Plan De Seguridad Informtica

CAPITULO I

Plan de Seguridad Informtico 1.1 DESCRIPCION DE LA ORGANIZACION

1.1.1 RESEA HISTORICA

En donde hoy se asienta el cantn Paute se cree que antes de la llegada de los incas, se asent una poblacin de artesanos y comerciantes especializados en confeccionar artculos de cristal de roca y tejidos de lana que desarrollaron un sistema de "intercambio a larga distancia".

Posteriormente se cree que fue zona de intercambio cultural y comercial de caaris, shuaras, colorados y cayapas. Esto lo demuestra a travs de nombres como Cutilcay, Chicti, Amaluza, Buln, Guachapala, Cabug, Cobshal, Guaraynag.

Los Incas estuvieron en la zona pocos aos hasta la llega de los espaoles. En el siglo XVI, durante la poca de la conquista europea, se inici la entrega de solares a los espaoles en la localidad de Paute, hasta arrebatar toda la tierra a los naturales iniciando un cambio en las relaciones entre pobladores.

En 1862, se abri una va al oriente bordeando el ro Paute que servira para el trnsito de los misioneros y la extraccin de cascarilla y madera. Con la extraccin de la cascarilla, Paute vivi una etapa de auge econmico, el centro urbano se pobl de forasteros que vendan sus servicios. Durante esta etapa se iniciaron los sembros de caa de azcar y separndose de Gualaceo fue formado un nuevo cantn.

El auge, sin embargo, fue pasajero, en 1892, y entraron en una crisis que estuvo presente hasta mediados del siglo XX cuando las haciendas cacolas fueron lotizadas y vendidas al mejor postor. La venta atrajo compradores de diverso origen que se asentaron en las laderas y formaron los pueblos existentes en la actualidad.

Una nueva oleada de personas, muchas de las cuales se asentaron en el cantn y un nuevo, aunque igualmente efmero perodo de bonanza, trajo la construccin de la presa Daniel Palacios en Amaluza en la dcada de los 60.

-5-

Plan De Seguridad Informtica

Los cambios peridicos en la economa y la composicin de la poblacin de Paute no se detienen, la sustitucin de los sembros de caa de azcar por flores, influye en la economa local y atrae trabajadores de fuera del cantn.

Entre los meses de marzo y mayo de 1993 el cerro Tamuga se desplom, represando los ros Cuenca y Jadn. El dique formado se rompi causando grandes prdidas y destrozos en una sucesin de hechos que obligaron a la poblacin a encontrar nuevas certezas, y grandes muestras de solidaridad.

Los Retos

La historia de Paute no es ms que el recuento de numerosos retos que debi sortear la poblacin, hasta llegar a la actualidad donde la Alcalda al frente de Hellioth Trelles junto con el trabajo ferviente de la poblacin pautea, tienden a potenciar el camino de unin natural entre sierra y oriente, unir los asentamientos dispersos para potenciar sus esfuerzos, enfrentar el fenmeno de la migracin que aleja a los mejores hijos de dichas tierras, aprovechar la apertura al mundo que genera esta migracin, mitigar los impactos culturales causados por el mismo fenmeno, en definitiva, enfrentar el futuro con todas las fortalezas y debilidades existentes.

Plan De Seguridad Informtica

1.1.2 MISION, VISION Y OBJETIVOS

Es fundamental que el Municipio redacte la misin, visin y objetivos. De manera que con la misin se describa en forma clara y concisa el propsito o razn que justifica la existencia de esta entidad a travs de responder a las preguntas Qu somos o cul es nuestro fin? Quines son nuestros clientes, o a qu parte de la sociedad respondemos?; Qu necesidades o demandas debemos satisfacer de esa sociedad? Con la visin podemos definir hacia donde queremos llegar como

organizacin y hacia donde est encaminado el trabajo municipal. Y con los objetivos describir las metas ms importantes para la Municipalidad.

1.1.3 DATOS GENERALES DEL CANTON PAUTE:

Altitud: Temperatura: Habitantes: Distancia a cuenca: Ciudades cercanas:

2.30 msnm. Variable entre 15 C a 26 C. 25.000 42. Kilmetros Guachapala, Sevilla de oro, El Pan, Gualaceo, Chordeleg, Sgsig, Cuenca 26 de febrero Cantonizacin y 24 de diciembre pase del nio Fiestas parroquiales Tabla 1
MUNICIPALIDAD DE PAUTE Alcalde: Helioth Trelles Mndez

Festividades:

CANTON PAUTE Cabecera Cantonal: Paute Superficie: 267.2 km2 Poblacin:

Urbana: 6,235 Rural: 19.368 % Crecimiento anual: 0.6

Tabla 2

Plan De Seguridad Informtica

1.1.4 UBICACIN: El cantn se encuentra en el corredor Nor-Oriental de la provincia del Azuay, Limita al Norte con Caar, al Sur con Gualaceo, al Este los cantones El Pan y Sevilla de Oro y al Oeste con Caar, fue creado el 26 de febrero de 1860, actualmente est formado por las parroquias, Chicn, El Cabo, San Cristbal, Buln, Dug-dug, Tomebamba, Guaraynag. 53 comunidades parroquiales y 6 barrios urbanos.

Plan De Seguridad Informtica

1.1.5 ESTRUCTURA ORGANIZACIONAL 1.1.5.1 Organigrama de la I. Municipalidad de Paute

Comisiones Especiales CONCEJO Comisiones Permanentes

ALCALDE

Asesora Jurdica

Dpto. Justicia Polica y Vigilancia Comisara

Auditoria Interna Terminal Terrestre Camal Municipal Mercados

Secretara del Concejo Documentacin y Archivo

Direccin Administrativa Jefatura de Personal

Direccin Financiera Tesorera

Direccin De Cultura Biblioteca

Direccin Gestin Ambiental Recoleccin de Basura

Direccin Planificacin Jefatura de Planificacin

Direccin OO. PP. A. Potable Alcantarill.

Informtica

Contabilidad

Otros Serv. Sociales

Aseo de Calles Desechos Slidos

Avalos y Catastros

Parques y Jardines

Jefatura de Compras Jefatura de Bodega Servicios Generales

Rentas

Figura 1 Fuente: Ing. Marco Cordero. Director Administrativo de la I. Municipalidad de Paute

Plan De Seguridad Informtica

1.1.5.2 ORGANIZACIN DEL REA DE SEGURIDAD INFORMTICA

El Municipio cuenta con un Centro de Cmputo, el cual se encuentra estructurado en una mnima parte y, es el encargado del rea informtica, se encuentra en una fase inicial, en proceso de implantacin del nuevo sistema unificado, existe solo una persona encargada del centro de cmputo que es Alejandro Chuquiralao egresado de la UNITA, el cual no tiene nombramiento oficial, sino est contratado como auxiliar. La implantacin de la red fue contratada a la empresa LogiCo. Y el desarrollo del Sistema unificado a la empresa SINET

No se ha desarrollado documentacin formal como es la definicin de polticas y procedimientos en lo que respecta a seguridad informtica. Se ha determinado que no existe una clasificacin de Seguridad de los activos de informacin. El sistema desarrollado por SINET contiene algunos controles sobre

los accesos de los usuarios. Sin embargo estos controles no obedecen a una definicin previa de polticas de seguridad ni de una evaluacin de riesgos de seguridad de la informacin a nivel de todo el Municipio, sino ms bien a polticas en la forma de desarrollar el sistema establecidas por la empresa SINET desarrolladora del sistema.

