute (PMI)
Grupos de Procesos
Inicio.
Planeación.
Ejecución
Seguimiento Y Control
Cierre
10
Supuestos y Restricciones
La implementación de la aplicación tendrá como objetivo validar la
autenticación y autorización de las personas que intente ingresar a los
sistemas Web de PROMEINFO.
La aplicación se podrá instalar en la plataforma Windows Server 2008 R2.
Las restricciones de la aplicación dependerán de las autorizaciones que
tendrán los usuarios de los sistemas.
Plan de Calidad (Pruebas a realizar)
Las pruebas para software se escogieron la “Pruebas de Integración”, que
están basadas en las estrategias de pruebas de software convencional.
(Pressman)
Gráfico 1: Pruebas de Integración
Elaborado: Stalyn Granda Chipre
Fuente:http://image.slidesharecdn.com/pruebas-101129080424-
phpapp01/95/pruebas-de-software-17-638.jpg?cb=1422633782
11
CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DEL ESTUDIO
A nivel mundial existen millones de personas que se encuentran
interactuando con diferentes sistemas informáticos diariamente, las cuales
nos obliga a estar atentos a no perder las prácticas que pueden pasar
desapercibidas por los usuarios y que a la vez nos puede causar grandes
problemas si no le ponemos cuidado. La acumulación de información diaria
causa que las personas tengan problemas para recordar datos importantes
como los de inicio de sesión de cada uno de los sistemas tecnológicos o
aplicaciones informáticas, con las que interactúa para realizar alguna tipo de
trabajo o servicio. (Escobar, 2015).
Si las grandes organizaciones como Google y Sony han sido presas de los
ataques por parte de los conocidos “Hackers” que tiene vastos conocimientos
para resolver cualquier obstrucción que se les presente, con solo un modem
y un computador que les permita la conexión para intervenir en la red,
imagínese los riegos en que se encuentran expuestos los usuarios.
(CNNMEXICO, 2011)
La Seguridad de la Información en el mundo se ha convertido un área
importante diariamente, ya que en la actualidad el hurto de contraseñas por
parte de personas mal intencionadas pueden causar el grandes dolores de
cabeza y en ocasiones grandes fraudes electrónicos. (Vilella, 2013)
12
FUNDAMENTACIÓN TEÓRICA
La seguridad informática se encuentra enfocada en el cuidado de la
infraestructura informática de las organizaciones y la información
computacional. Para lo cual existen un sin números de métodos, reglas,
estándares, leyes, protocolos y herramientas con la finalidad de reducir los
posibles riesgos a los que se encuentran expuestos los datos. La Seguridad
de la Información se encuentra dirigida en el cuidado de información
privilegiada y confidencial como datos, archivos, metadatos y todo tipo de
información de uso exclusivo de la organización.
Finalidad De La Seguridad Informática.
La finalidad de seguridad informática es proteger la información privilegiada
de la empresa entre las cuales se encuentran Información, infraestructura
computacional, usuarios.
Para ampliar el concepto de la seguridad informática se debe tener claro los
conceptos de Datos, Información, infraestructura computacional.
Datos
Los datos pueden identificarse como magnitudes numéricas, textos,
unidades de medidas, nombres o conjuntos de símbolos, imágenes, sonidos,
frases enteras, o valores cualitativos. A su vez constituyen argumentos,
propiedades o cualidades que identifican personas, procesos o acciones.
(Franco Di Biase De Lillo, 2019)
13
Gráfico 2: Datos
Elaborado: Stalyn Granda Chipre
Fuente: www.blog.classora.com
Información
En el área de informática la información es la parte más importante de un
sistema y para las instituciones públicas o privada constituye la parte
fundamental para la toma de decisiones. En sistemas la información está
formada por un grupo de datos procesados de tal manera que cambia la
lógica de los sistemas y alimenta su conocimiento.
Gráfico 3: Información
Elaborado: Stalyn Granda Chipre
Fuente: www.concepto05.com
14
Como se nota en la imagen, podemos resumir que la información es el
resultado del proceso de datos que es logrado con la ayuda de una
herramienta basada en un razonamiento lógico. (Bliggo)
Infraestructura Computacional
Todo lo que comprende la estructura computacional está relacionado con
estándares, protocolos, normas, reglas organizadas para minimizar riegos y
aumentar la seguridad en la empresa o institución. La función de la seguridad
informática en esta área es velar que los equipos mantengan el adecuado
funcionamiento y administrar los planes de contingencia en caso de tener
que usarlos en casos emergentes como Robos, incendios, boicot, desastres
naturales, fallas en el suministro eléctrico y cualquier otros factor que atente
contra la infraestructura informática. (Cano, 2011)
Gráfico 4: INFRAESTRUTURA INFORMÁTICA
Elaborado: Stalyn Granda Chipre
Fuente: www.3.bp.blogspot.com
15
Otras de las amenazas en lo que respecta a la seguridad informática son los
conocidos Virus informáticos que son creados penetrar a las infraestructuras
computacionales con la finalidad de dañar o extraer información con fines
maliciosos. Una de las maneras de penetración es por medio de la red (en el
caso de las comunicaciones).
Estas amenazas pueden ser causadas por los usuarios, programas
maliciosos, intrusos.
Tipos De Amenazas
En el hecho de conectarse a una red o un entorno externo nos da la
posibilidad de que alguien nos intente atacar y pueda entrar en nuestros
sistemas. El hecho de o estar conectado a una red con un entorno externo,
no significas que nos puede garantizar la seguridad. De acuerdo con
Computer Security institute (CSI) de san francisco aproximadamente entre
60n y 80 por ciento de los incidentes son causados dentro de la misma red.
Pior tal motivo podemos clasificar los tipos de amenazas:
Amenazas internas y amenazas externas. (SBAJANSMX2013, 2015)
Amenazas internas: Generalmente estas amenazas pueden ser más serias
que las externas por varias razones como son:
-Los usuarios conocen la red y saben cómo es su funcionamiento.
-Tienen algún nivel de acceso a la red por las mismas necesidades de su
trabajo.
-Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.
16
Gráfico 5. Amenazas internas
Elaborado: Stalyn Granda Chipre
Fuente: http://mundocontact.com
Esta situación se presenta gracias a los esquemas ineficientes de seguridad
con los que cuentan la mayoría de las compañías a nivel mundial, y porque
no existe conocimiento relacionado con la planeación de un esquema de
seguridad eficiente que proteja los recursos informáticos de las actuales
amenazas combinadas.
El resultado es la violación de los sistemas, provocando la pérdida o
modificación de los datos sensibles de la organización, lo que puede
representar un daño con valor de miles o millones de dólares.
Amenazas externas : Son aquellas amenazas que se originan de afuera
de la red. Al no tener información certera de la red, un atacante tiene que
realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar
la manera de atacarla. La ventaja que se tiene en este caso es que el
administrador de la red puede prevenir una buena parte de los ataques
externos. (andreaprc11, 2012)
17
Virus Informáticos
Los Virus Informáticos son sencillamente programas maliciosos
malwares que “infectan” a otros archivos del sistema con la intención de
modificarlo o dañarlo. Dicha infección consiste en incrustar su código
malicioso en el interior del archivo “víctima” (normalmente un ejecutable) de
forma que a partir de ese momento dicho ejecutable pasa a ser portador del
virus y por tanto, una nueva fuente de infección.
Su nombre lo adoptan de la similitud que tienen con los virus biológicos que
afectan a los humanos, donde los antibióticos en este caso serían los
programas Antiviruis
Gráfico 6. Virus Informáticos
Elaborado: Stalyn Granda Chipre
Fuente: http://www.informatica-hoy.com.ar
Los virus informáticos tienen, básicamente, la función de propagarse a través
de un software, no se replican a sí mismos porque no tienen esa facultad
como los del tipo Gusano informático (Worm), son muy nocivos y algunos
contienen además una carga dañina (payload) con distintos objetivos, desde
18
una simple broma hasta realizar daños importantes en los sistemas, o
bloquear las redes informáticas generando tráfico inútil. (Rivero, 2011)
Las vías de infección de los virus informáticos son:
Sitios web de Redes Sociales.
Páginas webs de fraudula.
Descarga de programas desconocidos (Redes P2P) que se adicionan a
la descarga de un software principal.
Dispositivos de almacenamientos como USB, CDs, DVDs, infectados.
Sitios webs falsos utilizados como phishing que roban la información del
usuario.
Programas adjuntos en Correos tipos (Spam)
Servidor De Aplicaciones
Un servidor de aplicaciones se denomina a los ordenadores donde usualmente
se ejecutan varias aplicaciones que proporcionan servicios a otros ordenadores
denominados clientes.
Entre las tareas que tienen los servidores de aplicaciones es administrar parte o
totalidad de las funciones de la lógica de negocio. Ente los servicios que
proporcionan esta la administración de Base de Datos e interacción con el
software. (ecured, 2011)
Entre los servidores de aplicaciones tenemos los siguientes:
Apache tomcat Glass Fish Jboss Oracle Application Server WebSphere Software Web Logic, entre otros.
19
Servidor Apache
Es una aplicación de código abierto compuesto de JSP(Java Servlets Pages)
con tecnología webSockets desarrollado por la comunidad “java Community
process”. (tomcat.apache.org, 2016)
El apache tomcat es liberado bajo “Licencia Apache versión 2”
Servidor De Aplicaciones Jboss
Este es un servidor de aplicación de código abierto desarrollado en leguaje
Java puro, a la vez este servidor puede ser utilizado en cualquier sistema
operativo ya que está hecho en Java. Inicialmente la empresa que desarrollo
el JBoss fue fundado por Marc Fleury, esta empresa fue adquirida en el
Abril de 2006 por la Red Hat.
Esta plataforma ofrece un alto rendimiento a nivel de servidores de
aplicaciones combinando Arquitectura orientada a servicios SOA, tiene
licencia GNU, para ser utilizado sin restricción alguna por cualquier
organización.
Este servidor de aplicación incluye todo lo necesario para administrar
servicios en lenguaje Java, es decir que maneja varias aplicaciones desde
edición Enterprise Java hasta aplicaciones móviles en HTML5.(Granda,
2014)
20
Gráfico 7: Icono de JBoss Server Aplication
Elaborado: Stalyn Granda Chipre
Fuente: http://www.jboss.org
En lo que respecta a un alto grado de rendimiento superior a los servidores
Apache HTTP y Apache Tomcat, esto se debe a su variedad de manejo en
las aplicaciones Java.
Dentro de las principales características de JBoss se incluyen las siguientes:
Licencia de código abierto.
Cumple los estándares internacionales.
Confiable a nivel de empresa u organización
Incluye SOA (orientado a arquitectura de servicios)
Flexibilidad consistente
Servicios del middleware para cualquier objeto de Java.
Soporte completo para JMX.
21
Implementaciones En Servidor Jboss
En lo que respecta a los servicios que se pueden implementar en este
servidor están las siguientes:
EJB 3.0
JBoss AOP
Hibernate
JBoss Cache
JBoss IDE
JBoss jBPM
JBoss Portal
JBoss Mail Server
JBoss MQ
JBoss Messaging
JBoss Forum (JForum)
Con esta herramienta se va a implementar un Web services, para realizar
métodos de consultas a la base de datos implementadas en el sistema
operativo Centos.
