UNIVERSIDAD POLITCNICA SALESIANA

FACULTAD DE INGENIERIAS
CARRERA DE INGENIERIA DE SISTEMAS

ELABORACIN DE UN PLAN DE SEGURIDAD

INFORMTICA EN LA ILUSTRE MUNICIPALIDAD DE
PAUTE.

Proyecto

previo

obtencin del

la

Titulo

de

Ingeniero de Sistemas.

Autores:
Diana Fernanda Carchipulla Choco
Miriam Alexandra Guamba Romn
Carmen Beatriz Mndez Rojas

Director:
Ing. Bertha Tacuri Capelo

Cuenca Ecuador
2007

III

Los conceptos desarrollados, anlisis

realizados

las

conclusiones

del

presente trabajo, son de exclusiva

responsabilidad de las autoras

Cuenca, febrero 14 del 2007

Diana Carchipulla

Miriam Guamba

Carmen Mndez

IV

Certifico que bajo mi direccin el

proyecto de tesina fue realizada por:

Diana Fernanda Carchipulla Choco

Miriam Alexandra Guamba Romn
Carmen Beatriz Mndez Rojas

..................................................
Ing. Bertha Tacuri Capelo
DIRECTORA DE TESIS

DEDICATORIA:
Es muy difcil dedicar un trabajo, quisiera
poder nombrar a todas las personas que me
alentaron a seguir con mi carrera, a superar
los retos y acompaarme siempre. Pero en
especial quiero dedicarlo a toda mi familia,
que han sabido brindarme todo el espacio,
tiempo
y apoyo. Quiero destacar el
esfuerzo y sacrificio que mi madre MARIA
DOLORES ha realizado, por eso este
trabajo te lo dedico con todo mi cario y
gratitud.
A mi to MESAS que ha sido como un
padre para m, y aunque muchas veces
discrepamos, existe un sentimiento muy
grande de fraternidad y cario.
A mi ta LAURA que aunque estando lejos
a sabido brindarme sus palabras de apoyo.
A mi abuelita ROSITA. Hoy tu nieta est
cumpliendo uno de tus sueos ms
anhelados. Dios permita que nos acompaes
por muchos aos ms.
A la persona que siempre me estuvo
apoyando, alegrando y alentando en los
momentos ms crticos y que supo despertar
en mis sentimientos ms profundos. Para ti
mi amor NSTOR, este logro es tuyo y
mo.
Y finalmente a mis amigos, compaeros y
docentes que confiaron en m.

DIANA FERNANDA

VI

DEDICATORIA:

Este proyecto de tesis en Primer lugar

quiero dedicarlos a DIOS porque fue quien
me ayudo para llegar a ser alguien en mi
vida profesional.
En segundo lugar a mis padres MIGUEL e
IBONNY, que me supieron guiar, y ayudar
en todo lo que yo necesite para culminar
este periodo importante.
Tambin a mi esposo FERNANDO, que
siempre estuvo all en los momentos buenos
y malos para colaborar en todo lo que a
podido y con ello apoyarme para poder
culminar esta carrera
A mis hermanos, amigos y familiares que
de alguna u otra manera me incentivaron a
terminar la Universidad
A todas estas personas gracias de corazn.

MIRIAM ALEXANDRA

VII

DEDICATORIA:
A mi Seor, Jess, quien me dio la fe, la
fortaleza, la salud y la esperanza para
terminar este trabajo.
A mis padres, Ins y Octavio quienes me
ensearon desde pequea a luchar para
alcanzar mis metas. Mi triunfo es el de
ustedes.
A los que nunca dudaron que lograra este
triunfo: mis hermanos Olga, Maria, Sergio,
Marco, Rene y mi querido abuelito Vctor
que siempre se preocupo por la lejana en la
que nos encontrbamos.
La humildad trae gracia y felicidad a la
vida; permite acomodarse a las situaciones
difciles sin pensar en lo que se est dejando
renunciando, nos vuelve ms sencillos y
naturales, permite que nos concentremos en
lo que estamos haciendo, y que lo hagamos
correctamente.
La humildad hace que podamos ver los
beneficios en cada escena de la vida,
haciendo que nuestras interacciones giren
en un ambiente ms agradable, as logramos
un lugar en el corazn de todos, eliminando
en un segundo aquello que nos hiere y no
nos deja crecer.
Siendo humildes comprenderemos que an
tenemos mucho por mejorar, mucho que
aprender y que podemos ocuparnos en la
tarea de crecer.
Andrea Moreno de Buitrago
Pensamiento Indito