El encargado del centro de cmputo tiene la misin de apoyar en la automatizacin de la informacin y de los sistemas de trabajo para la optimizacin de los servicios. Entre las actividades y responsabilidades que debe desempear se encuentran:

Actualizar versiones de los sistemas informticos existentes en la municipalidad.

Evaluar peridicamente su ejecucin; proponiendo planes para el desarrollo de la informtica de la institucin.

Asistir tcnicamente a los funcionarios y empleados en el manejo y uso de programas o paquetes computacionales y elaborar el plan de capacitacin informtica.

Remitir informes peridicos sobre avances, resultados y actividades de la dependencia, a la Direccin Administrativa.

10

Plan De Seguridad Informtica

Planear, organizar, dirigir y controlar las actividades de la dependencia bajo su cargo.

Cumplir con todas las dems funciones afines que por su naturaleza y por requerimientos del servicio le asigne autoridad superior. Es el que realiza la administracin de los accesos al sistema, creacin y

eliminacin de usuarios, verificacin de perfiles en las aplicaciones. Tiene conocimiento del direccionamiento existente en la red, y realiza algunas funciones de administracin de la red, y es el encargado de la administracin de la base de datos. Es el nico que tiene privilegio de administrador.

Tambin ser el encargado de administrar la seguridad de informacin, de revisar los archivos de auditora que se generarn de las operaciones que realicen los usuarios sobre el sistema, para poder identificar responsabilidades al momento que se den malos manejos de la informacin.

Usuario: Las responsabilidades de los que usan la informacin del Municipio como parte de su trabajo diario denominados usuarios finales son:

Mantener la confidencialidad de las contraseas de aplicaciones y sistemas Reportar supuestas violaciones de la seguridad de informacin. Asegurarse de ingresar informacin adecuada a los sistemas Utilizar la informacin del Banco nicamente para los propsitos autorizados.

Propietarios de Informacin: Los propietarios de informacin como jefes de departamento son responsables de la informacin que se genera y se utiliza en las operaciones de su departamento. Existe una relacin entre estos jefes y el encargado del centro de cmputo para asignar niveles de acceso a la informacin. As tambin realizar una verificacin peridica de dichos accesos. Adems debe verificar peridicamente la integridad y coherencia de la informacin.

11

Plan De Seguridad Informtica

1.1.5.3 ORGANIZACIN DEL REA DE SEGURIDAD INFORMTICA PROPUESTA

Debido a que no existe un departamento de sistemas implantado completamente sino solamente una persona encargada de varias cosas tales como: administrador de red, administrador de aplicaciones y otras operaciones que se realizan con la informacin; y que la informacin que se maneja en el municipio se encuentra en una situacin crtica por que anteriormente se manejaba varios sistemas para realizar las distintas operaciones de cada departamento del municipio.

Es necesario que el centro de cmputo se estructure de manera adecuada debido a que ste se encargar de elaborar un Plan Maestro de Sistemas para permitir un mejor manejo y tratamiento de la informacin, implementar toda la estructura de hardware y equipos necesarios para el mejor desempeo del municipio y as mismo ser el encargado de probar el software a utilizar.

En la siguiente figura se mostrar el organigrama propuesto para el Departamento de Sistemas de la Ilustre Municipalidad de Paute ADMINISTRADOR DE SISTEMAS (Base de Datos)

ADMINISTRADOR DE REDES

SOPORTE Y MANTENIMIENTO Figura 2 Fuente: Las Autoras

WEBMASTER PORTAL

12

Plan De Seguridad Informtica

1.2 EVALUACION DE LA SEGURIDAD LOGICA DE MUNICIPALIDAD DE PAUTE

LA ILUSTRE

1.2.1 Autenticacin

Se permite identificar a las entidades que intentan acceder tanto al sistema operativo como para el sistema unificado desarrollado por SINET, esto se lo hace mediante un nombre de usuario y contrasea, con lo que se consigue autenticar que esa persona es quien dice ser realmente. Por lo tanto el mtodo de autenticacin es en funcin de algo que el usuario conoce (usuario y contrasea).

Este modelo de autenticacin es el ms bsico, basndonos en que cuando una de las partes desea autenticarse ante otra se limita a mostrarle su conocimiento de esa clave comn, y si sta es correcta se otorga el acceso a un recurso. Esta aproximacin es la ms vulnerable a todo tipo de ataques, pero tambin la ms barata. Basta con que una de las partes no mantenga la contrasea en secreto para que toda la seguridad del modelo se pierda.

Con respecto a la aplicacin desarrollada por SINET, el nmero de intentos que puede digitar la contrasea la asigna el administrador, por lo general es de 3 intentos. En la pantalla de inicio se muestra en forma valos negros cuando el usuario digita su contrasea. En caso de que los tres intentos hayan sido fallidos se procede a cerrar la aplicacin y deber volver a ejecutarla. No se registra en ningn medio los intentos de accesos invlidos. El usuario deber volver a ejecutar la aplicacin. En el caso del sistema operativo se lo hace con la pantalla de autenticacin del SO Windows XP cuando se inicia una cuenta.

Para que este mtodo de autenticacin sea efectivo es necesario que las claves sean seguras, deberan ser complejas pero no llegando al lmite de que el usuario no lo pueda recordar y tenga que escribirlo, y que fcilmente la termine escribiendo y mantenindola junto a documentos personales o pegados en el CPU o en la pantalla del PC. Se comprob que el administrador asigna claves, pero que estas no cumplen con ninguno de los criterio para que una clave sea segura, la clave debe ser de uno a diez caracteres y que el que las asignaba contena un identificador del departamento 13

Plan De Seguridad Informtica

por ejemplo del departamento de avalos y catastros deba ser ava y a continuacin un identificador. Por otro lado se comprob que la clave del administrador era muy insegura pues contena un solo carcter.

No existen tiempo de duracin de una contrasea, si el usuario desea cambiarla tiene que solicitar al administrador en caso de que esta operacin no le est permitida.