Web Services
Como su nombre lo indica este es un servidor de servicios, en donde se
implementan métodos de comunicación entre dispositivos electrónicos
atraves de internet con una dirección de RED ofreciendo servicios en línea.
Esta herramienta expone su lógica a clientes de cualquier plataforma
mediante una interfaz accesible por medio de una red utilizando (protocolos),
estándares de internet. Este Web Services se desarrolla en XML generando
22
un documento .xml, utilizado para describir servicios web implementados
para las consultas o requerimientos.
Gráfico 8: Icono de Web Services
Elaborado: Stalyn Granda Chipre
Fuente: http://www.jboss.org
Este servicio Web es accedido atraves de un servidor WEB utilizando los
siguientes protocolos estándares (HTTP, SOAP, WSDL, UDDI).
UDDI.- ofrece un servicio de directorio en Internet.
WSDL.-ofrece un modo de definir los servicios.
SOAP.-permite invocar métodos de los servicios.
XML y XML SCHEMA.-Permite a los consumidores de servicios enviar y
recibir mensajes y de los servicios.
HTTP, SMTP, TCP.- son protocolos abiertos de Internet que dan soporte a
capas superiores. (Saffirio, 2006)
23
Ventajas Del Web Services
Entre las ventajas más importantes que ofrecen los web Services se pueden
detallar los siguientes:
Optimización de tecnologías distribuida de componentes
Evita los problemas inherentes a la existencia de firewalls ya que SOAP
utiliza HTTO como protocolo de comunicación.
Permiten una innovación sencilla de métodos, mediante SOAP.
Los clientes o “consumidores de servicios” pueden estar en cualquier
plataforma (solo tiene que soportar XML/SOAP, incluso pueden
sustituirse SOAP por HTTP).
Permite centralizar los datos independientemente de si los web Services
están distribuidos o no
El desarrollo de este WEB Services que va a realizar con el lenguaje de
programación JAVA JDK7 (Box, 2006)
Lenguaje De Programación Java
Java es un lenguaje de programación en la que podemos realizar todo de
programa. Es actualmente el lenguaje más extendido y cada vez crece su
usabilidad a nivel tecnológico tanto para empresas o personas en particular
que desean implementar nuevos proyectos informáticos.
24
Gráfico 9: Icono de Java
Elaborado: Stalyn Granda Chipre
Fuente: http://www.java.com
Este lenguaje fue desarrollado por la compañía SUN Microsystems enfocado
a cubrir los requerimientos tecnológicos. Otra de las características es que es
un lenguaje muy conocido e independiente de la plataforma, es decir que la
mayoría de las aplicaciones desarrollada en Java pueden trabajar en
cualquier ordenador. Esto es una ventaja significativa para los
desarrolladores de software pues antes tenían que hacer un programa para
cada sistema operativo, es decir que para la aplicación que se va a
desarrollar este lenguaje es el apropiado para trabajar en Centos.
Inicialmente java fue creado para utilizarse en electrodomésticos pero idea
principal fracaso. Uno de los fundadores de SUN rescato la idea para
utilizarla en el área de Internet y transformar a Java en un lenguaje potente,
confiable y universal; y sobre todo gratuito es decir que lo puede utilizar todo
el mundo haciendo que la WEB sea un elemento más interesante y útil.
(Guevara)
Una de los primeros objetivos de Java es cuando se integró en el navegador
Netscape y permitía ejecutar aplicaciones dentro de la página web. Para
nuestro interés esta aplicación con este lenguaje se lo puede desarrollar muy
bien e incluso desarrollar los accesos a la base de datos con el Web services
utilizando XML, con cualquier tipo de conexiones entre sistemas operativos.
25
Es decir que cualquier tipo de aplicaciones WEB que deseemos realizar se la
puede hacer con JAVA. (Pérez, 2008)
Control de Riesgos
Para dar los servicios necesarios de los sistemas a los usuarios, se deberán
dotar de mecanismos de seguridad que pueda analizar los riesgos para
brindar un sistema informático seguro como los siguientes
Integridad
Se debe asegurar que los datos ingresados al sistema no puedan ser
cambiados ni eliminados por personas no autorizadas y que la información
receptada sea la correcta. (López, Seguridad informática, 2010)
Confidencialidad
Proteger la información del sistema informático para garantizar la
disponibilidad y que este accesible al personal autorizado. (López, Seguridad
informática, 2010)
Disponibilidad
Se basa en la continuidad operacional del sistema informático, en un tiempo
de medición, la finalidad es que los usuarios puedan hacer uso del sistema
sometiéndolos a pruebas de estrés para definir si la disponibilidad del
sistema es alta. (López, Seguridad informática)
Autenticación (o identificación)
26
El sistema debe validar la identidad de los usuarios que intenten ingresar al
sistema, pero no solo se basa en eso sino también implica en demostrar que
la persona que se está identificando sea quien dice ser.
La autenticación por si sola nos da potestad para permitir el acceso de
usuarios y para ello utiliza tres tipos:
Autenticación por conocimientos: basada en información que sólo conoce
el usuario.
Autenticación por pertenencia: basada en algo que posee el usuario.
Autenticación por características: basada en alguna característica física
del usuario. (Cely, 2006)
Federación de Identidades
Este concepto tiene que ver mucho con el lazo de confianza que se
establece entre algunas organizaciones o instituciones que utilizan la misma
tecnología, casos de uso, estándares que permite la trasferencia de la
identidad de personas de forma segura ayudando a la autenticación y
autorización entre los dominios que pueden existir.
Los proveedores de identidades son los encargados de realizar la
identificación del usuario que puede acceder para hacer uso de los recursos.
(alfonso, 2006)
27
Gráfico 10: Federación de Identidades
Elaborado: Stalyn Granda Chipre
Fuente:http://confia.aupa.info
Existen funciones que debe cumplir el operador de federación de
identidades.
Decidir y gestionar la integración de los miembros (tanto proveedores de
identidad como de servicio) a la federación.
Gestionar las políticas de liberación de atributos (ARPs) y velar porque
estás se cumplan.
Definir los esquemas de datos que van a utilizar los diferentes miembros
con el fin de homogeneizar atributos.
Actuar como intermediario e incluso poder gestionar el consentimiento de
cesión de datos para servicio que accede el usuario.
Velar por el correcto funcionamiento de la federación.
Gestionar la interoperabilidad con otras federaciones formando
confederaciones de identidades. (Martin, 2012)
28
Sistemas de autenticación y autorización.
Existen varios sistemas de código libre para la autenticación y autorización,
elaborados en java y adaptable a distintos software entre los que se
destacan los siguientes:
29
FUNDAMENTACIÓN LEGAL
CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR
Sección tercera
Comunicación e Información
Art. 17.- EI Estado fomentará la pluralidad y la diversidad en la comunicación,
y al efecto:
Facilitará la creación y el fortalecimiento de medios de comunicación
públicos, privados y comunitarios, así como el acceso universal a las
tecnologías de información y comunicación, en especial para las personas y
colectividades que carezcan de dicho acceso o lo tengan de forma limitada.
Título VII
RÉGIMEN DEL BUEN VIVIR
Sección primera
Educación
Art. 350.- El sistema de educación superior tiene como finalidad la formación
académica y profesional con visión científica y humanista; la investigación
científica y tecnológica; la innovación, promoción, desarrollo y difusión de los
saberes y las culturas; la construcción de soluciones para los problemas del
país, en relación con los objetivos del régimen de desarrollo.
30
Sección octava
Ciencia, tecnología, innovación y saberes ancestrales
Art. 385.- El sistema nacional de ciencia, tecnología, innovación y saberes
ancestrales, en el marco del respeto al ambiente, la naturaleza, la vida, las
culturas y la soberanía, tendrá como finalidad:
3. Desarrollar tecnologías e innovaciones que impulsen la producción
nacional, eleven la eficiencia y productividad, mejoren la calidad de vida y
contribuyan a la realización del buen vivir.
Art. 388.- El Estado destinará los recursos necesarios para la investigación
científica, el desarrollo tecnológico, la innovación, la formación científica, la
recuperación y desarrollo de saberes ancestrales y la difusión del
conocimiento. Un porcentaje de estos recursos se destinará a financiar
proyectos mediante fondos concursales. Las organizaciones que reciban
fondos públicos estarán sujetas a la rendición de cuentas y al control estatal
respectivo.
Según el decreto N° 1014
PRESIDENTE RAFAEL CORREA DELGADO
DECRETA:
Art. 1.- Establecer como política pública para las entidades de la
Administración Publica Central la utilización de Software Libre en sus
sistemas y equipamientos informáticos.
31
Según la Ley Orgánica de Educación Superior
Art. 3.- Las instituciones del Sistema Nacional de Educación Superior
ecuatoriano, en sus diferentes niveles, tienen los siguientes objetivos y
Estrategias fundamentales:
Desarrollar sus actividades de investigación científica en armonía con la
legislación nacional de ciencia y tecnología y la Ley de Propiedad
Intelectual.
Sección Novena
De la Ciencia y Tecnología
Art. 80.- El Estado fomentará la ciencia y la tecnología, especialmente en
todos los niveles educativos, dirigidas a mejorar la productividad, la
competitividad, el manejo sustentable de los recursos naturales, y a
satisfacer las necesidades básicas de la población.
Garantizará la libertad de las actividades científicas y tecnológicas y la
protección legal de sus resultados, así como el conocimiento ancestral
colectivo.
La investigación científica y tecnológica se llevará a cabo en las
universidades, escuelas politécnicas, institutos superiores técnicos y
tecnológicos y centros de investigación científica, en coordinación con los
sectores productivos cuando sea pertinente, y con el organismo público que
establezca la ley, la que regulará también el estatuto del investigador
científico.
32
Según la ley de Propiedad Intelectual:
Sección V
Disposiciones Especiales sobre ciertas Obras
Art. 28. Los programas de ordenador se consideran obras literarias y se
protegen como tales. Dicha protección se otorga independientemente de que
hayan sido incorporados en un ordenador y cualquiera sea la forma en que
estén expresados, ya sea en forma legible por el hombre (código fuente) o en
forma legible por máquina (código objeto), ya sean programas operativos y
programas aplicativos, incluyendo diagramas de flujo, planos, manuales de
uso, y en general, aquellos elementos que conformen la estructura,
secuencia y organización del programa.
Según el Reglamento a la Ley de comercio electrónico, firmas electrónicas y
mensajes de datos
Art. 21.- De la seguridad en la prestación de servicios electrónicos.- La
prestación de servicios electrónicos que impliquen el envío por parte del
usuario de información personal, confidencial o privada, requerirá el empleo
de sistemas seguros en todas las etapas del proceso de prestación de dicho
servicio. Es obligación de quien presta los servicios, informar en detalle a los
usuarios sobre el tipo de seguridad que utiliza, sus alcances y limitaciones,
así como sobre los requisitos de seguridad exigidos legalmente y si el
sistema puesto a disposición del usuario cumple con los mismos. En caso de
no contar con seguridades se deberá informar a los usuarios de este hecho
en forma clara y anticipada previo el acceso a los sistemas o a la información
e instruir claramente sobre los posibles riesgos en que puede incurrir por la
falta de dichas seguridades.