CARMEN BEATRIZ

VIII

AGRADECIMIENTO:
A Dios nuestro seor por la oportunidad
que hemos tenido para aprender, mejorar y
crecer.
Agradecemos de forma muy especial a la
Ing. Bertha Tacuri Capelo quien ha sido
nuestra tutora en el presente trabajo, y nos
ha brindado su amistad, paciencia y apoyo
durante el desarrollo de esta tesina.
A la Ilustre Municipalidad de Paute
representada en su Alcalde Dr. Helioth
Trelles, por la confianza depositada. Las
facilidades proporcionadas por el Ing.
Marco Cordero y el Egdo. Alejandro
Chuquiralao que fueron fundamentales para
el desarrollo del presente trabajo.
A nuestra querida U.P.S que nos acogi en
sus aulas durante este periodo de nuestra
vida, y en las cuales obtuvimos la luz del
saber, a travs de docentes que supieron
comprendernos y guiarnos en nuestro
proceso de aprendizaje,
A nuestras familias
incondicional.

por

el

apoyo

A nuestros compaeros y amigos por

compartir las angustias y alegras, a todos
ellos GRACIAS.

Con mucho cario.

LAS AUTORAS.

IX

NDICE:
Prefacio ____________________________________________________________________ 1
Introduccin ________________________________________________________________ 2
Alcance ____________________________________________________________________ 3
CAPITULO I _______________________________________________________________ 4
1.1 Descripcin de la Organizacin _____________________________________________ 5
1.1 .1 Resea Histrica________________________________________________________ 5
1.1.2 Misin, Visin y Objetivos ________________________________________________ 7
1.1.3 Datos Generales del Cantn Paute _________________________________________ 7
1.1.4 Ubicacin ______________________________________________________________ 8
1.1.5 Estructura Organizacional ________________________________________________ 9
1.1.5.1 Organigrama _______________________________________________________ 9
1.1.5.2 Organizacin del area de seguridad informatica _________________________ 10
1.1.5.3 Organizacin del area de seguridas informatica Propuesta _________________ 12
1.2Evaluacion de la seguridad logica ___________________________________________ 13
1.2 .1 Autenticacin _________________________________________________________ 13
1.2.2 Autorizacin __________________________________________________________ 15
1.2.3 Auditoria _____________________________________________________________ 17
1.2.4 Segregacion de Funciones _______________________________________________ 18
1.3Evaluacion de la seguridad en las comunicaciones _____________________________ 19
1.3 .1 Topologia de Red ______________________________________________________ 19
1.3.2 Componentes de Red ___________________________________________________ 22
1.3.3 Conexiones Externas ___________________________________________________ 23
1.3.4 Configuracion de la Red ________________________________________________ 24
1.3.5 Correo Electronico _____________________________________________________ 24
1.3.6 Antivirus _____________________________________________________________ 25
1.3.6.1 Herramientas ______________________________________________________ 25
1.3.7 Firewall ______________________________________________________________ 27
1.3.8 Ataques que ha sufrido la red ____________________________________________ 27
1.3.9 Herramientas Netmeeting _______________________________________________ 28
1.4 Evaluacion de la seguridad de las aplicaciones ________________________________ 29
1.4 .1 Software _____________________________________________________________ 29
1.4.1.1 Sistema Operativo __________________________________________________ 29
1.4.1.2 Sistema Informatico _________________________________________________ 31
1.4.2 Base de Datos __________________________________________________________ 42
1.4.2.1 Componentes ______________________________________________________ 42
1.4.2.2 Mejoras deSeguridad ________________________________________________ 43