El usuario puede estar inactivo dentro del sistema de forma indefinida. Las restricciones horarias se reducen a los horarios de oficina en los que funciona el Municipio, es decir de ocho a doce y de una a cinco de la tarde. Un punto importante a acotar es que al medio da los usuarios dejan abierta la sesin del SO, y

posiblemente lo podran hacer con el sistema unificado, por lo que si se irrumpe la seguridad fsica del establecimiento se podra tener acceso a todos los recursos.

Con respecto a la toma de vacaciones por parte de los usuarios, las cuentas se siguen manteniendo intactas, hasta el regreso del usuario.

Cuando se realizan despidos, primero se le informa al usuario y luego el jefe de personal informa al centro de cmputo sobre el despido para que se realice el bloqueo de la cuenta, y se guarda un registro de esta operacin.

El sistema no informa al usuario del nivel de seguridad que contiene su clave, lo cual dificulta el trabajo, pues el administrador no puede verificar que la contrasea cumpla con las condiciones mnimas definidas para generar su clave. No existen claves por defecto para los usuarios. Tambin se comprob que puede ingresar la misma contrasea para usuarios diferentes.

El administrador puede autenticarse desde cualquier estacin de trabajo siempre y cuando haya definido esta opcin en la administracin del sistema. Usamos un Software sniffer de libre distribucin para verificar si las claves que se envan en el sistema mediante la red estn en texto plano o si estn encriptadas. Y lo que se descubri es que se puede capturar tanto los nombres de 14

Plan De Seguridad Informtica

usuario como las contraseas, y se comprob que la contrasea se enva en texto plano.

1.2.2 Autorizacin.

El control de acceso al sistema no se basa en los perfiles de grupos de usuarios y la asignacin o denegacin de permisos a los mismos, sino ms bien en perfiles de usuarios individuales. Estos usuarios se generan en concordancia con las reas de la Ilustre Municipalidad de Paute y las tareas que tienen que cumplir dentro de la misma, y es el encargado del Centro de Cmputo quien da la asignacin de permisos a sus usuarios, cada usuario del sistema con acceso al sistema informtico cuenta con un usuario y contrasea individual aunque pertenezca al mismo departamento.

La creacin de nuevos usuarios se lo maneja directamente desde la administracin del sistema en el que solamente tiene acceso el administrador encargado de esta rea, el procedimiento que se sigue es que inicialmente se debe registrar en el sistema una estacin de trabajo nicamente pueden ser escogidas las mquinas existentes en la red interna actual y luego crear el usuario con su respectiva clave y los permisos para su acceso, es imprescindible que sea activado caso contrario no tendr acceso.

La nica forma de acceso al sistema se lo puede realizar desde un Terminal asignado caso contrario no se podr ingresar aun conociendo el usuario y contrasea.

Se manejan varias categoras de usuarios las cuales son:

Administrador.- se tiene dos tipos el administrador del sistema el cual tiene acceso completo a todo el sistema sin restriccin alguna y el administrador del mdulo el que los permisos asignados son solamente los necesarios para el cumplimiento de su trabajo.

Consulta.- solo visualizacin de datos del sistema. Digitador.- solamente pueden ingresar datos al sistema. Normal ( contiene las dos anteriores)

15

Plan De Seguridad Informtica

El sistema informtico est compuesto por una gran cantidad mdulos diferentes, donde cada uno de ellos es un programa en s mismo. De esta manera cada usuario del sistema, segn los permisos al que pertenece en la organizacin, dispone de los accesos directos a los programas que corresponden a su rea. As, los usuarios solo pueden interactuar con los datos a los que dichos mdulos les permiten acceder.

En el sistema informtico se maneja control de acceso que se utiliza para identificar los tipos de permiso que tiene cada usuario con respecto a los datos. Mediante esta lista nos permite identificar qu datos puede modificar cada usuario para que el usuario pueda realizar tareas delicadas como creacin, modificacin y eliminacin de algn componente de informacin del sistema se puede autorizar su ingreso mediante claves asignadas por el administrador del sistema.

No se posee ninguna medida para realizar una clasificacin de informacin mas bien cada usuario es responsable de resguardar sus datos.

16

Plan De Seguridad Informtica

1.2.3 Auditora

En el sistema existe un archivo que permite desarrollar una auditoria, pero no contiene informacin completa debido a que en ella se registran algunos eventos que realizan los distintos usuarios que tienen acceso al sistema tales como terminal, usuario, empresa, sucursal, mdulo, operacin, mquina.

Debido a que no se han realizado auditorias informticas antes, no se cuenta con un registro de actividades ilcitas que podran haberse suscitado. Dentro de las operaciones podemos decir que no estn contempladas todas tales como intentos fallidos de acceso, qu se est modificando, solo se almacena operaciones tales como modificacin, ingreso, salir.

Al tener el reporte para poder visualizar las operaciones que se han realizado, quien las ha realizado, y a que hora se han realizado nos ayudan a resolver en parte los distintos problemas que se tengan en el Ilustre Municipio de Paute si se llegarn a dar violaciones de seguridad y saber sobre que persona recae la responsabilidad.

17

Plan De Seguridad Informtica

1.2.4 SEGREGACION DE FUNCIONES

El encargado del centro de cmputo tiene la misin de apoyar en la automatizacin de la informacin y de los sistemas de trabajo para la optimizacin de los servicios.

Entre las actividades y responsabilidades que debe desempear se encuentran:

Actualizar versiones de los sistemas informticos existentes en la municipalidad.

Evaluar peridicamente su ejecucin; proponiendo planes para el desarrollo de la informtica de la institucin.

Asistir tcnicamente a los funcionarios y empleados en el manejo y uso de programas o paquetes computacionales y elaborar el plan de capacitacin informtica.

Remitir informes peridicos sobre avances, resultados y actividades de la dependencia, a la Direccin Administrativa.

Planear, organizar, dirigir y controlar las actividades de la dependencia bajo su cargo.

Cumplir con todas las dems funciones afines que por su naturaleza y por requerimientos del servicio le asigne autoridad superior. Es el que realiza la administracin de los accesos al sistema, creacin y

eliminacin de usuarios, verificacin de perfiles en las aplicaciones. Tiene conocimiento del direccionamiento existente en la red, y realiza algunas funciones de administracin de la red, y es el encargado de la administracin de la base de datos. Es el nico que tiene privilegio de administrador.

Tambin ser el encargado de administrar la seguridad de informacin, de revisar los archivos de auditora que se generarn de las operaciones que realicen los usuarios sobre el sistema, para poder identificar responsabilidades al momento que se den malos manejos de la informacin.