33
Se consideran datos sensibles del consumidor sus datos personales,
información financiera de cualquier tipo como números de tarjetas de crédito,
o similares que involucren transferencias de dinero o datos a través de los
cuales puedan cometerse fraudes o ilícitos que le afecten.
Por el incumplimiento de las disposiciones contenidas en el presente artículo
o por falta de veracidad o exactitud en la información sobre seguridades,
certificaciones o mecanismos para garantizar la confiabilidad de las
transacciones o intercambio de datos ofrecida al consumidor o usuario, el
organismo de control podrá exigir al proveedor de los servicios electrónicos
la rectificación necesaria y en caso de reiterarse el incumplimiento o la
publicación de información falsa o inexacta, podrá ordenar la suspensión del
acceso al sitio con la dirección electrónica del proveedor de servicios
electrónicos mientras se mantengan dichas condiciones.
34
PROYECTO DE LEY ORGÁNIC A GENERAL DE SALUD
(CÓDIGO ORGÁNICO DE SALUD)
PREGUNTA CIENTÍFICA A CONTESTARSE
¿Actualmente usted consta con una herramienta que le permita controlar la
autenticación y la autorización a los sistemas WEB de PROMEINFO?
Según su criterio ¿Que beneficio le puede dar una herramienta de inicio de
sesión único para acceder a los sistemas WEB que la organización?
En caso de desarrollarse la aplicación de inicio de sesión única SSO, nos
permitirá llevar un control de políticas de seguridades a los niveles de
accesos que siempre se esperan conseguir en las instituciones u
organizaciones para minimizar los riesgos y resguardar la integridad de la
información sensible.
35
DEFINICIONES CONCEPTUALES
Para dar los servicios necesarios de los sistemas a los usuarios, se deberán
dotar de mecanismos de seguridad que pueda analizar los riesgos para
brindar un sistema informático seguro como los siguientes
Integridad
Se debe asegurar que los datos ingresados al sistema no puedan ser
cambiados ni eliminados por personas no autorizadas y que la información
receptada sea la correcta. (López, Seguridad informática, 2010)
Confidencialidad
Proteger la información del sistema informático para garantizar la
disponibilidad y que este accesible al personal autorizado. (López, Seguridad
informática, 2010)
Disponibilidad
Se basa en la continuidad operacional del sistema informático, en un tiempo
de medición, la finalidad es que los usuarios puedan hacer uso del sistema
sometiéndolos a pruebas de estrés para definir si la disponibilidad del
sistema es alta. (López, Seguridad informática)
Autenticación (o identificación)
El sistema debe validar la identidad de los usuarios que intenten ingresar al
sistema, pero no solo se basa en eso sino también implica en demostrar que
la persona que se está identificando sea quien dice ser.
36
La autenticación por si sola nos da potestad para permitir el acceso de
usuarios y para ello utiliza tres tipos:
Autenticación por conocimientos: basada en información que sólo conoce el
usuario.
Autenticación por pertenencia: basada en algo que posee el usuario.
Autenticación por características: basada en alguna característica física del
usuario. (Cely, 2006)
Autorización Informática
El proceso de autorización es usado comúnmente en los accesos de a los
sistemas informáticos, protegiendo los recursos que pueden ser consumidos
por usuarios que les fue concedida la autorización.
Entre los recursos podemos incluir Datos, Programas o dispositvos
La autorización también está relacionada con los permisos que se le asigna a
un usuario sobre los recursos.
En la actualidad la mayoría de los sistemas incluyen la autorización para que
van de la mano con la autenticación de los mismos. Con la finalidad e
identificar a los usuarios que van a poder tener acceso a los estos sistemas.
Ingeniería Social
Es un arma que no afecta a los sistemas, ordenadores, usuarios, si no
directamente a los conocidos como el “Eslabón más débil”. Estos ataques
en ocasiones se pueden comparar con los ataques que se producen a través
de red, saltando todas las infraestructuras creadas para combatir a los
programas maliciosos.
37
CAPÍTULO III
PROPUESTA TECNOLÓGICA
En la implementación de este proyecto se han propuestos varios puntos en
los cuales se basará en la metodología de PMI para la gestión del mismo. A
continuación describiremos las factibilidades del proyecto.
Análisis de factibilidad
La implementación de este proyecto corresponde a la modalidad de proyecto
factible ya que se ha elaborado en base a de políticas de seguridades con
las cuales plantearemos una posible solución y disminución de riesgo en lo
que corresponde al acceso único de sesiones de los sistemas web
informáticos, protegiendo el ingreso a usuarios no autenticados, no
autorizados a los sistemas web del Programa Medico de investigación
Informática (PROMEINFO).
Factibilidad Operacional
La aplicación desarrollada para una doble utilidad dentro de una organización
o institución como PROMEINFO que manejan varios sistemas WEB.
1. Identificarse una sola vez y manteniendo las sesiones válidas usando
métodos de autenticación para el resto de las aplicaciones, el uso estaría
dirigido a los usuarios de las organizaciones.
38
2. Para los desarrolladores y administradores de aplicaciones o sistemas
web, esta es una forma de simplificar lógicas de sus aplicaciones para
asignar tareas de autenticar usuarios a sistemas independientes.
El objetivo que persigue es investigar si el sistema será utilizado por los
usuarios. Algunas de las preguntas que es interesante plantearse pueden
ser:
“¿Existe apoyo suficiente para el proyecto por parte de la administración? ¿Y
por parte de los usuarios?
¿Los métodos que actualmente se emplean en la empresa son aceptados
por todos los usuarios?
¿Los usuarios han participado en la planeación y en el desarrollo del
proyecto?
Factibilidad técnica
Este Proyecto se implementa bajo los mínimos requerimientos a lo que
corresponde hardware y software. Para cumplir con la propuesta realizadas
sobre el sistema de inicio de sesión única, aportando al desarrollo de la
organización de PROMEINFO.
Detalles técnicos de los que se requiere para la instalación del sistema.
39
Tabla 3: Factibilidad técnica del proyecto – Software
HARDWARE
REQUERIMIENTOS CARCATERISTICAS DESCRIPCION
SERVIDOR Este equipo será Utilizado para la
instalación del servicio de inicio de
sesión único (SSO), el mismo que
tendrá como tarea la autenticación
y autorización de los usuarios que
deseen ingresar a un sistema
Web.
PROCESADOR INTEL XEON
VELOCIDAD 2.5 O SUPERIOR
MEMORIA RAM 6 GB MINIMO
SISTEMA
OPERATIVO
WINDOWS
SERVER 2008 R2
REDES ROUTER
Router que permitan la conexión
con el sistema web
PC desktop Estos equipos serán los clientes
que accederán al sistema web.
PROCESADO
INTERL DUAL
CORE
VELOCIDAD 2.5 O SUPERIOR
MEMORIA RAM 2 GB MINIMO
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
40
Tabla 4. Factibilidad técnica del proyecto – Software
SOFTWARE
SERVIDOR
WINDOWS
SERVER 2008
R2
Programa oficial Microsoft que será
utilizado para la administración de
los demás sistemas que posee
PROMEINFO.
PC desktop
WINDOWS 7 o
posteriores
Para los equipos de desarrollo
PC desktop Jdk 7 Oracle
Máquina virtual sobre se ejecuta el
Java
PC desktop
Framework ZK
v7.0
Implementación del Login
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Factibilidad Legal
La implementación del proyecto consta de un marco legal en el cual se
ampara del Decreto ejecutivo #1014 del Ecuador, al permitir que las
instituciones públicas utilicen software libre (Software open Source).
El desarrollo del proyecto está orientado a brindar seguridades de acceso e
integración de la información que se manipule por medio se sistema
informático correspondientes a ambientes web que posee el Programa de
Investigación Médica de Informática (PROMEINFO).
41
Factibilidad Económica
La implementación realizada corresponde a la modalidad de proyecto factible
ya que esta realizado con los estándares de políticas de seguridad.
Si vemos el costo beneficio que nos puede aportar la herramienta, cuando se
trata de resguardar la integridad de la información de una organización o
institución, nos damos cuenta que los costos son totalmente económicos
comparados con el valor que puede generar la pérdida total o parcial de la
información sensible.
Tabla 5: Factibilidad Económica Costo-Beneficios
REQUERIMIENTO COSTOS
SERVISOR PRINCIPAL $ 0,00
EQUIPOS DESKTOP $ 500,00
RECURSOS $ 1.800,00
SOFTWEARE $ -
ROUTER $ 95,00
TOTALES
$
2.395,00
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
42
Etapas de la metodología del proyecto
La metodología escogida para el desarrollo de este proyecto factible se llama
Project Management Institute (PMI). Este instituto esta creado para elevar
los estándares de desarrollo de los proyectos de software. Estos estándares
van hacer implementados por los profesionales de la gerencia de proyectos.
Grupos de Procesos
Aplicando conocimientos, habilidades, herramientas y técnicas a las
actividades del proyecto podremos satisfacer los requisitos del mismo
mediante una buena dirección de proyectos.
Inicio.- En esta fase del proyecto sirve para definir el inicio de un nuevo
proyecto o retomar un proyecto existente por medio de la autorización de los
interesados.
Planeación.- este proceso requiere establecer los alcances, objetivos y
definir los objetivos del proyecto.
Ejecución.- el objetivo de este proceso implementar lo definido en el plan de
dirección del proyecto cumpliendo las especificaciones solicitadas.
Seguimiento Y Control.- en este proceso se analiza y controla el
desenvolvimiento del proyecto
Cierre.- en este proceso se realiza el cierre formal del proyecto.
43
Áreas de Conocimiento
Para obtener un proyecto correcto y entregarlo hay que tener en claro que el
conocimiento de las aéreas es muy importante continuación expondremos
las gestiones a realizar.
Gestión de la integración
En esta área se define el inicio de un nuevo proyecto o retomar un proyecto
existente por medio de la autorización de los interesados.
Gestión del alcance
En esta área se obtienen todos los requerimientos establecidos por los
interesados, definiendo alcances del proyecto.
Gestión del tiempo
En esta área se define el tiempo que se llevara en el desarrollo del proyecto.
Gestión del costo
El presupuesto para este proyecto es en base de lo que se utilizó como
herramientas para la elaboración del desarrollo, tanto eh Hardware y
software.
Gestión de la calidad
En esta área del Proyecto se deben incluir los procesos y actividades de
la organización, a manera de asignar responsabilidades, objetivos y políticas
de calidad que satisfaga las necesidades por la cuales se inició.
44
Gestión de recursos humanos
Se solicitado colaboración a los estudiantes pasantes de la facultad, a
recursos de programación para el conocimiento de todo el proceso.
Gestión de riesgos
Se deberá incluir procesos que tiene que ver con la planificación de la
gestión, la identificación, el análisis, la planificación de respuesta a
los riesgos, así como su monitoreo y control para monitorear la probabilidad y
el impacto de eventos positivos, y minimizar la probabilidad e impacto de
eventos negativos.
