INFORME FINALComo aspirante a Ingeniería en Telemática en la UnADM, el objetivo de mi...
Transcript of INFORME FINALComo aspirante a Ingeniería en Telemática en la UnADM, el objetivo de mi...
P á g i n a | 1
Investigación documental y de campo
INFORME FINAL
“VULNERABILIDAD Y PROTECCION CONTRA AMENAZAS EXTERNAS E
INTERNAS EN LA INFRAESTRUCTURA COMPUTACIONAL E INFORMATICA”
Rodrigo Bolaños Moreno.
Junio 2018
https://rodrigobolanos.wordpress.com/
P á g i n a | 2
Índice Índice ............................................................................................................................... 2
Introducción ..................................................................................................................... 3
Metodología .................................................................................................................... 4
Delimitación del tema a investigar. .............................................................................. 4
Seguridad Informática. ................................................................................................. 4
Principio básico de la seguridad informática. ............................................................... 4
Recursos Informáticos. ................................................................................................ 5
Vulnerabilidad. ............................................................................................................. 5
Amenaza. ..................................................................................................................... 5
Ataque. ........................................................................................................................ 5
Virus o gusano. ............................................................................................................ 5
Impacto. ....................................................................................................................... 5
Análisis de riesgo. ........................................................................................................ 5
Tipos de Seguridad. ..................................................................................................... 6
Confidencialidad. ...................................................................................................... 6
Autenticación. ........................................................................................................... 6
Integridad. ................................................................................................................. 6
No repudiación. ......................................................................................................... 6
Disponibilidad. .......................................................................................................... 6
Recolección de Datos. ................................................................................................. 6
Resultados ...................................................................................................................... 8
Conclusiones y recomendaciones ................................................................................... 8
Referencias y Bibliografía ............................................................................................. 11
Anexos .......................................................................................................................... 12
Links. ......................................................................................................................... 12
Gráficas...................................................................................................................... 13
P á g i n a | 3
Introducción
La necesidad de Seguridad de la Información en una organización ha cambiado en
las últimas décadas. Antes del uso de las computadoras, la Seguridad de la Información
era proporcionada por medios físicos, por ejemplo, el uso de cajas fuertes y por medidas
administrativas, como los procedimientos de clasificación de documentos. (Granados
Paredes, 2006)
En la actualidad, los sistemas de información han sido sustituidos casi en su totalidad
por Tecnologías de Información y Comunicaciones (TIC) convergentes, por inmensas y
cada vez más complejas redes institucionales locales y regionales, por servidores y
computadoras personales que cada vez tienen mayor capacidad de proceso y de acceso
a otros computadores, y cuya interconexión se extiende mundialmente. Al mismo tiempo,
la Internet forma ya parte de la infraestructura operativa de sectores estratégicos de
todos los países como el comercial, energía, transportes, banca y finanzas, –por
mencionar algunos– y desempeña un papel fundamental en la forma en que los
gobiernos proporcionan sus servicios e interactúan con organizaciones, empresas y
ciudadanía, y es un factor cada vez más creciente de intercambio de información de
manera individual por parte de los ciudadanos toda vez que se forman redes sociales
cada vez más complejas. (Voutssas M., 2010)
La Seguridad en las Tecnologías de la Información y la Comunicación (TIC) es parte
fundamental de nuestra vida cotidiana y que hacer laboral, es una actividad que está en
constante auge ante la evolución a nuevas amenazas que nacen y ponen en riesgo la
información que generamos, guardamos y transmitimos a través de nuestros sistemas
computacionales por medio de las TIC´s.
Como aspirante a Ingeniería en Telemática en la UnADM, el objetivo de mi
investigación es conocer la importancia de la Seguridad Informática y tratar de identificar
posibles vulnerabilidades en nuestra infraestructura computacional e informática ante la
incorporación y uso de las TIC`s.
Fomentar la cultura y hábitos en Seguridad Informática al conocer el resultado del
objeto de estudio (Jurisdicción Sanitaria Cuautitlán), es el propósito de mi investigación.
P á g i n a | 4
Metodología
Delimitación del tema a investigar.
La Seguridad Informática es un tema muy basto, por tal motivo, delimite el tema en
““Vulnerabilidad y protección contra amenazas externas e internas en la infraestructura
computacional e informática”. Por tal motivo, en esta investigación me apoye en los Tipos
de Investigación para la obtención de datos relevantes. (figura 1)
(figura 1)
Para obtener un panorama sobre el tema a investigar realice la búsqueda en Google
Académico, Redalyc y SciELO; de los conceptos que integran la Seguridad Informática,
los cuales cito a continuación:
Seguridad Informática.