18

Plan De Seguridad Informtica

Usuario:

Las responsabilidades de los que usan la informacin del Municipio como parte de su trabajo diario denominados usuarios finales son:

Mantener la confidencialidad de las contraseas de aplicaciones y sistemas Reportar supuestas violaciones de la seguridad de informacin. Asegurarse de ingresar informacin adecuada a los sistemas Utilizar la informacin del Municipio nicamente para los propsitos autorizados

Propietarios de Informacin:

Los propietarios de informacin como jefes de departamento son responsables de la informacin que se genera y se utiliza en las operaciones de su departamento. Existe una relacin entre estos jefes y el encargado del centro de cmputo para asignar niveles de acceso a la informacin. As tambin realizar una verificacin peridica de dichos accesos. Adems debe verificar peridicamente la integridad y coherencia de la informacin.

1.3 EVALUACION DE LA SEGURIDAD EN LAS COMUNICACIONES DE LA I. MUNICIPALIDAD DE PAUTE

1.3.1 TOPOLOGIA DE RED

La Municipalidad cuenta con una red de rea local la cual permite la interconexin de los computadores y perifricos, que se encuentran distribuidos en un nico edificio para compartir recursos e intercambiar datos y aplicaciones. Incluye tanto el hardware como el software. Estos componentes se encuentran de la siguiente manera:

19

Plan De Seguridad Informtica

PLANTA BAJA MUNICIPIO DE PAUTE

DIRECCION DE PLANIFICACION

DIRECCION DE OBRAS PUBLICAS

JEFATURA DE AGUA POTABLE BIBLIOTECA

Arriba

9,1m

2,2m

JEFE DE PERSONAL

DIRECCION ADMINISTRATIVA

BAOS

RECAUDACIONES Y TESORERIA JEFATURA DE AVALUOS Y CATASTROS

19,1m CANALETA UTP Cat. 6

Figura 3 Fuente: Las Autoras

20

Plan De Seguridad Informtica

PLANTA ALTA MUNICIPIO DE PAUTE

SALN DE SESIONES

ALCALDIA DIRECCIN FINANCIERA

Otros 24 m cuadr.

PBX

Espacio vaco

Arriba

19,9m

COMISARA

ASESORIA JURIDICA

BAOS

24 U 2U 2U

CENTRO DE COMPUTO

PROYECTOS

SALN DE USO MLTIPLE

DIFUSION CULTURAL INTERNET

19,1m CANALETA UTP Cat. 6

Figura 4 Fuente: Las Autoras

21

19,9m

Plan De Seguridad Informtica

La Topologa de Red hace referencia a la forma de interconexin entre los dispositivos de red. Tenemos dos tipos de topologa:

La topologa fsica, hace referencia a la disposicin fsica actual de la red, representando los nodos que se encuentran conectados, la implementada en el Municipio de Paute es la de Estrella extendida ya que conecta estrellas individuales entre s mediante la conexin de switches. Tiene la ventaja de que puede extender el alcance y la cobertura de la red.

La topologa lgica de la red: Describe el mtodo que se usa para comunicarse con los dems nodos, que ruta toman los datos de la red entre los diferentes nodos de la red. La topologa usada es broadcast ya que cada host enva sus datos hacia todos los dems host del medio dentro de la red, se usa Ethernet.

Hemos usado el sniffer Ethereal, para verificar la conectividad en la red, como forma de comprobar que si se puede violar la seguridad.

1.3.2 COMPONENTES DE RED

Servidor: El servidor es aquel computador que va a compartir sus recursos hardware y software con los dems equipos de la red. En este caso se ha usado una PC normal y se ha implantado un servidor sobre el sistema operativo Windows XP, lo cual no es ptimo puesto que este sistema operativo no brinda caractersticas esenciales como lo hara un Windows Server que tiene mayores prestaciones y permite una administracin de la red ms adecuada.

Estaciones de trabajo: Los computadores que toman el papel de estaciones de trabajo aprovechan o tienen a su disposicin los recursos que ofrece la red as como los servicios que proporciona el Servidor al que pueden acceder.

Tarjeta de red: Tambin se denominan NIC (Network Interface Card). Bsicamente realiza la funcin de intermediario entre el computador y la red de comunicacin. En ella se encuentran grabados los protocolos de

22

Plan De Seguridad Informtica

comunicacin de la red. Aunque algunos equipos en el municipio disponen de dos tarjetas para su conexin a internet.

El medio: Constituido por el cableado y los conectores que enlazan los componentes de la red. El medio usado cable de par trenzado categora 5E. Y dispositivos constituidos por switch 3com y Advantek,

No existe documentacin detallada sobre diagramas topolgicos de la red, ni sobre tipos de vnculos, existen un diagrama fsico sobre la ubicacin de los nodos pero no est actualizada. Adems existe documentacin sobre el direccionamiento implantado en la red.

1.3.3 CONEXIONES EXTERNAS

Su salida al exterior es a travs de una conexin de 32 Kbps, suministrada por un ISP-Proveedor de Servicios de Internet- (TELCONET). Este servidor no se encuentra en el edificio correspondiente a la I. Municipalidad de Paute y tampoco es administrada por personal de la entidad mencionada anteriormente, su ubicacin es en un caf net del mismo cantn y su administracin est a cargo del propietario, el cafenet est ubicado en la misma manzana del Municipio por lo que mediante su red proporciona un punto de red al Municipio.

La conexin a Internet es proporcionada a cuatro computadores de la municipalidad: dos computadores de la Direccin Administrativa, Difusin Cultural y Departamento Financiero , el servicio de Internet se lo realiza mediante tarjetas de red con la utilizacin de un switch que se encuentra dentro del espacio fsico del municipio, sus caractersticas son las siguientes:

SWITCH ADVANTEK FAST ETHERNET. 16 PUERTOS RJ45 100 MB

23

Plan De Seguridad Informtica

1.3.4 CONFIGURACION DE LA RED

Todas las mquinas estn conectadas a la red, con lo cual desde cualquiera de ellas se pueden acceder los recursos de las otras excepto el servidor de aplicaciones, pero no todas tienen acceso a Internet y al nuevo Sistema de Gestin de la Municipalidad de Paute.

El direccionamiento utilizado en la red interna del Municipio de Paute es el privado, la direccin de red es 192.168.10.0 con un rango de 192.168.10.1 192.168.10.62 para la direccin de red inicial y final respectivamente, con mascara de subred es 255.255.255.192.

1.3.5 CORREO ELECTRONICO

No existe correo electrnico interno, sino se usa las cuentas personales de correo externo, con lo cual tambin se puede afectar la seguridad al descargar spam, o correo que contiene virus. Se usan herramientas para brindar proteccin contra ataques por correo electrnico. Se encuentran configurados por defecto, no se han establecido polticas o reglas para configurarlo. No se ha puesto en consideracin que los mensajes de correo electrnico dentro del trabajo deben ser solo documentos formales, ni se dan lineamientos referentes al uso inapropiado del lenguaje ni del correo como por ejemplo cadenas de mensajes.

