UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA FACULTAD DE INGENIERAS CARRERA DE INGENIERA DE SISTEMAS

Trabajo final de grado previo a la obtencin del Ttulo de Ingeniero de Sistemas.

POLTICAS DE SEGURIDAD, PLAN DE CONTINGENCIA Y DISEO DE RED PARA LA ILUSTRE MUNICIPALIDAD DE PAUTE

Autoras: Mara Elizabeth Mora Daz Gloria Viviana Prez Guachichullca

Director: Ing. Germn Parra Gonzles

Cuenca, Febrero 21 del 2008

Los conceptos desarrollados, anlisis, diseos realizados y las conclusiones del presente trabajo, son de exclusiva responsabilidad de las autoras.

Cuenca, Febrero 21 del 2008

Ma. Elizabeth Mora D.

. Gloria V. Prez G.

Certifico que bajo mi direccin el Trabajo final de Grado fue realizado por las alumnas:

Mara Elizabeth Mora Daz Gloria Viviana Prez Guachichullca

Ing. Germn Parra DIRECTOR DE TESIS

INDICE
Prefacio.1 Introduccin..2

CAPITULO I...3 INTRODUCCION A LAS POLITICAS DE SEGURIDAD...4 1.1 Conceptos bsicos de polticas de seguridad4

1.1.1 Informacin...4 1.1.2 Seguridad de la Informacin.4 1.1.3 Poltica de Seguridad5 1.1.3.1 Elementos de una Poltica de Seguridad Informtica...6 1.1.3.2 Parmetros para Establecer Polticas de Seguridad..6 1.1.3.3 Razones que impiden la aplicacin de las Polticas de Seg..7 1.2 Reconocimiento de la Institucin para la......8

1.2.1 Antecedentes.8 1.2.2. Organigrama de La Ilustre Municipalidad de Paute10 1.3 Debilidades..11

1.4 Anlisis de Riesgos de La Ilustre Municipalidad de Paute..13 1.4.1 Riesgos Humanos...13 1.4.2 Desastres Naturales....14 1.5. Polticas de Seguridad para La Ilustre Municipalidad de Paute..17 1.6 Elaboracin de Polticas de Seguridad Informticas..17

1.6.1 Polticas de Seguridad en las Instalaciones del Munici......17 1.6.2 Polticas de Seguridad para Cuentas de Usuario....20 1.6.3 Polticas de Seguridad para Computadores....21 1.6.4 Polticas de Seguridad de Respaldo y Recuperacin......22 1.6.5 Polticas de Seguridad para Internet...23 1.7. Estndares para fijar contraseas y claves de acceso......24

CAPITULO II...26 INTRODUCCION AL PLAN DE CONTINGENCIA..........27

2.1.

Conceptos bsicos de Plan de Contingencia...27

2.1.1 Plan de Contingencia.27 2.1.2. Estadsticas Recientes.28 2.1.3. Metodologa para elaborar un Plan De Contingencia Informtico.29 2.2. Reconocimiento de la Institucin para la elaboracin................29

2.2.1. Evaluacin de Riesgos29 2.2.2. Amenazas....30 2.2.3. Ataques Internos..30 2.3. Plan de Contingencia para La Ilustre Municipalidad de Paute...31

2.3.1. Incendio...33 2.3.2. Corto Circuito o Sobrecarga de Energa.35 2.3.3. Ataques internos en La Ilustre Municipalidad de Paute..36 2.3.4. Robo37 2.3.5. Filtraciones de Agua...38 2.3.6. Errores de Hardware...40 2.3.7. Virus Informticos..40 2.4. 2.5. Problemas de Conectividad de red.....41 Plan de Contingencia para cuidar la Integridad del Personal..42

2.5.1. Acciones antes de la contingencia...42 2.5.2. Acciones durante la contingencia....43 2.5.3. Acciones despus de la contingencia..43 2.5.4. Documentos necesarios previos a las contingencias...43 2.6. Pruebas y Mantenimientos..43

CAPITULO III......45 ANALISIS Y DISEO DE RED PARA LA ILUSTRE MUNIC......46 3.1. 3.1.1 3.1.2 Conceptos de Redes46 Red de Computadoras.....46 Conceptos para Redes LAN....47