Medida que impide la ejecución de operaciones no autorizadas sobre un sistema o
red informática, cuyos efectos pueda conllevar daños sobre la información, comprometer
su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o
bloquea el acceso de usuarios autorizados al sistema. (Gómez, 2011)
Principio básico de la seguridad informática.
La seguridad informática no es un producto, es un proceso. (Voutssas M., 2010)
P á g i n a | 5
Recursos Informáticos.
El equipo de cómputo y telecomunicaciones; los sistemas, programas y aplicaciones,
así como los datos e información de una organización. También se les conoce como
"activos informáticos" (Voutssas M., 2010)
Vulnerabilidad.
Una vulnerabilidad es cualquier debilidad en el sistema informático, que pueda
permitir a las amenazas causarle daño y producir perdidas. (Gómez, 2011)
Amenaza.
Posibilidad de violación de la seguridad, que existe cuando se da una circunstancia,
capacidad, acción o evento que pudiera romper la seguridad y causar prejuicio, es un
peligro posible que podría explotar una vulnerabilidad. (Stallings, 2004)
Ataque.
Acto inteligente y deliberado para eludir los servicios de seguridad y violar la política
de seguridad de un sistema. (Stallings, 2004)
Virus o gusano.
Programa (software) que cumple con al menos una función básica, la reproducción
autónoma (infección), para asegurar de esta manera su supervivencia. (Correa Medina,
Carlos Peréz, & Velarde Martínez, 2006)
Impacto.
El impacto es la medición y valoración del daño que podría producir un incidente de
seguridad. (Gómez, 2011)
Análisis de riesgo.
Es un proceso que comprende la identificación de activos informáticos, sus
vulnerabilidades y amenazas a los que se encuentran expuestos, así como su
probabilidad de ocurrencia en el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. (Fernández,
2013)
P á g i n a | 6
Tipos de Seguridad.
Confidencialidad.
Garantiza que cada mensaje transmitido o almacenado en un sistema informático solo
podrá ser leído por su legítimo destinatario. (Gómez, 2011)
Autenticación.
La autenticación garantiza que la identidad del creador de un mensaje o documento
es legítima, asimismo, también podemos hablar de la autenticidad de un equipo que se
conecta a una red o intenta acceder a un determinado servicio. (Gómez, 2011)
Integridad.
Garantiza que un mensaje o fichero no ha sido modificado desde su creación o
durante su transmisión a través de una red informática. (Gómez, 2011)
No repudiación.
El objeto de este servicio de seguridad consiste en implementar un mecanismo
probatorio que permita demostrar la autoría y envió de un determinado mensaje, de tal
modo que el usuario que lo ha creado y enviado a través del sistema no pueda
posteriormente negar esta circunstancia. (Gómez, 2011)
Disponibilidad.
La disponibilidad del sistema informático también es una cuestión de especial
importancia para garantizar el cumplimiento de sus objetivos, ya que se debe diseñar un
sistema lo suficientemente robusto frente a ataques e interferencias como para garantizar
su correcto funcionamiento, de manera que pueda estar permanentemente a disposición
de los usuarios que desean acceder a su servicio. (Gómez, 2011)
Recolección de Datos.
El estudio se llevó a cabo en las instalaciones de la Jurisdicción Sanitaria Cuautitlán,
ubicada en Av. Venustiano Carranza s/n Col. Nueva Santa María, C.P 5480, Cuautitlán
México; parte integral del Instituto de Salud del Estado de México, área encargada de
concentrar información de las 31 unidades aplicativas que integran esta Jurisdicción
Sanitaria.
Las áreas para visita permitidas, consideradas para su observación y breve plática
por el tipo de recurso empleado y el tiempo concedido son:
P á g i n a | 7
• Estadística. - Área encargada del Sistema de Información en Salud.
• SEED. - Área encargada del Sistema Epidemiológico y Estadístico de las
Defunciones.
• ProVac. - Área encargada del Sistema Estadístico en Vacunación a Menores de
12 años.
La concentración de informes, bases de datos e intercambio de datos en tiempo real
mediante plataformas WEB son las actividades con mayor fluidez en estas áreas.