24

Plan De Seguridad Informtica

1.3.6 ANTIVIRUS En el Ilustre Municipio de Paute si existen problemas con virus, pero estos no son muy graves debido a que se han podido controlar por medio del antivirus Avast. Existe una mquina que est localizada en Planificacin que no est conectada a la red debido a que tiene virus.

1.3.6.1 Herramientas

Avast

Avast es un paquete completamente equipado con un antivirus diseado. Avast es la proteccin ms poderosa para luchar contra las infecciones vricas en el servidor.

El kernel de Avast combina una gran capacidad de deteccin con el mximo rendimiento. Se puede esperar un 100% de deteccin en los virus, y una excelente deteccin de troyanos.

Caractersticas

Kernel Antivirus

100% deteccin de virus Gran rendimiento e integracin con el sistema Requisitos de memoria mnimos Certificado ICSA

Interfaz De Usuario

Test de memoria al inicio de la aplicacin Interfaz simple de usuario muy intuitiva Interfaz avanzada con apariencia tipo Outlook Testeo de discos enteros o directorios especificados Definicin y ejecucin de tareas programadas Historial de los escaneos 25

Plan De Seguridad Informtica

Enciclopedia de virus Visor de logs Soporte de skins para cambiar la apariencia Integracin en el men contextual Salvapantallas con escaneo antivirus Escaneo programado al inicio Escaneo desde la lnea de comandos

Actualizaciones

Actualizaciones incrementales garantizan bajo trfico Actualizaciones completamente automticas Actualizaciones PUSH se cargan nada ms son publicadas.

Proteccin Residente

La proteccin estndar supervisa los ficheros de sistema Optimizada para rapidez en los procesos Adaptada a mquina con mltiples CPUs Soporte para servicios de terminal Bloqueo de scripts

Reparacin

Capacidad de reparacin directa (especialmente virus de macro) Reparacin de ficheros usando Virus Recovery Database (VRDB) generada automticamente

26

Plan De Seguridad Informtica

1.3.7 FIREWALL

El firewall que existe en la empresa es un servicio del Sistema Operativo Windows XP que proporciona una lnea de defensa contra quienes pudieran intentar tener acceso a su equipo desde fuera de Firewall de Windows sin su permiso.

Este firewall se est ejecutando en equipos Windows XP Service Pack 2 (SP2), en el cual est activado de forma predeterminada y los computadores que aun tienen Service Pack 1 (SP1) fueron activadas manualmente al igual que los equipos que no lo tenan activado.

Los motivos que se vieron convenientes para realizar su activacin fueron las siguientes:

Ayuda a evitar que virus y gusanos informticos lleguen a un equipo. Pide el permiso del usuario para bloquear o desbloquear ciertas solicitudes de conexin. Crea un registro de seguridad, si desea tener uno, que almacene los intentos correctos y fallidos de conectarse a un equipo.

1.3.8 ATAQUES QUE HA SUFRIDO LA RED

No han existido accesos no permitidos por parte de los usuarios, o al menos no existe un registro que indique que haya sucedido esto. Los mayores problemas que han tenido es que se han conectado medios removibles que contienen archivos con virus, y que circularon por la red y se vieron afectados muchos equipos, hasta el punto que se tuvo que formatear algunos de ellos.

27

Plan De Seguridad Informtica

13.9 HERRAMIENTA NETMEETING

El Municipio tiene NetMeeting que viene incluido en Windows XP, que brinda las siguientes caractersticas de seguridad:

1. Encriptacin de datos. 2. Autenticacin de usuarios. 3. Proteccin por password.

Y posee las siguientes utilidades:

Conferencias de Audio y Vdeo: Se puede hablar y ver a quien desee por la red o por Internet.

Pizarra: Permite intercambiar informacin grfica con otras personas. Chat: Adems de audio, se puede mantener conversaciones utilizando texto. Interesante cuando la calidad de la conexin no es buena y el audio/vdeo es deficiente.

Directorio Internet: El Directorio Internet de Microsoft es un sitio Web mantenido por Microsoft en el que se puede localizar a otras personas y llamarlas utilizando NetMeeting. Si se desea conocer gente, se puede utilizar una lista de servidores ILS.

Transferencia de Ficheros: Permite enviar ficheros mientras se realiza una conferencia de audio/vdeo.

Compartir Aplicaciones: Se puede compartir mltiples aplicaciones mientras se realiza una conferencia, manteniendo siempre el control sobre el uso de dichas aplicaciones.

Compartir Escritorio: Puede controlar remotamente otro PC, funcin poco conocida pero muy interesante.

Seguridad: Usa tres tipos seguridad para proteger la privacidad.

28

Plan De Seguridad Informtica

1.4 EVALUACIN DE LA SEGURIDAD DE LAS APLICACIONES

1.4.1 SOFTWARE

1.4.1.1 SISTEMA OPERATIVO

El sistema operativo que se utiliza tanto para el servidor como para las distintas mquinas que existen es Windows XP que presenta las siguientes caractersticas:

Secuencias rpidas de inicio y de hibernacin. Capacidad del sistema operativo de desconectar un dispositivo externo sin necesidad de reiniciar.

eficacia y fiabilidad. Una interfaz de uso ms fcil, incluyendo herramientas para el desarrollo de temas de escritorio.

Uso de varias cuentas, que permite un usuario guarde el estado actual y aplicaciones abiertos en su escritorio y permita que otro usuario abra una sesin sin perder esa informacin.

ClearType, diseado para mejorar legibilidad del texto encendido en pantallas de cristal liquido (LCD) y monitores similares.

Escritorio Remoto, que permite a los usuarios abrir una sesin con una computadora que funciona con Windows XP a travs de una red o Internet, teniendo acceso a sus usos, archivos, impresoras, y dispositivos

Soporte para la mayora de mdems DSL y conexiones wireless, as como el establecimiento de una red FireWire.

Comprobador de controladores de dispositivos Escenarios de reinicio reducidos Proteccin de cdigos Soporte colateral de DLL Memoria escalable y soporte de procesador Sistema de cifrado de archivos (EFS) con soporte para varios usuarios Seguridad IP (IPSec) Soporte para tarjetas inteligentes 29

Plan De Seguridad Informtica

Configuracin avanzada e interfaz de energa (ACPI) NLA (Network Location Awareness) Consola de recuperacin Servidor de seguridad de conexin a Internet Puente de red Conexin compartida a Internet (ICS) Soporte de red "de punto a punto" Un centro de seguridad, para comprobar el riesgo al que est sometido Windows XP.

Interfaz del Cortafuegos de Windows XP, adems de ser activado por defecto.

Un mejor soporte de WiFi y Bluetooth. Incorporacin a Internet Explorer de un bloqueador de popups, la capacidad de bloquear controles ActiveX, el bloqueo de las descargas automticas y un administrador de complementos.

Uso de la tecnologa DEP (Data Execution Prevention o Prevencin de ejecucin de datos) por Hardware o Software (Segn si el Procesador tenga o no soporte para ello).