Gestión de adquisiciones
En esta área se incluye procesos de compra o adquisición de los productos,
servicios o resultados que sean necesarios para el proyecto o la
organización…
Entre estas adquisiciones suelen ser, productos físicos o servicios.
Gestión de los interesados
En esta área intervienen las personas y organizaciones que participan en el
proyecto o cuyos intereses son afectados por el resultado de la
implementación del proyecto. Estas personas tienen niveles de
responsabilidad y autoridad variable al participar en un proyecto.
El en Anexo se agrega los Grupos de Procesos de Direcciones.
45
Entregables del proyecto
De acuerdo a la metodología implementada en el proyecto queda como
constancia los siguientes entregables:
Acta de Constitución
o Ante - Proyecto
o Identificar Interesados
Plan de gestión
o Definición de alcances, Tomar de los alcances del proyecto.
o Definición de actividades, se detallan en el Cronograma.
o Cronograma de Actividades, se adjunta en el ANEXO.
o Factibilidad Económica, tomar del capítulo III en la sección
Análisis de factibilidad.
o Plan de Recursos Humanos, se adjunta formato en el ANEXO.
Plan de Riesgos
o Formato de Riesgos, se adjunta en el ANEXO.
Dirigir y Manejar Proyectos
o Gestionar equipos
Monitoreo y Control
o Validar Alcances, Tomar del Capítulo III en la sección de “criterios
de validación de la propuesta”
o Control de Compromisos, Validar con la con las pruebas y los
alcances.
46
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA
Para realizar las validaciones de la propuesta no basaremos en los alcances
propuestos del proyecto, describiéndolo en escenarios de pruebas para
validar la calidad del producto.
Tabla 6.Informe De Pruebas Del Software
Escenario de prueba Resultado Esperado Resultado Obtenido
1 Integrar una aplicación Web
Open Source a la pantalla de
login.
Sistema Configurable
Integración de la Sistema Web open
source al sistema de login.
Integración
exitosa.
2 Autenticación.
Usuarios registrados de la
organización.
Al proceder a ingresar las
credenciales del usuario
anteriormente Ingresado, se ingresar
al sistema.
Ingreso del
sistema.
3 Autenticación.
Usuarios que no pertenecen a
la organización.
Al intentar a ingresar las
credenciales del usuario, no podrá
ingresar al sistema.
No le permite
ingresar al
sistema. Bloqueo
automático.
4 Autorización en sistemas
Web.
Usuarios que pertenecen a la
organización y están
autorizados para acceder a
Al ingresar las credenciales del
usuario para ingresar al sistema
web, siempre que esté autorizado.
Ingreso a la
aplicación Web.
47
un sistema Web.
5 Autorización en sistemas
Web.
Usuarios que pertenecen a la
organización y están no están
autorizados para acceder a
un sistema Web.
Al intentar ingresar las credenciales
del usuario para ingresar al sistema
web, se podrá loguear pero no
acceder.
No se presenta el
sistema al que se
intenta ingresar.
7 Iniciar sesión por la misma
pantalla de login.
Ingresando a varios
aplicativos web.
Se podrá acceder a otra aplicación
con las mismas credenciales.
Ingreso exitosos a
varios aplicativos
web con las
mismas
credenciales.
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
48
Encuesta de Satisfacción del proyecto
1. ¿En la institución o empresa en la que usted labora cuantos Sistemas
Web Informáticos utilizan para realizar su trabajo diario?
Tabla 7. Pregunta 1
Descripción Encuestados %
1 -2 Sistema Web 3 30%
3 -5 Sistema Web 4 40%
6 -10 Sistema Web 1 10%
Ninguno 20 20%
Total 10 100%
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Gráfico 11: Cuadro estadístico - Pregunta 1
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Análisis: Evaluando los resultados de la Pregunta No. 1 del 100% de la
muestra un 30% usan entre 1 - 2 sistemas web para realizar su trabajo, el
1 -2 Sistema Web
3 -5 Sistema Web
6 -10 Sistema Web
Ninguno
49
40% utilizan 3 a 5 sistemas web, el 10% Utiliza de 6 a 10 sistemas Web y el
20% no utilizan sistemas para realizar sus trabajos diarios.
2. ¿Cómo consideraría Usted, tener que memorizar varias credenciales
para ingresar en las aplicaciones Web??
Tabla 8. Pregunta 2
Descripción Encuestados %
Excelente 1 10%
Bueno 2 20%
Regular 3 30%
Malo 4 40%
Total 10 100%
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Gráfico 12: Cuadro estadístico - Pregunta 2
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Análisis: Evaluando los resultados de la Pregunta No. 2 del 100% de la
muestra un 10% considera de Excelente memorizar las credenciales de
Excelente
Bueno
Regular
Malo
Total
50
accesos, un 20% lo considera bueno, un 30% considera que es regular y el
40% considera que no está bien memorizar varias credenciales para ingresar
s los sistemas web.
3. ¿Utiliza Usted, varias credenciales para ingresar a cada aplicación Web
que posee la empresa o institución en la usted labora?
Tabla 9. Pregunta 3
Descripción Encuestados %
Utiliza varias credenciales 5 50%
Utiliza la misma credenciales para todos los aplicativos
3 30%
Ninguna 2 20%
Total 10 100%
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Gráfico 13: Cuadro estadístico - Pregunta 3
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Utiliza variascredenciales
Utiliza la mismacredenciales paratodos los aplicativos
Ninguna
51
Análisis: Evaluando los resultados de la Pregunta No. 3 del 100% de la
muestra un 50% utiliza varias credenciales de accesos para ingresar a las
aplicaciones web, un 40% utiliza la misma credencial, un 20% no utiliza
credenciales.
4. ¿Cómo calificaría la idea de instalar un software con políticas de
seguridades informáticas para controlar los accesos en las aplicaciones
Web?
Tabla 10. Pregunta 4
Descripción Encuestados %
Excelente 5 50%
Bueno 3 30%
Regular 1 10%
Malo 1 10%
Total 10 100%
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Gráfico 14: Cuadro estadístico - Pregunta 4
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Excelente
Bueno
Regular
Malo
52
Análisis: Evaluando los resultados de la Pregunta No. 4 del 100% de la
muestra un 50% considera que sería buena idea la instalación de un sistema
con políticas de seguridad informáticas, un 30% considera que es buena la
idea, un 10% considera que puede ser regular o no tan buena.
5. ¿Usted conoce si la empresa o institución donde usted labora tienen
implementado Políticas de Seguridad informática de acceso?
Tabla 11. Pregunta 4
Descripción Encuestados %
Si conoce 3 30%
Tal vez conoce 5 50%
No conoce 2 20%
Total 10 100%
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Gráfico 15: Cuadro estadístico - Pregunta 5
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Si conoce
Tal vez conoce
No conoce
53
Análisis: Evaluando los resultados de la Pregunta No. 5 del 100% de la
muestra un 30% tiene conocimiento que existen políticas de seguridad
informáticas en la empresa que ellos laboran, un 50% no está seguro pero
piensan que puede existir por la forma que manejan los accesos y un 20%
desconocen totalmente el tema.
6. ¿Cómo considera que al establecer Políticas de Seguridad Informática
pueda ayudar en la integridad de acceso en los sistemas web?
Tabla 12. Pregunta 6
Descripción Encuestados %
Excelente 7 70%
Bueno 2 20%
Regular 1 10%
Malo 0 0%
Total 10 100%
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Gráfico 16: Cuadro estadístico - Pregunta 6
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Excelente
Bueno
Regular
Malo
54
Análisis: Evaluando los resultados de la Pregunta No. 6 del 100% de la
muestra un 70% considera excelente la establecer políticas de seguridad
informáticas, un 20% considera que es buena la idea, un 10% considera que
puede ser regular.
7. ¿Cómo consideraría Usted la idea, de adquirir de software gratis que
ofrecen el mismo servicio de otro software con similares características
pero mantienen precios demasiados elevados?
Tabla 13. Pregunta 7
Descripción Encuestados %
Excelente 5 70%
Bueno 3 20%
Regular 1 10%
Malo 0 0%
Total 10 100%
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Gráfico 17: Cuadro estadístico - Pregunta 7
Excelente
Bueno
Regular
Malo
55
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Análisis: Evaluando los resultados de la Pregunta No. 7 del 100% de la
muestra un 70% considera que sería buena idea de adquirir de un software
de código Libre que ofrece políticas de seguridad informáticas, un 20%
considera que es buena la idea, un 10% considera que puede ser regular.
8. ¿Usted considera viable utilizar las mismas credenciales de acceso para
ingresar a otras las aplicaciones web de la empresa o institución, siempre
cuando se sigan políticas de Seguridad?
Tabla 14. Pregunta 8
Descripción Encuestados %
Excelente 5 50%
Bueno 3 30%
Regular 2 20%
Malo 0 0%
Total 10 100%
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Gráfico 18: Cuadro estadístico - Pregunta 8
Excelente
Bueno
Regular
Malo
56
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Análisis: Evaluando los resultados de la Pregunta No. 8 del 100% de la
muestra un 50% considera que es excelente mantener las mismas
credenciales para acceder a los aplicativos web, un 30% considera buena
esta opción, un 20% la considera regular.
9. ¿Cómo consideraría Usted, la idea de instalar de un programa de código
libre (open source), para que pueda autenticar y autorizar el acceso los
sistemas web?
Tabla 15. Pregunta 9
Descripción Encuestados %
Excelente 5 50%
Bueno 3 30%
Regular 1 10%
Malo 1 10%
Total 10 100%
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Gráfico 19: Cuadro estadístico - Pregunta 9
Excelente
Bueno
Regular
Malo
57
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Análisis: Evaluando los resultados de la Pregunta No. 9 del 100% de la
muestra un 50% considera que sería buena idea la instalación de un sistema
open source dentro de la organización, un 30% considera que es buena la
idea, dos grupos del 10% considera que puede ser regular o no tan buena.
10. ¿Cómo consideraría el beneficio que nos puede brindar adquirir un
software de código libre para acceder a varios aplicativos Web y no tenga
ningún costo de licencia por el producto?
Tabla 16. Pregunta 10
Descripción Encuestados %
Excelente 4 40%
Bueno 4 40%
Regular 1 10%
Malo 1 10%
Total 10 100%
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Gráfico 20: Cuadro estadístico - Pregunta 10
58
Elaborado por: Stalyn Granda Chipre
Fuente: Stalyn Granda Chipre
Análisis: Evaluando los resultados de la Pregunta No. 4 del 100% de la
muestra un 40% considera de excelente ya que es beneficiosos
económicamente para la empresa, un 40% consideran bien la adquisición del
software, un 10% consideran regular la situación un 10% consideran que no
sería una buena opción.
CAPÍTULO IV
Criterios de aceptación del producto o Servicio
En el mundo actual en que vivimos, nos damos cuenta que el avance
tecnológico aumenta y por consiguiente nacen nuevos software que pueden
ser una amenaza para la organización dependiendo las infraestructuras que
estas manejen. Para que las organizaciones gocen de una disponibilidad alta
en sus operaciones deben contar con planes de contingencias entre sus
políticas organizacionales.