1.4.2.3 Tipos de Datos _____________________________________________________ 43

1.4.2.4 Tratamiento de errores ______________________________________________ 43
1.4.2.5 Sistemas de Bloqueo _________________________________________________ 43
1.4.2.6 Soporte Nativo de XML (XQUERY) ___________________________________ 44
1.4.2.7 Cifrado ___________________________________________________________ 44
1.4.3 Control de Aplicaciones en pc ___________________________________________ 45
1.4.4 Control en los datos ____________________________________________________ 45
1.5Evaluacion de la Administracion del CPD ____________________________________ 45
1.5 .1 Administracion del CPD ________________________________________________ 45
1.5 .2 Capacitacion __________________________________________________________ 46
1.5 .3 Backup ______________________________________________________________ 46
1.5 .4 Documentacion ________________________________________________________ 47
1.6Evaluacion de las Auditorias y Revisines _____________________________________ 48
1.7Evaluacion del Plan de Contigencia y Recuperacion de Desastres ________________ 49
1.8Elaboracion del informe de debilidades y amenazas ___________________________ 49
1.8.1 Debilidades____________________________________________________________ 49
CAPITULO II _____________________________________________________________ 52
2.1 Introduccin ___________________________________________________________ 53
2.2 Identificacin de los Activos _______________________________________________ 55
2.3 Tasacin de los Activos ___________________________________________________ 56
2.4 Identificacin de Amenazas _______________________________________________ 56
2.4.1 Arquitectura y Dispositivos de Red _______________________________________ 56
2.4.2 Base de Datos _________________________________________________________ 57
2.4.3 Sistema de Informacin _________________________________________________ 57
2.5 Posibilidad de Ocurrencia de las Amenazas _________________________________ 59
2.5.1 Arquitectura y Dispositivos de Red _______________________________________ 59
2.5.2 Base de Datos _________________________________________________________ 59
2.5.3 Sistema de Informacin _________________________________________________ 60
2.6 Identificacin de Vulnerabilidades _________________________________________ 60
2.7 Posible Explotacin de Vulnerabilidades ____________________________________ 61
2.8 Estimacin de valores ___________________________________________________ 62
2.8.1 Estimacin del valor de los activos en riesgo ________________________________ 62
2.8.2 Posibilidad de ocurrencia del riesgo _______________________________________ 62
2.8.3 Valor del riesgo de los activos ____________________________________________ 62
2.9 Conclusiones ___________________________________________________________ 63

XI

CAPITULO III ____________________________________________________________ 64

3.1 Introduccin ___________________________________________________________ 65
3.2 Del Usuario ____________________________________________________________ 67
3.3 Del Departamento de sistemas de Informacin _______________________________ 68
3.4 De los Sistemas de Informacin ____________________________________________ 71
3.5 De la Administracin ____________________________________________________ 56
CAPITULO IV ____________________________________________________________ 74
4.1 Introduccin ___________________________________________________________ 75
4.2 Del Usuario ____________________________________________________________ 77
4.3 Del Departamento de sistemas de Informacin _______________________________ 78
4.4 De los Sistemas de Informacin ____________________________________________ 80
Conclusiones _______________________________________________________________ 81
Recomendaciones ___________________________________________________________ 83
Anexos ____________________________________________________________________ 85
Anexo 1 ___________________________________________________________________ 86
Anexo 2 ___________________________________________________________________ 87
Anexo 3 ___________________________________________________________________ 90
Glosario ___________________________________________________________________ 92
Bibliografia ________________________________________________________________ 97

XII

NDICE DE FIGURAS:
Figura 1 ___________________________________________________________________ 9
Figura 2 __________________________________________________________________ 12
Figura 3 __________________________________________________________________ 20
Figura 4 __________________________________________________________________ 21
Figura 5 __________________________________________________________________ 32
Figura 6 __________________________________________________________________ 33
Figura 7 __________________________________________________________________ 34
Figura 8 __________________________________________________________________ 34
Figura 9 __________________________________________________________________ 35
Figura 10 _________________________________________________________________ 36
Figura 11 _________________________________________________________________ 36
Figura 12 _________________________________________________________________ 37
Figura 13 _________________________________________________________________ 37
Figura 14 _________________________________________________________________ 38
Figura 15 _________________________________________________________________ 39
Figura 16 _________________________________________________________________ 39
Figura 17 _________________________________________________________________ 40
Figura 18 _________________________________________________________________ 40
Figura 19 _________________________________________________________________ 41
Figura 20 _________________________________________________________________ 41
Figura 21 _________________________________________________________________ 44
Figura 22 _________________________________________________________________ 56

XIII

Plan de Seguridad Informtico

PREFACIO

El presente documento describe de forma detallada el anlisis que se llev a

cabo en lo que respecta a seguridad informtica en la Ilustre Municipalidad de Paute.
Este documento est destinado al Sr. Alcalde y a la alta administracin del rea de
informtica encargada de la Seguridad Informtica.