Opciones de inicio del modo a prueba de fallos Las actualizaciones automticas estn activadas por defecto. El servicio Windows Messenger se desactiva por defecto. Outlook Express bloquea los archivos adjuntos potencialmente peligrosos (.exe o .vbs).

La ventana de Agregar o quitar programas permite mostrar u ocultar las actualizaciones.

Mejoras multimedia como la inclusin del Reproductor de Windows Media 9, DirectX 9.0c, y Windows Movie Maker 2.1.

GDI+. GDI+ (Graphics Device Interface Plus) es la parte de Microsoft Windows.NET que proporciona tipografa, imgenes y Figuras vectoriales en dos dimensiones.

Windows de 64 bits.

En cuanto a la seguridad de este sistema operativo podemos decir que Windows XP ha sido criticado por su susceptibilidad a malware, como virus, 30

Plan De Seguridad Informtica

troyanos o gusanos. Las opciones de seguridad por defecto crean una cuenta del administrador que proporciona el acceso sin restriccin a todo el sistema, incluyendo los puntos vulnerables. Si alguien toma el control de dicha cuenta, casi no existira lmite al control de la computadora, por lo que la seguridad quedara claramente comprometida. Windows, con una cuota de mercado grande, ha sido tradicionalmente un blanco para los creadores de virus. Los agujeros de la seguridad son a menudo invisibles hasta que explotan, haciendo su prevencin un hecho difcil. Microsoft ha indicado que el lanzamiento de actualizaciones para parchear los agujeros de la seguridad es a menudo causa de los crackers que los descubren.

1.4.1.2 SISTEMA INFORMATICO

Sistema de integracin y desarrollo: El sistema fue desarrollado por la empresa

SINET con herramientas Visual Studio .NET utilizando como base de datos MS SQL server 2005 y un entorno de aplicacin distribuida que permitir trabajar en ambiente WEB. Este contiene los siguientes mdulos:

Mdulo Contabilidad Mdulo de Compras Mdulo de Inventarios Mdulo de Bancos Mdulo de Manejo de Trmites Mdulo de Avalos y Catastros Mdulo de Recaudacin Facturacin Registro de Recursos Humanos Flujo de Trabajo Reportes y Figuras Administrador de Usuarios, Respaldo y Auditora

A Continuacin describimos el mdulo de Administrador de Usuarios, Respaldo y Auditora debido a su importancia para este estudio.

31

Plan De Seguridad Informtica

Modulo de Administracin

Para poder ingresar al Sistema el usuario deber autentificarse mediante un nombre y una clave, los cuales sern asignados por el administrador del sistema

Figura 5 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

32

Plan De Seguridad Informtica

Si los datos son correctos se presenta el men Principal caso contrario se le solicita ingresar nuevamente los datos.

Figura 6 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

BOTONES DE COMANDO El siguiente men le ayudar en todo el sistema Abrir un mdulo Crear Nueva transaccin Guardar los cambios Modificar datos que ya se han guardado Borrar o Anular alguna transaccin Deshacer los cambios efectuados Abrir la Calculadora Ir al primer registro Ir al anterior registro Ir al siguiente registro Ir al ltimo registro

33

Plan De Seguridad Informtica

OPCIONES DEL MENU TRANSACCIONES

Figura 7 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

Estaciones de trabajo: formulario que le permite registrar la estacin o el computador desde cual se va a poder ingresar al sistema.

Figura 8 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

34

Plan De Seguridad Informtica

Creacin de Empresas: este formulario le permite crear nuevas empresas, para lo cual el administrador tendr que escoger el botn de comando (nuevo), e ir ingresando toda la informacin necesaria para la creacin de dicha empresa, en este formulario el administrador tendr que llenar todos los campos caso contrario el sistema no le permitir guardar los datos anteriormente ingresados.

Figura 9 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

35

Plan De Seguridad Informtica

Creacin de Usuarios: formulario que ser modificado nicamente por el administrador del sistema, quien ingresar la informacin de un nuevo usuario, el cual tendr un nombre de usuario y una contrasea para poder acceder al sistema

Figura 10 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

OPCIONES DEL MEN TRANSACCIONES

Figura 11 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

Directorios del Sistema: este formulario debe ser configurado en cada Terminal, ya que en ste se ingresa la ruta de los reportes que se encuentran en el 36

Plan De Seguridad Informtica

servidor, como tambin se da la ruta en donde se va a respaldar la base de datos cada cierto tiempo.

Figura 12 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

Restriccin de Accesos: formulario que ser modificado nicamente por el administrador, ya que en ste se darn los diferentes permisos a cada terminal dependiendo de la funcin que el usuario cumpla en la empresa.

El administrador tendr que escoger la empresa, el nombre del usuario e ir marcando o desmarcando las diferentes opciones que desea que no sean activas en las terminales.

Figura 13 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute Restricciones de Operaciones a los Usuarios: este formulario le permite o no realizar ciertas tareas al usuario tales como crear, modificar o borrar varios tipos 37

Plan De Seguridad Informtica

de transacciones, para que se pueda realizar esta tareas es necesario tener una clave, esta clave tendr que ser entregada por el administrador del sistema.

Figura 14 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

38

Plan De Seguridad Informtica

OPCIONES DEL MENU REPORTES:

Figura 15 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

Reporte de Auditorias del Sistema:

Figura 16 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

39

Plan De Seguridad Informtica

OPCIONES DEL MENU PARAMETROS

Figura 17 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

Directorio de Reportes SQL: Este formulario tendr que ser configurado en todas las terminales, ya que de esta configuracin depender que en el resto de mquinas sea posible ver todos los reportes. La configuracin que deben tener todas las terminales es la ruta correcta de los reportes en el servidor.

Figura 18 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

40

Plan De Seguridad Informtica

Parmetros del Sistema: formulario que le permite crear todos los parmetros que sern usados por el sistema. En este formulario se deber ir creando pases,

provincias y ciudades para establecer ubicaciones de empresas, sucursales, etc. bsicamente es para ir cargando de informacin la base de datos

Figura 19 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

OPCIONES DEL MENU HERRAMIENTAS:

Figura 20 Fuente: Sistema de integracin y desarrollo de la I.M. de Paute

Calculadora: el usuario podr hacer uso de una calculadora cuando l lo estime necesario

41

Plan De Seguridad Informtica

1.4.2 BASE DE DATOS

La base de datos utilizada es SQL Server 2005 la cual se considera ms que un sistema un gestor de Bases de Datos ya que incluye mltiples componentes y servicios que la convierten en una plataforma de aplicaciones corporativas.