Excelente
Bueno
Regular
Malo
59
La recomendación para la este proyecto se debe basar en la ISO 27001, que
con su implementación de Sistema de Gestión de Seguridad de la
Información en la organización nos ayuda a proteger la información.
Objetivos de la ISO 27001
La protección (seguridad) de nuestro negocio (la información) mediante las
personas Informado Formado Concienciado Aceptación Proactivo TIEMPO.
(Fernández)
Beneficios de implantación de un SGSI
Estructura e inversiones adecuadas, costo correcto
Control y clasificación de activos
Dirección de operaciones y comunicaciones
Política de Seguridad
Evaluación de riesgos internos y a terceros
Gestión de las personas: Seguridad del personal
Desarrollo y mantenimiento de sistemas
Dirección de Planes de Contingencia
Cumplimiento con la legislación
Informe de aceptación y aprobación para productos de SOFTWARE/
HARDWARE
La implementación de este proyecto corresponde a la modalidad de proyecto
factible la aceptación y aprobación del mismo dependerá de los
requerimientos solicitados por los interesados versus el informe de pruebas.
60
Hacemos referencia a las pruebas realizadas en el “Capítulo III, Criterios de
Validación de la Propuesta” en donde podemos dar constancia de la
aceptación del Producto.
Informe de aseguramiento de la calidad para productos de SOFTWARE/
HARDWARE ISO
Para realizar un informe de aseguramiento de la calidad del producto, nos
basamos en los documentos o formados a seguir para validar la efectividad y
calidad de la implementación del producto propuestos.
Establecer mecanismos de control
Para llevar un control de la propuesta del proyecto se tomaran en
consideración los siguientes documentos:
o Requerimientos. Se debe basar en los alcances del ante proyecto
propuesto.
o Escenarios de pruebas. Dependerán de los alcances de la
propuesta del ante – proyecto.
o Cronogramas. Detalle de las actividades que se van a realizar
para la implementación del proyecto.
o Reunión de avances. Registro de sesiones de tutorías de trabajo
de titulación.
o Informes de avances con los interesados. Reuniones de Trabajos
con los interesados Grupo de PROMEINFO.
Definir métodos para corrección
Para determinar la corrección de los posibles inconvenientes que puedan
surgir a lo largo del problema de sebe crear una matriz de Correcciones en el
61
que se puedan identificar los Problemas, Analizar las Causas, plan de
Ejecución, responsables y fecha en que se resolvió dichas correcciones.
Tabla 17. Plan de Correcciones
Identificar
Problemas Analizar Causas Plan de Ejecución Responsables Fecha
Identificación del problema o escenario que pueda surgir fallas.
Analizar cuáles fueron las causas del motivo por el cual surgió el problema.
Analizar las posibles soluciones que se pueden dar para la corrección del problema
Identificar las personas que deben ejecutar las correcciones.
Fecha en que se ejecuta las correcciones
Fuente: Stalyn Granda
Elaborado por: Stalyn Granda
Medidas, métricas e indicadores
Para definir las métricas, medidas e indicadores nos basaremos en el
objetivo principal de proyecto, la frecuencia de revisiones, cual va hacer la
organización o empresa a donde va hacer implementado y quien va a
realizar la Métrica. Para esto debemos tener un soporte físico de cada
avance con los siguientes detalles:
Fecha de Reporte. se deben definir pedidos para la revisión de cada
avance.
Avance Planeado. En este avance se debe validar los tiempos de las
actividades con respecto al cronograma.
Avance Real. En este avance se debe comparar el porcentaje de avance
con respecto a los tiempos cronograma
Desviación. Basados en los datos del avance Planeado vs Avances
Reales, verificamos el valor de la desviación con la siguiente Formula.
62
Desviación en tareas% = (% completado de las tareas / %
planificado de las tareas) – 1
Productividad.
% efectividad= Total de errores imputables a Cima/Numero de
pases
Tabla 18. Matriz de Calidad
TIPO CRITERIO DISPONIBLE VALORACION
HARDWARE SERVIDOR DE APLICACIONES DISPONIBLE EXCELENTE
HARDWARE RED WAN DISPONIBLE DISPONIBLE EXCELENTE
HARDWARE RESTRICCIÓN DE ACCESO AL PERSONAL AUTORIZADO DISPONIBLE MUY BUENO
SOFTWARE WEB SERVICES DE APLICACIONES DISPONIBLE EXCELENTE
SOFTWARE CERTIFICADO DE SEGURIDAD SSL DISPONIBLE EXCELENTE
SOFTWARE APLICACIÓN WEB LOGIN DISPONIBLE EXCELENTE
SOFTWARE ACCESO A LA RED LAN DISPONIBLE EXCELENTE
SOFTWARE SERVICIO DISPONIBLE EXCELENTE
Fuente: Stalyn Granda
Elaborado por: Stalyn Granda
CONCLUSIONES
A medida que pasa el tiempo la seguridad informática se ha vuelto cada vez
más necesaria a nivel de todas las organizaciones, el riesgo aumenta por los
posibles ataques que pueden sufrir y el gran impacto que esto conlleva a
nivel de software, en muchas ocasiones las pérdidas son incalculables y no
solo a nivel económico sino al flujo de información sensible de cada
organización.
Aunque la tecnología se incluye con un rol importante y necesaria para cubrir
las vulnerabilidades que pueden tener una organización, debe ir de la mano
63
de un diseño e implementación de políticas y controles que permitan
establecer una seguridad informática con software de calidad.
La implementación de este sistema está elaborada con políticas basadas en
estudios y en estándares internacionales como Normas ISO que fueron guías
para obtener mayor seguridad y fundamentar los criterios de aceptación del
software.
Los requerimientos solicitados fueron desarrollados según los
requerimientos solicitados por el grupo de PROMEINFO, quienes son los
encargados de validar el respectivo funcionamiento del mismo.
64
RECOMENDACIONES
Las recomendaciones están basadas fundamentalmente en el análisis de los
resultados que se mantuvieron en la presentación del software con el
personal del Grupo de PROMEINFO y médicos de la facultad de Medicina.
Entre las cuales se conocieron actividades que se deberían incluir en
desarrollos posteriores y políticas que deben ir de la mano con la tecnología.
Asignar responsables de la seguridad informática en software, que
realice y supervise las funciones relacionadas con la seguridad.
Elaborar, documentar y ejecutar los manuales de las políticas y normas
de seguridad.
Concienciar a los usuarios en tema relacionados a las seguridades
informáticas y enfatizar sobre la importancia de las credenciales de
acceso.
Crear controles y políticas que soliciten el cambio de credenciales de
acceso cada determinado tiempo.
Realizar ajustes periódicos según las necesidades que puedan surgir al
momento, con la finalidad de transparentar los manuales de políticas y
normas de seguridades informáticas.
Asignar recursos necesarios para la gestión de la seguridad informática
software y de preferencia de código libre.
Mantener estándares internacionales en temas relacionados a la
seguridad.
65
RECOMENDACIONES DE LA RED SOCIAL MY-SOUL
Las recomendaciones para esta red social están basadas fundamentalmente
en los resultados de las exposiciones realizadas en la facultad de Medicina,
en la que participaron docentes profesionales en distintas áreas de Medicina.
Entre los cuales coincidieron para mejorar la herramienta:
Para utilizar el manejo de los electrocardiogramas y los mismos puedan
ser publicado en la red social, se deberá facilitar a los usuarios, desde la
aplicación móvil que genera el archivo “ECG”, se pueda subir el
electrocardiograma a MySoul.
Para gestionar los tiempo en que los doctores van a poder diagnosticar
se deberá implementar módulo de atención en el que consten los
horarios de atención que puede ofrecer el doctor.
Con la finalidad de que el paciente se sienta seguro de que pueda ser
atendido por su doctor de cabecera se deberá implementar un módulo
estados de conexión (CONECTADO, DESCONECTADO, AUSENTE,
OCUPADO).
Para la administración de la red social MySoul se debe implementar un
panel de control en él se pueda realizar validaciones:
o Validar a los doctores que se encuentren actualmente registrados
en el SENECYT.
o Validar que los datos de usuario que se encuentran registrados en
el sistema sea verificado contra el Registro Civil.
o Validar que el profesional en medicina este de atendiendo los
requerimientos de los pacientes.
o Validar horarios de atención que los doctores se comprometieron.
Crear políticas a las que se encuentran sujetos las personas registradas
en el sistema de la red social My Soul.
66
BIBLIOGRAFÍA
alfonso. (15 de 11 de 2006). blogs.oracle.com. Obtenido de
https://blogs.oracle.com/identidad/entry/identidad_federada_que_es
andreaprc11. (28 de 06 de 2012). Buenas Tareas. Obtenido de
http://www.buenastareas.com/ensayos/Amenazas-Internas-y-
Externas/4669886.html
Bliggo. (s.f.). Alfabetización informatica-computacional. Obtenido de
http://alfabetizacioninformatica-computacional.bligoo.com.ar/concepto-de-
datos-informacion-informatica-telematica-ofimactica-burocratica-
domotica-orgware#.Vk8qZdIrJdg
Box, D. (11 de 10 de 2006). Oreilley xml. Obtenido de
http://webservices.xml.com/pub/a/ws/2001/04/04/soap.html
Cano, M. J. (10 de 05 de 2011). slideshare. Obtenido de slideshare:
http://es.slideshare.net/mariojosevillamizarcano/infraestructura-
computacional-computacin-en-grid
Cely, C. P. (24 de 06 de 2006). www.oas.org. Obtenido de
http://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp
CNNMEXICO. (02 de 06 de 2011). CNNMEXICO. Obtenido de CNNMEXICO:
http://mexico.cnn.com/tecnologia/2011/06/02/un-nuevo-ataque-
informatico-a-sony-expone-datos-de-un-millon-de-clientes
Consultoria, M. F. (31 de enero de 2014). M&N Formacion Consultoria.
Recuperado el 31 de 01 de 2014, de nmformacion:
http://www.nmformacion.com/blog.asp?vcblog=1011.
Escobar, N. (25 de 02 de 2015). HIPERTEXTUAL. Obtenido de
HIPERTEXTUAL: http://hipertextual.com/2015/02/usar-gestor-de-
contrasenas
Fernández, C. M. (s.f.). aec.es. Obtenido de
http://www.aec.es/c/document_library/get_file?uuid=a89e72de-d92b-47cf-
ba5e-5ea421fcbeb4&groupId=10128
67
Franco Di Biase De Lillo, A. D. (27 de 03 de 2019). IDEA DBF LTDA. Obtenido
de Ingenieros De Empresas Asociados:
http://dbf.cl/Material%20Docente/Libro/Sistema%20de%20Informacion%2
0Computacional%20Texto%20Completo.pdf
Granda, S. (09 de 03 de 2014). stalyngranda.blogspot.com. Obtenido de
http://stalyngranda.blogspot.com/2014/03/configuracion-de-jboss-en-
windows.html
Guevara, J. M. (s.f.). Fundamentos de programación en Java. Editorial EME.