Durante la visita, obtengo datos mediante la observación y la exploración de las áreas
involucradas, las entrevista son realizadas mediante un guion semi-estructurado a los
responsables de los programas de Estadística (Jaqueline Ordoñez), SEED (Lic. Cristian
Corona) y ProVac (Eric Sánchez); esta actividad complementa el panorama del estudio,
aunado a la aplicación de una breve encuesta online (alojada en el blog personal de
actividades y evidencias), en esta actividad se involucran otras áreas para ampliar el
estudio y tratar de obtener datos más específicos y costumbres sobre seguridad
informática.
P á g i n a | 8
Resultados
Se realiza encuesta "Vulnerabilidades y amenazas en la infraestructura
computacional e informática" a un grupo de 10 personas, en 5 área de responsabilidad
laboral en la Jurisdicción Sanitaria Cuautitlán, obteniendo los siguientes datos:
• Se realiza encuesta en 5 áreas de responsabilidad laboral, con la participación de
2 recursos por área laboral. (Vea Gráficas.1 en la página 13)
• 7 de cada 10 ordenadores utilizan baterías (SAI o UPS) para prevención de
apagones y perdidas de información. (Vea Gráficas.2 en la página 13)
• 7 de cada 10 equipos interactúan con otros equipos y comparten hardware a
través de conexión a la red. (Vea Gráficas.3 en la página 13)
• 9 de cada 10 emplean el uso de contraseñas para protección de datos e
información. (Vea Gráficas.4 en la página 13)
• Todos los equipos involucrados en el estudio, tiene instalado antivirus básicos
gratuito. (Vea Gráficas.5 en la página 13)
• 6 de cada 10 conocen la funcionalidad de un cortafuego, el 40% de los resultados
desconocen los principios de seguridad informática al emplear TIC´s en su ámbito
laboral. (Vea Gráficas.6 en la página 13)
• 4 de cada 10 emplean las TIC´s para el intercambio de información entre pares.
(Vea Gráficas.7 en la página 13)
• 3 de cada 10 realizan respaldos de la información por medios magnéticos
extraíbles. (Vea Gráficas.8 en la página 13)
• 3 de cada 10 aloja la información y bases de datos en la unidad física (Computador
o disco duro interno), siendo más vulnerable a una amenaza física, lógica o de
origen natural. (Vea Gráficas.9 en la página 13)
Conclusiones y recomendaciones
Los hallazgos encontrados por medio de la observación, exploración y por la
naturaleza de los datos e información (Cualitativa y Cuantitativa) del lugar en estudio, se
describen a continuación:
P á g i n a | 9
Se cuenta con equipo de cómputo asignado de manera personal, no cuentan con
hardware necesario para satisfacer la demanda de cada área, cuentan con un scanner
para las actividades de las 3 áreas involucradas, cada área se integra por un promedio
de 3 a 5 personas, existe una impresora compartida por área, a excepción de ProVac,
que se apoya con el hardware de Estadística, el servicio de internet es lento con
interrupciones constantes, la información y bases de datos son guardadas únicamente
en los equipos de cómputo, con portabilidad mediante medios magnéticos (USB), los
antivirus instalados en los equipos de cómputo son gratuitos y de servicio básico,
encontré 2 equipos con sistema operativo Windows XP y Vista respectivamente, carentes
de actualizaciones de seguridad proporcionada por el proveedor del software, los
equipos de cómputo no cuenta con protección a fallas a eléctricas.
No se cuenta con un área para la asistencia en sistemas en el lugar, los activos al
presentar fallas son canalizados al departamento Central en Sistemas ubicado en
Toluca, con un tiempo aproximado en solución de 1 a 2 meses, el empleo de
almacenamientos en línea es poco utilizado, no permitiendo la disponibilidad de la
información al presentar vulnerabilidad por falla electica y daño físico de la unida teniendo
como causa la entrega extemporánea y el retraso en la información; el empleo de las
TIC´s para el manejo de la información es esencial en algunas áreas que las emplean.
Anteriormente la seguridad se enfocaba en mantener la información protegida ante
amenazas físicas y/o desastres naturales, el implementarse los sistemas
computacionales y redes locales para el empleo de las TIC´s en nuestra vida diaria,
conlleva a implementar y crear estrategias, análisis y políticas de seguridad para
mantener el correcto funcionamiento de los mismos y el intercambio de información entre
pares.