1.4.2.1 Componentes:

Integracin entre SQL Server y Common Language Runtime (CLR) Esta nueva caracterstica hace que los desarrolladores de Bases de Datos puedan aprovechar las ventajas de la biblioteca de clases de Microsoft .NET Framework para implementar funcionalidades de servidor. Adems se pueden codificar procedimientos almacenados, funciones y triggers en un lenguaje .NET Framework.

Notificaciones SQL (Service Brokers) Permite enviar notificaciones a los suscriptores cuando se produce un evento. sta funcionalidad es muy til para invalidar cachs o vistas. Las notificaciones son generadas de forma eficiente y enviadas a mltiples tipos de dispositivos.

Mltiples resulsets y transacciones simultneas para conexin Una novedad importante es la de permitir mltiples resulsets abiertos para conexin, el que permite consultar diversos grupos de resultados sin tener que ir a consultar al servidor y sin tener que abrir y cerrar conexiones. Relacionado con este tema encontramos el nuevo modelo transaccional que ofrece, muy similar al de COM+, pero sin COM+. El funcionamiento es sencillo, cuando se abre una TransactionScope toda la conexin que se abra dentro de el ser asociada a la misma transaccin.

42

Plan De Seguridad Informtica

1.4.2.2 Mejoras de seguridad

Podemos agrupar las mejoras en 3 grandes reas:

1. Restricciones de acceso de usuarios al servidor 2. Deshabilitar servicios y restriccin de configuraciones de servicios. 3. Reduccin de la superficie de ataques para las nuevas caractersticas. Tres nuevos niveles de seguridad: Safe, External y Unsafe

1.4.2.3 Tipos de datos

Aparecen nuevos tipos de datos que acaban con las limitaciones del tipo TEXT e IMAGE que tenan problemas de tamao y de actualizacin. Concretamente aparecen los tipos VARCHAR (MAX), NVARCHAR (MAX) y VARBINARY (MAX) que se adaptan al tamao y se pueden actualizar directamente.

1.4.2.4 Tratamiento de errores

Desaparece el acceso a los errores a travs de la variable @@Error, y aparecen bloques TRYCATCH anidables y con nuevas funcionalidades como ERROR_NUMBER, ERROR_MESSAGE, ETC

1.4.2.5 Sistema de bloqueo (Snapshot Isolation)

Nuevo nivel de aislamiento que hace que no haya bloqueos en las lecturas, ya que hace que los lectores lean una versin anterior de los registros. Tiene la ventaja de una lectura ms rpida y sin bloqueos, pero tiene el inconveniente de unas escrituras ms lentas y un tamao de Base de Datos ms grande.

43

Plan De Seguridad Informtica

1.4.2.6 Soporte Nativo de XML (XQUERY)

Da soporte por utilizar un tipo de datos XML para almacenar, validar y consultar informacin en forma XML. Desde un punto de vista no tan tcnico, podemos ver una mejora en la interface del sistema, y un entorno de trabajo muy similar el entorno de trabajo de Visual Studio .NET. 1.4.2.7 Cifrado SQL Server 2005 ofrece 4 alternativas para realizar el cifrado de datos:
x x x x

Passphrase Asymmetric Key Symmetric Key Certificate Key

El motor de base de datos tiene una infraestructura de cifrado jerrquica y administracin de claves. Cada capa se encarga de cifrar a las capas inferiores utilizando unas combinaciones de certificados, claves simtricas y asimtricas. El diagrama que se muestra en el Figura 22 ilustra lo mencionado:

Figura 21 Fuente: Cifrando datos con SQL Server 2005. http://www.microsoft.com/spanish/ msdn/comunidad/mtj.net/voices/MTJ_0010.asp 44

Plan De Seguridad Informtica

1.4.3 CONTROL DE APLICACIONES EN PCs

Se encuentra instalado los diferentes mdulos de acuerdo a como necesiten los usuarios por ejemplo el modulo de recursos humanos lo tendr el departamento de jefatura de personal para con ello poder elaborar y mantener los datos que este necesite.

1.4.4 CONTROLES EN LOS DATOS

Los datos de entrada y salida del sistema poseen ciertos controles en donde se verifica su integridad, exactitud y validez.

Los datos de salida del sistema de la empresa no se restringen de acuerdo a los permisos de acceso.

No se protegen con controles de acceso las carpetas que almacenan archivos de las aplicaciones.

1.5 EVALUACIN DE LA ADMINISTRACIN DEL CENTRO DE PROCESAMIENTO DE DATOS

1.5.1 ADMINISTRACIN DEL CPD

No existe una correcta organizacin y administracin del rea de sistemas debido a que el centro de cmputo se encuentra en proceso de formacin, por lo que sta no se encuentra en capacidad de brindar condiciones generales de operacin que posibiliten un ambiente adecuado de control, aunque se estn realizando unos primeros esfuerzos.

La direccin est a cargo de una persona egresada de la U.N.I.T.A y es l quien deber ponerse al frente, de manera que la experiencia que posea en el manejo de los recursos informticos los aplique, y comprenda los riesgos y problemas relativos a la tecnologa y sistemas de informacin. Es conciente de que es su obligacin y responsabilidad de mantener seguros los sistemas que se operan.

45

Plan De Seguridad Informtica

El administrador es el encargado de reportar al Alcalde o en su efecto al Director Administrativo sobre las actividades crticas en el centro de cmputo. Estos reportes generalmente se realizan a modo de auto proteccin a sus actividades y no son un pedido de ningn directivo de la Ilustre Municipalidad de Paute.

1.5.2 CAPACITACIN

No ha existido capacitacin para el administrador del centro de cmputo, ni siquiera por lo menos con respecto a las tecnologas usadas en el Municipio. Los conocimientos son propios del administrador.

Los usuarios finales han sido capacitados en el uso del software del sistema, pero no sobre el correcto manejo de recursos informticos.

No se ha hecho una capacitacin continua a los empleados que coadyuve a desarrollar y mantener sus conocimientos, competencia, habilidades y concienciacin en materia de seguridad informtica dentro del nivel requerido a fin de lograr un desempeo eficaz.

1.5.3 BACKUP

No se han desarrollado planes formales del departamento de sistemas. Se tienen proyectos a futuro, como es la implementacin de backup para la base de datos.

No se dispone de backups de hardware y de servicios para garantizar la continuidad de los servicios ante alguna contingencia.

Importancia De La Seguridad El Alcalde y autoridades de la I. Municipalidad de Paute estn concientes de que hay que brindarle una atencin importante al rea informtica sin embargo no estn concientes de los niveles que sta tiene y cual debera ser su estructura.

46

Plan De Seguridad Informtica

Mantenimiento

Solicitud de mantenimiento: cada vez que los usuarios necesitan

asesoramiento o servicios del centro de cmputo, se comunican telefnica o personalmente con el administrador explicando su situacin. No queda ninguna constancia de las tareas desarrolladas por los empleados del centro de cmputos, ni de las solicitudes de los usuarios.