INFORMATICA, S. (6 de 2 de 2015). SBAJANSMX2013. Obtenido de
https://servermnt.wordpress.com/2015/02/06/2-tipos-de-amenazas/
López, P. A. (2010). Seguridad informática. Madrid: EDITEX.
López, P. A. (s.f.). Seguridad informática. EDITEX.
Luján, U. N. (01 de 01 de 2014). Seguridad Informatica. Obtenido de Seguridad
de la Información: Recomendaciones:
http://www.seguridadinformatica.unlu.edu.ar/sites/www.seguridadinformati
ca.unlu.edu.ar/files/site/recomendaciones_seguridad.pdf
Luján, U. N. (01 de 01 de 2015). Seguridad Informatica. Obtenido de Riesgo vs.
Seguridad de la Información:
http://www.seguridadinformatica.unlu.edu.ar/sites/www.seguridadinformati
ca.unlu.edu.ar/files/site/material_taller_gestion_de_riesgo.pdf
Martin, S. (2012). Curso para operadores de Proveedores de Servicio 1.0
documentation. Obtenido de
http://confia.aupa.info/docs/cursos/2012/noviembre/anexo_federacion.htm
l
NACIONAL, R. A. (18 de 11 de 2010). RED ACADEMICA Y DE
INVESTIGACION NACIONAL. (J. C.–J. Valls, Editor) Recuperado el 10
de 11 de 2010, de https://www.rediris.es/jt/jt2010/ponencias/jt2010-jt-
serv_feder_2-2.pdf: https://www.rediris.es/jt/jt2010/ponencias/jt2010-jt-
serv_feder_2-2.pdf
Pérez, G. G. (2008). Aprendiendo Java y Programación Orientada a Objetos. En
G. G. Pérez, Aprendiendo Java y Programación Orientada a Objetos.
68
Pressman, R. S. (s.f.). Ingeniería del software U N E N F O Q U E P R Á C T I C
O. En R. S. Pressman. María Teresa Zapata Terrazas.
Rivero, M. (13 de 01 de 2011). Info Spyware. Obtenido de
https://www.infospyware.com/articulos/%C2%BFque-son-los-virus-
informaticos/
Roger, P. (2013). Ingeniería del Software, un enfoque Práctico. En R. S.
Pressman, Ingeniería del software (págs. 33,34). María Teresa Zapata
Terrazas.
Saffirio, M. (05 de 02 de 2006). msaffirio.wordpress.com. Obtenido de
https://msaffirio.wordpress.com/2006/02/05/%C2%BFque-son-los-web-
services/
Valero, E. A. (20 de 11 de 2013). slideshare. Obtenido de slideshare:
http://es.slideshare.net/silvestone/memoria-28446177
Vilella, M. (18 de 12 de 2013). COMPUTERHOY. Obtenido de COMPUTERHOY:
http://computerhoy.com/noticias/software/96-empresas-ha-tenido-
problemas-seguridad-8130
69
ANEXOS
Tabla 197: Cronogramas del Proyecto
Nombre de tarea Duración Comienzo Fin Predecesoras Nombres de los recursos
Implementar de software con código abierto para autenticación, autorización y federación de identidades de accesos a los sistemas del programa de investigación médica de informática (PROMEINFO)
100 días vie 07/08/15 Mie 30/12/15
Elaboración, Recepción y Revisión Anteproyecto 21 días vie 07/08/15 lun 07/09/15
Elaboración del ante proyecto 6 días vie 07/08/15 lun 17/08/15
Stalyn Granda
Recepción del anteproyecto 1 día mar 18/08/15 mar 18/08/15 3 Stalyn Granda
Aprobación del Anteproyecto 7 días Mie 19/08/15 jue 27/08/15 4 Stalyn Granda
Asignación del Tutor 7 días vie 28/08/15 lun 07/09/15 5 Stalyn Granda
Socialización 2 días mar 08/09/15 Mie 09/09/15
Interesados del proyecto 1 día mar 08/09/15 mar 08/09/15 6 PROMEINFO, Stalyn Granda
Tutor del proyecto 1 día Mie 09/09/15 Mie 09/09/15 8 Ing. Alexandra Varela, Stalyn Granda
Capítulo 1 12 días jue 10/09/15 vie 25/09/15
Solicitud de formato de tesis 5 días jue 10/09/15 Mie 16/09/15 9 Stalyn Granda
Desarrollo de la Problemática 1,5 días jue 17/09/15 vie 18/09/15 11 Stalyn Granda
Objetivos Principales y Secundarios 1,5 días vie 18/09/15 lun 21/09/15 12 Stalyn Granda
Alcances con los interesados 2 días mar 22/09/15 Mie 23/09/15 13 PROMEINFO, Stalyn Granda
Revisiones 2 días jue 24/09/15 vie 25/09/15 14 Ing. Alexandra Varela, Stalyn Granda
Capítulo 2 20 días lun 28/09/15 vie 23/10/15
Corrección de Capítulo 1 2 días lun 28/09/15 mar 29/09/15 15 Ing. Alexandra Varela, Stalyn Granda
Desarrollo del Capítulo 2 10 días Mie 30/09/15 mar 13/10/15 17
Investigación y Análisis de las herramientas a utilizar para el desarrollo del Aplicativo
7 días Mie 14/10/15 jue 22/10/15 20 Stalyn Granda
70
Reuniones con los interesados del Proyecto 1 día vie 23/10/15 vie 23/10/15 21 Stalyn Granda
Capítulo 3 14 días lun 26/10/15 lun 16/11/15
Corrección de Capítulo 2 1 día lun 26/10/15 lun 26/10/15 22 Ing. Alexandra Varela, Stalyn Granda
Reuniones con los interesados del Proyecto 1 día mar 27/10/15 mar 27/10/15 24 PROMEINFO, Stalyn Granda
Desarrollo del Capítulo 3 8 días Mie 28/10/15 mar 10/11/15
Metodologías 4 días Mie 28/10/15 Mie 04/11/15 25 Stalyn Granda
Pruebas y encuestas 4 días jue 05/11/15 mar 10/11/15 27 Stalyn Granda
Instalación del Ambiente para desarrollar el software
3 días Mie 11/11/15 vie 13/11/15
Instalación del Microsoft Server 2008 R2 0,5 días Mie 11/11/15 Mie 11/11/15 28 Stalyn Granda
Instalación de base de Datos 1 día Mie 11/11/15 jue 12/11/15 30 Stalyn Granda
Herramienta de desarrollo web y conexión 0,5 días jue 12/11/15 jue 12/11/15 31 Stalyn Granda
Instalación de servidor de Aplicaciones 0,5 días vie 13/11/15 vie 13/11/15 32 Stalyn Granda
Instalación de sistemas OPEN SOURCE 0,5 días vie 13/11/15 vie 13/11/15 33 Stalyn Granda
Reuniones con los interesados del Proyecto 1 día lun 16/11/15 lun 16/11/15 34 PROMEINFO, Stalyn Granda
Capítulo 4 11 días mar 17/11/15 mar 01/12/15
Corrección de Capítulo 3 1 día mar 17/11/15 mar 17/11/15 35 Ing. Alexandra Varela, Stalyn Granda
Desarrollo de la tesis Capitulo 4 5 días Mie 18/11/15 mar 24/11/15
Criterios de aceptación del Producto 2 días Mie 18/11/15 jue 19/11/15 37 Stalyn Granda
Investigación de ISO aplicada al proyecto 3 días vie 20/11/15 mar 24/11/15 39 Stalyn Granda
Anexos 2 días Mie 25/11/15 jue 26/11/15 40 Stalyn Granda
Documento Final 3 días vie 27/11/15 mar 01/12/15 41 Ing. Alexandra Varela, Stalyn Granda
Implementación del Software 20 días Mie 02/12/15 Mie 30/12/15
Stalyn Granda
Implementación del Software 20 días Mie 02/12/15 Mie 30/12/15 42
71
Tabla 20. Grupos de Procesos de Direcciones
Áreas de conocimiento Grupo de procesos de
Iniciación
Grupo de procesos de
Planificación Grupo de procesos de Ejecución
Grupo de procesos de
Monitoreo y Control
Grupo de procesos de
Cierre
Gestión de la Integración Acta de Constitución Plan de gestión Dirigir y Manejar
Proyectos Monitoreo y Control Cierre del proyecto
Gestión del Alcance Ante - Proyecto Definición de alcances Validar Alcances
Gestión del Tiempo Definición de actividades.
Cronograma de Actividades
Gestión del Costo Factibilidad Económica
Gestión de la Calidad
Gestión de recursos
Humanos Plan de Recursos Humanos Gestionar equipos
Gestión del Riesgo Plan de Riesgos
Gestión de compras Plan de Compras Cerrar Compras
Gestión de los
interesados Identificar Interesados Control de Compromisos
72
Gestión del Proyecto basados en los grupos de directivas
Tabla 21: FORMATO DE INTERESADOS DEL PROYECTO
NOMBRE DEL PROYECTO
IMPLEMENTAR DE SOFTWARE CON CÓDIGO ABIERTO PARA AUTENTICACIÓN, AUTORIZACIÓN Y FEDERACIÓN DE IDENTIDADES DE ACCESOS A LOS SISTEMAS DEL PROGRAMA DE INVESTIGACIÓN
MÉDICA DE INFORMÁTICA (PROMEINFO)
NOMBRE EMPRESA ROL EN EL PROYECTO
REQUERIMIENTOS PRIMORDIALES
INFLUENCIA POTENCIAL
Ing. Jorge Chicala PROMEINFO COORDINADOR
supervisar y gestionar el desarrollo del proyecto
Experiencias en la gestión del desarrollo del proyecto
Ing. Jose Medina PROMEINFO COORDINADOR
supervisar y gestionar el desarrollo del proyecto
Experiencias en la gestión del desarrollo del proyecto
73
Tabla 22: FORMATO DE RECURSO HUMANO
NOMBRE DEL PROYECTO
IMPLEMENTAR DE SOFTWARE CON CÓDIGO ABIERTO PARA AUTENTICACIÓN, AUTORIZACIÓN Y FEDERACIÓN DE IDENTIDADES DE ACCESOS A LOS SISTEMAS DEL PROGRAMA DE
INVESTIGACIÓN MÉDICA DE INFORMÁTICA (PROMEINFO)
TIPO RECURSO RECURSOS REQUISITOS ADICIONALES CANTIDAD
HUMANO
EGRESADO DE LA CARRERA EN SISTEMAS COMPUTACIONALES
NO APLICA 1
HUMANO CONOCIMIENTO DE DESARROLLO DE SOFTWARE
NO APLICA 1
HUMANO CONOCIIENTO EN JAVA
NO APLICA 3
HUMANO CONOCIIENTO EN FRAEWORK zk
NO APLICA 3
HUMANO CONOCIIENTO EN BASE DE DATOS SQL SERVER 2014 R2
NO APLICA 3
HUMANO CONOCIMEINTO EN IMPLEMENTACION DE WEB SERVICES
NO APLICA 3
74
Tabla 23: Plan de Riesgos
NOMBRE DEL PROYECTO
IMPLEMENTAR DE SOFTWARE CON CÓDIGO ABIERTO PARA AUTENTICACIÓN, AUTORIZACIÓN Y FEDERACIÓN DE IDENTIDADES DE ACCESOS A LOS SISTEMAS DEL PROGRAMA DE INVESTIGACIÓN MÉDICA
DE INFORMÁTICA (PROMEINFO)
1-2 BAJO
3-4 MEDIO
5 ALTO
CAUSA-EFECTOS PROBABILIDAD NIVEL DE RIESGO OBSERVACION
PLAN DE MITIGACION
PLAN DE CONTINGENCIA
Asignación tarde del equipo de trabajo.