El proceso de campo fue muy limitado, dado al tiempo otorgado (4hrs) para realizar
la visita; el personal (en su mayoría) es poco participativo y cooperativo,
independientemente por la carga laboral de cada uno; lamento el no haber podido
involucrar más programas o áreas laborales al tema de estudio.
Considero que la investigación queda abierta para futuros seguimientos y
complementar huecos en la misma, derivado al fomento de la cultura en Seguridad
P á g i n a | 10
Informática. El objetivo de la investigación es favorable en relación a los datos recabados,
brindándome un panorama de las posibles vulnerabilidades en el lugar de estudio.
Se recomienda:
• Realizar un análisis de riesgo en las áreas laborales que integran esta jurisdicción
sanitaria.
• Crear políticas de seguridad de acuerdo a las actividades inherentes a cada área.
• Fomentar la cultura en Seguridad Informática.
• Implementar personal participativo en actividades de protección informática.
• Impartir capacitaciones y platicas en Seguridad Informática.
La vulnerabilidad informática está presente en algunas áreas laborales de esta
Jurisdicción Sanitaria, con probabilidades de amenazas compartida en la misma.
P á g i n a | 11
Referencias y Bibliografía Correa Medina, J. G., Carlos Peréz, H., & Velarde Martínez, A. (2006). Virus Informáticos.
Conciencia Tecnológica(31), 54-57. Obtenido de
http://www.redalyc.org/html/944/94403112/
Fernández, J. (Octubre de 2013). aprocal. Obtenido de Seguridad en Informática:
http://www.aprocal.org.mx/files/2200/03SeguridadenInformaticaV1.0.pdf
Gómez, A. (2011). Enciclopedia de la Seguridad Informática. 2ª Edición. Madrid: RA-MA.
Granados Paredes, G. (10 de Julio de 2006). INTRODUCCIÓN A LA CRIPTOGRAFIA.
Revista Digital Universitaria, 7(7). Obtenido de
http://www.revista.unam.mx/vol.7/num7/art55/int55.htm
Stallings, W. (2004). Fundamentos de Seguridad en Redes. Aplicaciones y Estándares. Madrid
(España): Pearson Educación S.A.
Voutssas M., J. (06 de 04 de 2010). Preservación documental digital y seguridad informática.
Investigación bibliotecológica, 24(50). Obtenido de
http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0187-
358X2010000100008
P á g i n a | 12
Anexos
Links. • Transcripción de entrevista a Jaqueline Ordoñez Cajero, responsable del área de Estadística.
• Transcripción de entrevista a Eric Sánchez Martínez, área laboral ProVac.
• Audio entrevista al Lic. Cristian Corona, responsable del área SEED.
• Encuesta realizada vía WEB, alojada en el blog personal del aspirante.
• Estadística de encuesta.
• Análisis de encuesta.
Nota: Las imágenes contienen hipervínculos a las actividades publicadas al blog personal del aspirante.
P á g i n a | 13
Gráficas.
Gráfica 1 (Resultados, pag.8 más atrás) Gráfica 2 (Resultados, pag.8 más atrás)
Gráfica 3 (Resultados, pag.8 más atrás) Gráfica 4 (Resultados, pag.8 más atrás)
Gráfica 5 (Resultados, pag.8 más atrás) Gráfica 6 (Resultados, pag.8 más atrás)
20%
20%
20%
20%
20%
Áreas de responsabilidad laboral
Estadística
Promoción de la Salud
SEED
VigilanciaEpidemiológica
Zoonosis y Vectores
70%
30%
¿Tu ordenador utiliza batería (SAI o UPS) para prevenir apagones y pérdida de información?
Si No
70%
30%
¿Compartes hardware con otros equipos?
Si No
90%
10%
¿Empleas contraseñas para proteger tu información?
Si No
100%
¿Tu ordenador tiene instalado antivirus?
Si No
60%
40%
¿Conoces la función que desempeña un cortafuego?
Si No
P á g i n a | 14
Gráfica 7 (Resultados, pag.8 más atrás) Gráfica 8(Resultados, pag.8 más atrás)
Gráfico 9 (Resultados, pag.8 más atrás)
30%
30%
40%
¿De qué forma se realiza el registro de información en tu área?
Base de datos
Plataforma Web
Ambas
10%
30%60%
¿Con qué frecuencia realizas copia de seguridad de la información?
Nunca
Diario
Ocasional
70%
30%
¿Utilizas algún medio de almacenamiento en línea?
Si No