-1-

Plan De Seguridad Informtica

INTRODUCCION

Actualmente la seguridad informtica ha adquirido gran auge en todas las

organizaciones, a pesar de que el ambiente es cambiante y que la tecnologa brinda
herramientas para desarrollo en pro de un avance organizacional, tambin han
surgido con mayor rapidez el desarrollo de aplicaciones que pretenden irrumpir la
seguridad con fines varios por lo general maliciosos, situacin que desemboca en la
aparicin de nuevas amenazas en los sistemas informticos.

Esto ha llevado a que las organizaciones se preocupen por desarrollar

estrategias que permitan combatir vulnerabilidades internas de la empresa y
amenazas tecnolgicas a las que estn o podran estar sometidas.

Por lo que se parte desarrollando documentos y directrices que orienten en el

uso adecuado de estas tecnologas definiendo estratos de seguridad. Realizando un
anlisis de los potenciales riesgos, generacin de polticas de seguridad informtica
que surgen como una herramienta para concienciar a los miembros de una
organizacin sobre la importancia y sensibilidad de la informacin y servicios
crticos que permiten crear una cultura de seguridad dentro de la organizacin y
adems permiten a la organizacin desarrollarse y mantenerse en su sector de trabajo.
Estas polticas deben disearse minuciosamente para as recoger las caractersticas
propias de la organizacin.

Finalmente definir estrategias para dar cumplimiento a las polticas de

seguridad, es importante acotar que las polticas deben estar muy bien definidas para
que puedan cubrir los aspectos ms relevantes de seguridad dentro de la
organizacin. Al momento de implantar las estrategias se debe considerar que se
tendr que realizar un monitoreo constante y que es un proceso que nunca termina.

Plan De Seguridad Informtica

ALCANCE

En la realizacin de la tesina Elaboracin del plan de Seguridad Informtica

en la Ilustre Municipalidad de Paute, se pretende determinar ciertas precisiones en
lo relativo al estudio de la eficacia de la seguridad informtica en la red as como en
sus aplicaciones, y realizar un anlisis de los riesgos que se puedan ocasionar; a
partir de esto se podr realizar un plan de seguridad eficiente, eficaz y seguro
mediante la elaboracin de polticas, adicionalmente se contempla la definicin de
estrategias para que en el futuro se pueda llevar a cabo la implementacin de este
plan de seguridad sin complicaciones.

Esta aplicacin de seguridad informtica no pretende realizar juicios de valor

sobre la actuacin de los directivos y administradores de los sistemas de la
Municipalidad de Paute en cuanto a la importancia prestada a la seguridad de su
informacin.

Se trata de dar a conocer la eficacia de los controles internos y externos

desde un punto de vista descriptivo, principalmente fundamentado en la recoleccin
de informacin interna de la entidad para poder emitir un juicio de valor y mejora de
la forma de proteccin de la informacin relevante en la organizacin, se tomar en
cuenta todos los puntos de seguridad lgica tanto para las aplicaciones como en la
red, pero no se tocar ninguna caracterstica para proteccin fsica.

Elaborar un conjunto de Polticas de Seguridad y un plan de contingencias

para poder prevenir posibles cadas del sistema y en el peor de los casos prdidas
irrecuperables de activos de informacin que son el eje de funcionamiento de la
municipalidad y en caso de ocurrir cmo recuperarnos lo mas rpidamente para que
sus usuarios no se sientan afectados en su trabajo diario.

En definitiva, esta tesis no tiene como objetivo principal dar modelos

especficos de cmo asegurar la informacin de la municipalidad. Con esta
investigacin, se pretende contribuir al conocimiento mediante la

prctica en

Seguridad Informtica de los mdulos revisados en el Curso de Graduacin para

Ingeniera en Sistemas.
3