3 MEDIO
Esto puede causar Atrasos en el desarrollo del Proyecto.
1.-Gestionar las asignaciones con
el Jefe de Proyectos para
revisar las asignaciones de
los desarrolladores. 2.- Optar por el
personal de ingenieros de
desarrollos que tenga
conocimientos en las herramientas
que van a intervenir en el
proyecto
1.- Realizar los avances del cronograma, específicamente en las defunciones de los DERCAS y DDS. Hasta que se realice las asignaciones de los Ingenieros de Desarrollo.
75
Tabla 24: ENCUESTA
ENCUESTA DEL SISTEMA INFORMÁTICO DE INICIO DE SESIÓN UNICO
1. ¿En la institución o empresa en la que usted labora cuantos Sistemas Web
Informáticos utilizan para realizar su trabajo diario?
1 -2 Sistema Web
3 -5 Sistema Web
6 -10 Sistema Web
Ninguno
2. ¿Cómo consideraría Usted, tener que memorizar varias credenciales para ingresar
en las aplicaciones Web?
Excelente
Bueno
Regular
Mal
3. ¿Utiliza varias credenciales para ingresar a cada aplicación Web que posee la
empresa o institución en la usted labora?
Utiliza varias credenciales
Utiliza la misma credenciales para todos los aplicativos
Ninguna
4. ¿Cómo calificaría la idea de instalar un software con políticas de seguridades
informáticas para controlar los accesos en las aplicaciones Web?
76
Excelente
Buena
Regular
Mal
5. ¿Usted conoce si la empresa o institución donde usted labora tienen implementado
Políticas de Seguridad informática de acceso?
Si conoce
Tal vez conoce
No conoce
6. ¿Cómo considera que al establecer Políticas de Seguridad Informática pueda
ayudar en la integridad de acceso en los sistemas web?
Excelente
Buena
Regular
Mal
7. ¿Cómo consideraría Usted la idea, de adquirir de software gratis que ofrecen el
mismo servicio de otro software con similares características pero mantienen
precios demasiados elevados?
Excelente
Buena
Regular
Mala
77
8. ¿Usted considera viable utilizar las mismas credenciales de acceso para ingresar a
otras las aplicaciones web de la empresa o institución, siempre cuando se sigan
políticas de Seguridad?
Excelente
Bueno
Regular
Mal
9. ¿Cómo consideraría Usted, la idea de instalar de un programa de código libre
(OPEN SOURCE), para que pueda autenticar y autorizar el acceso los sistemas
web?
Excelente
Bueno
Regular
Mal
10. ¿Cómo consideraría el beneficio que nos puede brindar adquirir un software de
código libre?
Excelente
Bueno
Regular
Mal
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
IMPLEMENTACIÓN DE SOFTWARE CON CÓDIGO ABIERTO PARA LA
AUTENTICACIÓN, AUTORIZACIÓN Y FEDERACIÓN DE IDENTIDADES DE
ACCESOS A LOS SISTEMAS DEL PROGRAMA DE INVESTIGACIÓN
MÉDICA DE INFORMÁTICA (PROMEINFO)
MANUAL DE USUARIO
AUTOR: STALYN ALFREDO GRANDA CHIPRE
TUTORA: ING. ALEXANDRA VARELA
GUAYAQUIL – ECUADOR
2015
Proyecto
Version
es
Actualizado por
Fecha de
actualización
Modificaciones
1.0.0 Stalyn Granda 01/12/2015 Creación
Ultima Actualización realizada: Nombre: Stalyn Granda Departamento: Sistemas Teléfono: 000000000 Mail: stalyn.granda@hotmail.com
My SOUL
Manual de Usuario
No. Versión
Página 3 de 12
Área: SISTEMAS
Departamento: PROMEINFO
Autor: ANALISTA FUNCIONAL
Ruta de Acceso: Manual de usuario My Soul
ESTA INFORMACION ES CONFIDENCIAL Y DE USO EXCLUSIVO DE LA UNIVERSIDAD DE GUAYAQUIL
TABLA DE CONTENIDO
1 Introducción al Usuario. _______________________________________________ 4
2 Pantallas. ___________________________________________________________ 4
2.1 Pantalla de login _______________________________________________________4
2.2 Pantalla Registro: ______________________________________________________5
2.3 Pantalla de cambio de contraseña: _________________________________________6
2.4 Pantalla olvido su contraseña: ____________________________________________6
2.5 Página Index: __________________________________________________________7
2.6 Popup Agregar Amigos: __________________________________________________8
2.7 Pantalla lista de contactos: _______________________________________________9
2.8 Pantalla para agregar nuevas publicaciones: ________________________________ 10
2.9 Pantalla para editar datos del usuario: _____________________________________ 11
3 Glosario de Términos _________________________________________________ 12
My SOUL
Manual de Usuario
No. Versión
Página 4 de 12
Área: SISTEMAS
Departamento: PROMEINFO
Autor: ANALISTA FUNCIONAL
Ruta de Acceso: Manual de usuario My Soul
ESTA INFORMACION ES CONFIDENCIAL Y DE USO EXCLUSIVO DE LA UNIVERSIDAD DE GUAYAQUIL
1 INTRODUCCIÓN AL USUARIO.
En este documento se detalla el proyecto "My-Soul". En las siguientes secciones se
especifican todos los temas con sus pasos necesarios para la correcta definición.
2 PANTALLAS.
2.1 Pantalla de login Por medio de esta pantalla se puede acceder a la Red Social MySoul. Para el
ingreso de la misma el usuario debe contar con las credenciales que le
permitan ingresar.
Ruta: localhost:8080/MySoul/login.zul
My SOUL
Manual de Usuario
No. Versión
Página 5 de 12
Área: SISTEMAS
Departamento: PROMEINFO
Autor: ANALISTA FUNCIONAL
Ruta de Acceso: Manual de usuario My Soul
ESTA INFORMACION ES CONFIDENCIAL Y DE USO EXCLUSIVO DE LA UNIVERSIDAD DE GUAYAQUIL
2.2 Pantalla Registro:
Para acceder a la red social My Soul, el usuario debe registrarse ingresando
los datos mínimos con los que consta el formulario de registro.
Ruta: http://localhost:8080/MySoul/registro.zul
My SOUL
Manual de Usuario
No. Versión
Página 6 de 12
Área: SISTEMAS
Departamento: PROMEINFO
Autor: ANALISTA FUNCIONAL
Ruta de Acceso: Manual de usuario My Soul
ESTA INFORMACION ES CONFIDENCIAL Y DE USO EXCLUSIVO DE LA UNIVERSIDAD DE GUAYAQUIL
2.3 Pantalla de cambio de contraseña:
Al momento que desee cambiar su contraseña lo podrá realizar por este
formulario ingresando los siguientes datos.
Ruta: http://localhost:8080/MySoul/pass.zul.
2.4 Pantalla olvido su contraseña:
En caso de olvidar su contraseña puede ingresar los siguientes datos para
generar una nueva clave de acceso, la misma que le será llegada al correo
que registro.
Ruta: http://localhost:8080/MySoul/forgetPass.zul
My SOUL
Manual de Usuario
No. Versión
Página 7 de 12
Área: SISTEMAS
Departamento: PROMEINFO
Autor: ANALISTA FUNCIONAL
Ruta de Acceso: Manual de usuario My Soul
ESTA INFORMACION ES CONFIDENCIAL Y DE USO EXCLUSIVO DE LA UNIVERSIDAD DE GUAYAQUIL
2.5 Página Index:
Después de acceder se mostrara la pantalla principal en donde podrá subir los
electrocardiograma, imágenes e incluso videos.
Como se puede visualizar conts de las duncionalidades para :
Comentar publicaciones
Publicar
Agregar amigos
Actualizar Datos
Mostrar mis Contactos.
Salir
Ruta: http://localhost:8080/MySoul/index.zul
My SOUL
Manual de Usuario
No. Versión
Página 8 de 12
Área: SISTEMAS
Departamento: PROMEINFO
Autor: ANALISTA FUNCIONAL
Ruta de Acceso: Manual de usuario My Soul
ESTA INFORMACION ES CONFIDENCIAL Y DE USO EXCLUSIVO DE LA UNIVERSIDAD DE GUAYAQUIL
2.6 Popup Agregar Amigos:
En esta parte se muestran un listado de Usuarios normales y Doctores a los que
puedo asociar a mi red de contactos.
My SOUL
Manual de Usuario
No. Versión
Página 9 de 12
Área: SISTEMAS
Departamento: PROMEINFO
Autor: ANALISTA FUNCIONAL
Ruta de Acceso: Manual de usuario My Soul
ESTA INFORMACION ES CONFIDENCIAL Y DE USO EXCLUSIVO DE LA UNIVERSIDAD DE GUAYAQUIL
2.7 Pantalla lista de contactos:
En esta parte se muestran un listado las personas que tengo asociada en mi red de
contactos.
En caso de querer bloquear a uno de mis contactos, existe una opción que elimina el
registro de mis contactos.
.
My SOUL
Manual de Usuario
No. Versión
Página 10 de 12
Área: SISTEMAS
Departamento: PROMEINFO
Autor: ANALISTA FUNCIONAL
Ruta de Acceso: Manual de usuario My Soul
ESTA INFORMACION ES CONFIDENCIAL Y DE USO EXCLUSIVO DE LA UNIVERSIDAD DE GUAYAQUIL
2.8 Pantalla para agregar nuevas publicaciones:
Mediante esta opción podemos insertar nuevas publicaciones, subir imágenes,
videos y archivos ecg; además podemos agregar médicos a nuestras
publicaciones.
My SOUL
Manual de Usuario
No. Versión
Página 11 de 12
Área: SISTEMAS
Departamento: PROMEINFO
Autor: ANALISTA FUNCIONAL
Ruta de Acceso: Manual de usuario My Soul
ESTA INFORMACION ES CONFIDENCIAL Y DE USO EXCLUSIVO DE LA UNIVERSIDAD DE GUAYAQUIL
2.9 Pantalla para editar datos del usuario:
Mediante esta opción se puede actualizar los datos de un usuario.
My SOUL
Manual de Usuario
No. Versión
Página 12 de 12
Área: SISTEMAS
Departamento: PROMEINFO
Autor: ANALISTA FUNCIONAL
Ruta de Acceso: Manual de usuario My Soul
ESTA INFORMACION ES CONFIDENCIAL Y DE USO EXCLUSIVO DE LA UNIVERSIDAD DE GUAYAQUIL
3 GLOSARIO DE TÉRMINOS
LOGIN: Es un proceso mediante el cual se controla el acceso individual a un sistema informático
mediante la identificación del usuario utilizando credenciales provistas por el usuario.