Mantenimiento preventivo: en este momento en el centro de cmputo no se

desarrolla ningn mantenimiento preventivo, debido al costo de contratar una persona ms que se dedique a esto.

Clasificacin de datos y hardware: los equipos de la empresa no han sido

clasificados formalmente segn su prioridad.

Etiquetas: no hay procesos para rotular, manipular y dar de baja un equipo,

sus perifricos o los medios de almacenamiento. Las mquinas y dispositivos no se identifican entre ellas aunque hay un inventario de la cantidad de mquinas que existen pero no tiene detalles suficientes.

Instaladores

Los instaladores de las aplicaciones utilizadas en la organizacin se encuentran en sus CDs originales almacenados en el centro de cmputo. Incluso los instaladores de uso ms frecuente, como los del Avast Antivirus o del Acrobat Reader, Microsoft Office estn dentro del departamento de sistemas, todos los programas que se necesiten instalar se ejecutan desde copias de los CDs.

1.5.4 DOCUMENTACIN

Documentacin Del Centro De Cmputo.

En el centro de cmputo existe documentacin sobre:

Nmeros IP de las mquinas y de los switches plasmado en un documento

llamado Plan de Direccionamiento IP.

Figuras de la ubicacin fsica de los equipos de las dos plantas de la

Municipalidad que no est actualizado. 47

Plan De Seguridad Informtica

Inventario de computadores, existe un documento en el que se especifican las

caractersticas principales de los equipos.

Documentacin del desarrollo del sistema. El cual es demasiado general y no

da una idea exacta de la estructura del sistema de gestin municipal. No hay respaldos de ninguno de estos datos, ya que son documentos impresos que se van modificando manualmente. Manuales

Se posee un manual de usuario del sistema, cada mdulo desarrollado posee un manual de usuario para mejorar y facilitar el uso del mismo por medio de los usuarios. Se han desarrollado manuales para el rea de Recaudacin, Agua Potable, Rentas, Avalos y Catastros, Administracin y Gestin, aunque todava no estn estructurados los manuales para la totalidad de los mdulos. Una meta del equipo de desarrollo es modificar los manuales existentes para generar un manual de usuario completo que englobe todo el sistema de la empresa.

Documentacin Del Desarrollo

Existe una carpeta con diagramas generales y documentacin referente a cada mdulo del sistema pero con especificaciones generales de funcionamiento en un lenguaje no tcnico. Estos registros fueron entregados conjuntamente con el sistema

1.6 EVALUACION DE LAS AUDITORIAS Y REVISIONES

No se ha realizado ningn proceso de auditora informtica dentro del Municipio, que permita verificar si se est cumpliendo con un mnimo de seguridad de la informacin. Aunque estas generalmente se realizan en organizaciones que poseen sistemas complejos o de alto Riesgo.

48

Plan De Seguridad Informtica

1.7 EVALUACION DEL PLAN DE CONTINGENCIA Y RECUPERACION DE DESASTRES

No se ha elaborado ningn plan de contingencia ni de recuperacin de desastres.

1.8 ELABORACION DEL INFORME DE DEBILIDADES Y AMENAZAS

1.8.1. DEBILIDADES

No existe fecha de expiracin del password. No hay en la empresa un procedimiento formal para efectuar las bajas de los empleados del sistema. No se lleva a cabo ninguna revisin peridica ni control sobre el buen funcionamiento de las cuentas de los usuarios, ni sobre los permisos que tienen asignados.

Aunque el usuario permanezca un largo perodo de tiempo sin actividad el sistema no ejecuta ninguna accin; ni tampoco el administrador advierte a los usuarios sobre la necesidad de no dejar las mquinas logeadas e inactivas.

Los usuarios del sistema pueden tener abiertos, al mismo tiempo, todos los mens a los que estn autorizados, y varias sesiones del mismo men. No se hacen restricciones en cuanto a la cantidad de sesiones que los usuarios pueden utilizar.

El mantenimiento tcnico especializado externo utiliza la misma cuenta de administrador para hacer modificaciones en los sistemas operativos de los servidores, y una vez finalizado el mantenimiento el administrador del sistema no cambia la contrasea.

Los datos de autenticacin son almacenados y transmitidos sin ningn cifrado. Las contraseas no tienen una longitud mnima requerida por el sistema No se realiza ningn control sobre las cuentas de los usuarios, para comprobar que cambian el password.

49

Plan De Seguridad Informtica

Cuando un usuario olvida su contrasea y se cierra la aplicacin, recurre al administrador, el cual lee el password del usuario, recordndoselo. Pero en ningn momento se lo intima a modificar el password revelado.

Existen carpetas compartidas en las que no se realiza ningn control sobre la criticidad de la informacin expuesta. No se encuentran restringidos los servicios y protocolos que no son necesarios para el funcionamiento del sistema. No hay estndares definidos, no hay procedimientos a seguir ni tampoco documentacin respecto a la instalacin y actualizacin de la configuracin de las PCs y en general documentos auditables del rea informtica.

Para los usuarios no existen restricciones con respecto a la instalacin de programas en sus respectivos puestos de trabajo, ni sobre la configuracin del sistema operativo, ya que estn habilitados los dispositivos externos y algunos disponen de conexin a Internet sin restricciones.

La ventana de comandos del DOS est disponible para todos los usuarios. No existe un plan de desarrollo de sistemas formal, ni se utilizan mtricas durante el ciclo de vida del desarrollo de la aplicacin. Ejemplo: Portal Web. No hay control de acceso fsico. No se realizan controles sobre los dispositivos de hardware instalados en las PCs, una vez que se ha completado la instalacin de algn equipo, el administrador del sistema no realiza chequeos rutinarios o peridicos.

No se han desarrollado planes formales del departamento de sistemas. No hay, en los empleados del municipio, plena conciencia con respecto a la importancia de la seguridad informtica. No existe un inventario donde se documenten todos los sistemas de informacin con sus caractersticas principales. No hay inventarios de los equipos de hardware, ni documentacin con respecto a los equipos de la red fsica, ni de su configuracin. En ningn momento hay consentimiento por parte de los usuarios a que auditen sus actividades en el sistema, ni declaraciones de que conocen las normas de buen uso del sistema.

No se documentan los cambios que se realizan en la configuracin del servidor, ni la fecha de estas modificaciones.

50

Plan De Seguridad Informtica

No existen procedimientos para la realizacin ni la recuperacin de los backups de los datos almacenados en los servidores No hay desarrollados planes de seguridad, ni planes de contingencia ni de recuperacin de desastres. No cuentan con una aplicacin que genere alarmas o avisos cuando ocurre un evento que revista un determinado grado de riesgo. En la empresa no se realizan auditoras, ni rutinas de chequeos de logs. No se generan logs cuando un usuario modifica su password. No poseen un plan de monitorizacin general de la red.

51