Universidad de Viña del Mar

Viña del Mar

Trabajo N°1

Integrantes: Claudio Lértora

Daniel Rosales
Leonardo Velásquez

Profesor: Julio Lobos

Fecha: 13/11/2011
  Desarrollo

I (Primer caso)

1.- Para la autenticación de la aplicación de cliente servidor, vamos a aplicar el

modelo STREAD.
S: la suplantación de identidad en este tipo de aplicación, es muy vulnerable, ya
que a través de programas que nos permitan capturar información a través de
texto plano, nos ha de permitir poder obtener cualquier tipo de dato que nos sea
relevante para poder acceder a este tipo de sistema.
Recomendación: Tratar de que la información no sea por texto plano, que las
claves con un cifrado bien grande, y que las claves se vayan cambiando
mensualmente y no mantenerlas por siempre o por un buen periodo

T: Es muy fácil, de poder modificar cualquier tipo de dato que nos permita la
aplicación, si se tiene acceso a cualquier tipo de información que este ingresada
en nuestro sistema.
Recomendación: Sectorizar o solo permitir a ciertas personas tener acceso a
cierto tipo de información y solo a cierto tipo de personas a modificar cualquier tipo
de información del sistema. Según el rol que cumpla la persona en nuestra
aplicación, se le permitirá acceder a funciones relacionadas con su desempeño o
experiencia.

R: Las personas muchas veces modifican la información que está ingresada en el

sistema o simplemente la ingresan y nunca se ha de saber quien realizo estas
acciones, por lo cual, se puede producir algún tipo de inconsistencia o confusión
de esta.
Recomendación: Llevar algún tipo de historial o bitácora que nos muestre la
persona que ingreso al sistema, el tiempo que estuvo, que tipo de cambios realizo
en el sistema y así poder saber a quién ligamos la información o cualquier tipo de
modificación que se hizo en el sistema.
I: Todo tipo de información ingresada en el sistema, no puede ser mostrada a
cualquier tipo de persona, sino, a las personas que tienen relación con esta o que
se les está permitido, ya sea por su cargo o función que cumplan. También hay
que tener en cuenta, que todo tipo de información, es confidencial y no se les
puede comunicar a personas que son ajenas a este tipo de aplicación.
Recomendación: El sistema ha de mostrar a los distintos usuarios cierto tipo de
información, según el nivel que tengan en el sistema o el rol que cumplan y así
poder filtrar o no permitir que la información de divague entre otras personas que
no les corresponde.

D: Al permitir que cualquier tipo de personas, tengan acceso sin límites al

sistema, pueden provocar de forma maliciosa, que este deje de funcionar en
varios aspectos y así llegar a provocarles problemas a la empresa. También están
las personas que tratan de botar el sistema ya sea por cualquier motivo personal.

Recomendación: Permitir el acceso a distintas funciones, solo a personas que

estén autorizados por el sistema. En el momento de que una persona trate de
entrar al sistema (en forma de testeo, viendo si la clave coincide con la
identificación que se consiguió), por 2 vez, ha de bloquearse el acceso a esa
persona.

E: Muchas personas han de tratar de conseguir privilegios superiores, a los cuales

les fueron asignados, tratando de cambiar en el sistema sus perfiles o pidiéndoles
a otro tipo de personas que tengan acceso a estos, que los cambien.

Recomendación: Ninguna persona tendrá acceso a este tipo de cambio en el

sistema, salvo el gerente o dueño de la empresa, ya que bajo su criterio o bajo un
comunicado, le digan que cierto tipo de personas han subido de nivel o tienen
nuevas funciones en el sistema. También puede realizar este cambio, la persona
que está a cargo de la mantención de este o que se encarga de la supervisión de
forma permanente, a través de un permiso del gerente de la empresa y que quede
en una bitácora.

OBS : En cualquier tipo de sistema, el tipo de seguridad que se ha de

implementar, siempre va a tener un problema, que son los usuarios que la
componen o manejan, ya que a través de ataques de ingeniería social, personas
ajenas pueden obtener cualquier tipo de información.

Los resultados de NMAP son los siguientes:

Puerto Estado Servicio Vulnerabilidad
22/tcp Abierto Ssh MITM
80/tcp Abierto http SYN Flood
8443/tcp abierto https-alt No tiene
II (Segundo Caso)

Riegos Impacto Triada Controles Tipo de

Control
MITM Alto RSA Preventivo
Phishing Medio Capacitación Preventivo
Autenticación
doble factor
Accion de Medio Antivirus Preventivo
virus
Auditoria login Medio bloqueo 3
intento
estructura de pw
robusta
registro
auditoria(cuando
quien se conecto
intetos fallidos)
Terremotos Bajo
Accesos no Bajo Login Autenticacion
autorizados
Fuego Bajo Red seca Preventivo
respaldo
Fallas en los Medio Respaldo Preventivo
equipos
Fraude Muy bajo
RFI Alto auditoria
interna

A)
El alcance de este plan guarda relación con la infraestructura informática, así
como los procedimientos relevantes asociados con la plataforma tecnológica. La
infraestructura informática está conformada por el hardware, software y elementos
complementarios que soportan la información o datos críticos para la función del
negocio. Los procedimientos relevantes a la infraestructura informática, son
aquellas tareas que el personal realiza frecuentemente al interactuar con la
plataforma informática (entrada de datos, generación de reportes, consultas, etc.).
B)

En el tema de recuperación, el plan a seguir, es tratar de que todos los datos que
mantenga el sector de venta y estén almacenados en una base de datos, estos se
puedan almacenar en un servidor externo y que en el disco duro que se guarden,
se encripte, para que así en el caso que esta se trate de robar, no pueda ser
cifrada o no haya un robo de datos. El ingreso, tiene que ser a través de un login o
utilizando alguna llave simétrica para así disminuir las probabilidades de intrusos.
Los recursos asociados a este plan, se tiene que instruir e implementar un tipo de
seguridad al sistema, que las claves o algún tipo de ingreso, esta no pase por el
texto plano y que sea encriptada, para así no poder acceder fácilmente. También,
a las personas, que son el eslabón más débil, se les ha de tener instruir contra
ataques sociales, en el caso de que traten de obtener de ellos algún tipo de
información. También se va a tener que implementar servidores externos , que
guarden todo tipo de información diariamente, para llevar un registro actualizado y
así, en el peor de los casos no se pierda ningún tipo de información. También se
tiene que llevar un tipo de bitácora y cámaras, para ver cualquier tipo de cambio o
ingreso de información.

c) Después de aplicar la contingencia, hay que evaluar cada uno de los procesos y
criterios aplicados, para ver como actuaron o como se desarrollaron frente a esta
situación de riesgos determinadas anteriormente.
Garantizar la continuidad de las operaciones de los elementos considerados
Críticos que componen los Sistemas de Información.
Definir acciones y procedimientos a ejecutar en caso de fallas de los
Elementos que componen un Sistema de Información.

D) Hemos de aplicar el Business Continuity Plan, ya que contiene el DRP y esto

nos permite poder recuperar cualquier tipo de información que se pierda, ya que
una contingencia inhabilite nuestras barreras y tengamos alguna perdida. Aparte,
este tipo de plan es adecuado, cuando hay una gran rotación de personal dentro
de una empresa, ya que las este plan previene antes de que ocurra la
contingencia, durante y después, por lo cual siempre ha de haber un respaldo y
siempre va a estar alerta frente a cualquier tipo de error que ocurra en la empresa,
por algún miembro nuevo, que cree problemas.