POPUP: Es una pequeña ventana nueva que aparece de repente en la pantalla de tu aplicación.
My Soul Manual Técnico
No. Versión
Página 1 de 11
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
IMPLEMENTACIÓN DE SOFTWARE CON CÓDIGO ABIERTO PARA LA AUTENTICACIÓN,
AUTORIZACIÓN Y FEDERACIÓN DE IDENTIDADES DE ACCESOS A LOS SISTEMAS DEL PROGRAMA
DE INVESTIGACIÓN MÉDICA DE INFORMÁTICA (PROMEINFO)
MANUAL TÉCNICO
INGENIERO EN SISTEMAS COMPUTACIONALES
AUTOR: STALYN ALFREDO GRANDA CHIPRE
TUTORA: ING. ALEXANDRA VARELA
GUAYAQUIL – ECUADOR
2015
My Soul Manual Técnico
No. Versión
Página 2 de 11
Í ndice
1 Diseño de la Arquitectura ...........................................................................................................5
1.1 Web Services ......................................................................................................................5
1.1.1 Capa de Acceso a Datos (AD) ......................................................................................6
1.1.1 Capa Controlador (Manager) ......................................................................................6
1.1.2 Capa de Servicio .........................................................................................................7
1.1.3 Servicios Web Disponibles ..........................................................................................7
1.2 Aplicación Web ...................................................................................................................7
1.2.1 Vista ............................................................................................................................8
1.2.2 Controlador ................................................................................................................8
1.2.3 Base de Datos .............................................................................................................8
1.2.4 Principales clases java y páginas que la utilizan ..........................................................9
2 Flujo de Proceso de Ingreso .......................................................................................................9
2.1 Registrar Usuario ................................................................................................................9
2.2 Cambio de Contraseña .....................................................................................................10
2.3 Olvido Contraseña ............................................................................................................10
2.4 Agregar Publicación ..........................................................................................................10
2.5 Agregar Amigos ................................................................................................................10
2.6 Editar datos de usuario.....................................................................................................10
2.7 Bloquear Contactos ..........................................................................................................11
My Soul Manual Técnico
No. Versión
Página 3 de 11
Íntroduccio n
La finalidad de todo manual técnico es la de proporcionar al lector la lógica con la que se ha
desarrollado una aplicación, la cual se sabe que es propia de cada programador; por lo que se
considera necesario ser documentada.
Aclarando que este manual no pretende ser un curso de aprendizaje de cada una de las
herramientas empleadas para el desarrollo del sitio, sino documentar su aplicación en el
desarrollo del sitio.
Para un mayor detalle acerca de cada una de las herramientas utilizadas, y su forma de operación
y aplicación, se recomienda consultar los manuales respectivos de cada una de ellos.
My Soul Manual Técnico
No. Versión
Página 4 de 11
Que es My-Soul?
Es una red social que se encarga de compartir información médica con el objetivo de facilitar las
consultas entre usuarios y pacientes.
Dándole una mayor facilidad al momento de realizar sus diagnósticos, ya que puede tener acceso
desde cualquier equipo conectado a internet.
Objetivo
Permitirse conectarse las 24 horas, los 7 días de la semana. Desde cualquier punto de la
provincia o desde otra provincia.
Esquema de seguridades delimitando funciones por usuario, cuenta y tipo de operación.
Facilidad de manejo.
No requiere instalaciones especiales de software.
Fácil capacitación con la ayuda del manual de usuario final.
My Soul Manual Técnico
No. Versión
Página 5 de 11
Descripcio n de la Solucio n
1 Diseño de la Arquitectura
La solución está construida en un modelo de 3 capas:
Capa1: Cliente (Aplicación Web Móvil y Aplicación Web Administrador).
Capa2: Servicio (Web Services)
Capa3: Base de Datos
1.1 Web Services El servicio web está construido en la plataforma de programación JAVA en un modelo de capas
dividido por paqueterías:
Capa Acceso Datos (paquete com.accesoDatos)
Capa Controlador (paquete com.manejadores)
My Soul Manual Técnico
No. Versión
Página 6 de 11
Capa Servicio (com.servicio)
Este módulo accede a dos archivos de configuración ubicado en las rutas:
Servidor 10.243.8.84
/prcsis/aplicaciones/general/configFile.properties
/prcsis/aplicaciones/pda/cfg/configFile.properties
En la primera ruta se encuentran las configuraciones generales, en esta ruta van las
configuraciones comunes entre los diferentes aplicativos web.
WordPad Document
En la segunda ruta se encuentran las configuraciones propias de la aplicación, aquí va cada
uno de las llamadas de los métodos a la base de datos.
WordPad Document
1.1.1 Capa de Acceso a Datos (AD)
Es la capa encargada de las consultas CRUD (créate/read/update/delete) a la base de datos.
Actualmente esta capa está conformada por las siguientes clases:
LoginDB.java
PostBeanDB.java
1.1.1 Capa Controlador (Manager)
Es la capa encargada de gestionar las conversiones de datos y los accesos a las clases AD.
Actualmente esta capa está conformada por las siguientes clases:
LoginManager.java
PublicacionManager.java
My Soul Manual Técnico
No. Versión
Página 7 de 11
1.1.2 Capa de Servicio
Es la capa encargada de exponer los diferentes servicios y se encarga de acceder a la capa de
controladores (Manager).
Actualmente esta capa está conformada por las siguientes clases:
ResponseHeader.java
ResponseManager.java
WsApplication.java
WS_Principal.java
1.1.3 Servicios Web Disponibles
A continuación se detalla los diferentes servicios web que se encuentran disponibles para el
funcionamiento de las aplicaciones de PDA:
Clase Nombre del
Servicio
Método Java URL Método
WS_Principal.java WsRed GetPublicaciones /WsRed/getPublicaciones GET
WS_Principal.java WsRed getcontactos /WsRed/getContactos GET
WS_Principal.java WsRed getAmigos /WsRed/getAmigos GET
WS_Principal.java WsRed guardarLike /WsRed/guardarLike POST
WS_Principal.java WsRed eliminarLike /WsRed/eliminarLike POST
WS_Principal.java WsRed addComentario /WsRed/addComentario POST
WS_Principal.java WsRed addPost /WsRed/addPost POST
WS_Principal.java WsRed addContact /WsRed/addPost POST
WS_Principal.java WsRed login /WsRed/login POST
WS_Principal.java WsRed addUser /WsRed/addUser POST WS_Cliente.java WsRed editUser /WsRed/editUser POST WS_Cliente.java WsRed changePass /WsRed/changePass POST WS_Cliente.java WsRed bloquearAmigos /WsRed/bloquearAmigos POST WS_Cliente.java WsRed updatePerfil /WsRed/updatePerfil POST
1.2 Aplicación Web La aplicación web móvil esta estructura con el modelo MVVC.
Vista Paginas ZUL
Controlador .java y JavaScript
Base de Datos
My Soul Manual Técnico
No. Versión
Página 8 de 11
1.2.1 Vista
Aquí van todas las páginas .zul
Las páginas disponibles son:
Pagina URL Descripción Login.zul /redS /login.zul Página inicial para el ingreso de la aplicación.
Registro.zul /redS /registro.zul Página para realizar el registro de un nuevo usuario
Pass.zul /redS /pass.zul Página para realizar el cambio de contraseña
ForgetPass.zul /redS /forgetPass.zul Página para generar una nueva contraseña
Index.zul /redS /index.zul Página principal de la aplicacion
editDatos.zul /redS /index.zul Popup para editar los datos del usuario
editImagen.zul /redS /index.zul Popup para cambiar la imagen de perfil del usuario
Publicación.zul /redS /index.zul Popup para agregar una nueva publcacion
Dinamic_Tree.zul /redS /index.zul Popup para visualizar la lista de amigos
Drag.zul /redS /index.zul Popup para agregar nuevos usuarios a nuestra lista de amigos
Comment.zul /redS /index.zul Popup para ingresar un nuevo comentario
1.2.2 Controlador
Como controlador tenemos clases java y librerías JavaScript.
ZK: utiliza el concepto de MVVC, esto ayuda a gestionar pantallas de una manera más sencilla,
mapea a los componentes de las páginas .ZUL y gestiona los datos y actualizaciones bajo eventos,
proporcionando una programación más limpia.
Archivo principales donde se encuentran los métodos y validaciones de la aplicación:
validacion.java
FormValidator.java
ecg.js
wz_jsgraphics.js
1.2.3 Base de Datos
Esta aplicación tiene como base de datos SqlServer 2008Rh ya que esta es la base de datos que
utiliza el hospital universitario.
My Soul Manual Técnico
No. Versión
Página 9 de 11
1.2.4 Principales clases java y páginas que la utilizan
A continuación se detalla las principales clases, métodos JavaScript y los servicios a los que
acceden.
Clase Metodo Descripción AuthenticationServiceChapter8Impl Login Método utilizado para realizar el login de la
aplicación
FormViewModel submit Registro de usuarios
FormViewModel grabar Actualiza imagen de perfil
FormViewModel edit Editar datos de usuarios
FormViewModel cambiarPass Realizar cambio de contraseña
FormViewModel cambiar Genera nueva contraseña
Fakedate getPost Carga todas las publicaciones a la página principal
NewsfeedVM likePost Dar like/unlike a una publicación
NewsfeedVM addomment Agregar un comentario a publicación
DragVM init Obtiene la lista de contactos
DragVM addContact Agrega un nuevo contacto
PopupViewModel addDr Agregar un doctor a una publicación
PopupViewModel addPost Agregar una nueva publicación
2 Flujo de Proceso de Ingreso
2.1 Registrar Usuario Proceso para registrar un nuevo usuario.
Loginvalidacion de
usuariosCarga de publicaciones
desde la base
Ingreso de datosValidacion de
datosEnvio de
contraseña al mail
My Soul Manual Técnico
No. Versión
Página 10 de 11
2.2 Cambio de Contraseña Permite realizar el cambio de contraseña.
2.3 Olvido Contraseña Generará una nueva contraseña y será enviada a su mail.
2.4 Agregar Publicación Cuando se asigne un médico a la publicación se le enviara un mail de notificación al mismo.
2.5 Agregar Amigos Permite agregar amigos a nuestra lista de contactos
2.6 Editar datos de usuario Permite actualizar los datos del usuario.
Ingreso de nueva contraseña
Validacion de contraseña
Actualizacion de contraseña en base
Ingreso de datosValidacion de
datosEnvio de
contraseña al mail
Cargar Imagen/archivo ecg(opcional)
Ingresar texto
Asignar Médico a la publicación
Enviar
Agregar Amigos Seleccionar amigos para
agregar Agregar
Ingreso de datosValidacion de
datosActualizacion de Datos en base
My Soul Manual Técnico
No. Versión
Página 11 de 11
2.7 Bloquear Contactos Permite bloquear un contacto
Seleccionar amigo de la listaBoton derecho
Bloquear Inactiva contacto de la lista