3.1.2.1 Red LAN.47 3.1.2.2 Objetivos del diseo LAN...47 3.1.3 Conceptos para Cableado Estructurado.....48

3.1.3.1 Cableado Estructurado48 3.1.3.2 Subsistemas de Cableado Estructurado...48 3.1.4 3.2. 3.2.1 Normas para Cableado Estructurado..50 Anlisis de recursos actuales..53 Subsistemas de Cableado Estructurado en La Municipalidad53

3.2.2 Anlisis Fsico de la Red54 3.2.3. Diseo Fsico actual de la Red56 3.3 Planteamiento del Nuevo Esquema de Red....59

3.3.1 Anlisis de Requerimientos...59 3.4 3.5 3.6 Dispositivos y elementos a utilizar.61 Diseo de Vlans.64 Topologa....66

3.6.1. Topologa Fsica ....66 3.6.2. Topologa Lgica..67 3.7 3.8 3.9 3.10 3.11 Modelo de Diseo Jerrquico..69 Diseo Fsico de la Red..72 Diagrama de Cableado Vertical..75 Esquema de Direccionamiento Lgico...76 Costo de Materiales.80

CONCLUSIONES..82 RECOMENDACIONES.83 ANEXOS....84 Anexo 1...85 Anexo 2...86 Anexo 3...88 Anexo 4...90 Glosario...........92

PREFACIO
El presente documento describe de forma detallada el anlisis que se llevo a cabo para elaborar las Polticas de Seguridad Informtica y un de Plan de Contingencia para la Ilustre Municipalidad de Paute; As mismo, detalla el anlisis fsico de la red que existe actualmente con un nuevo planteamiento para mejorar la seguridad de la misma. Este documento est dirigido al Sr. Alcalde y a la alta administracin encargada de la Seguridad informtica.

INTRODUCCION

La informacin es un recurso que al igual que los otros activos, tienen mucho valor para una Empresa, por lo tanto esta debe ser totalmente protegida. Implementar polticas de seguridad informtica ayuda a evitar amenazas y riesgos que impiden la productividad de la Organizacin, las polticas de seguridad informticas se crean con el fin de garantizar la continuidad de los sistemas de informacin y cumplir con los objetivos planteados por la Institucin.

Es importante recalcar que, los principios de la poltica de seguridad deben ser parte de la cultura organizacional; todo esto con el objetivo de cumplir la confidencialidad, integridad y disponibilidad de la informacin.

La elaboracin de un Plan de Contingencia, permitira suministrar el respaldo necesario en caso de que la poltica falle, este se crea con el objetivo de restaurar el servicio informtico en forma rpida, eficiente, con el menor costo y prdidas posibles. La Ilustre Municipalidad de Paute, es una organizacin que requiere de una implementacin de polticas de seguridad y un plan de contingencia que garantice la seguridad de la informacin que ellos consideran confidencial para la misma.

La Ilustre Municipalidad de Paute, colaborar en la realizacin de nuestro proyecto, teniendo en cuenta que tambin se realizar un anlisis fsico de la red actual y adems, se plantear un nuevo diseo de red, basado en las normas de cableado estructurado, esto con el propsito de compartir recursos y hacer que todos los programas, datos y equipos estn disponibles para cualquiera usuario de la red que as lo solicite.

 1. JUSTIFICACION
Lainformacinesunrecursoquealigualquelosotrosactivos,tienenmuchovalor paraunaEmpresa,porlotantoestadebesertotalmenteprotegida.Implementar polticas de seguridad ayuda a evitar amenazas y riesgos que impiden la productividaddelaOrganizacin,laspolticasdeseguridadinformticassecrean con el fin de garantizar la continuidad de los sistemas de informacin y cumplir conlosobjetivosplanteadosporlaInstitucin. Es importante recalcar que, los principios de la poltica de seguridad deben ser parte de la cultura organizacional; todo esto con el objetivo de cumplir la confidencialidad,integridadydisponibilidaddelainformacin. La elaboracin de un Plan de Contingencia, permitira suministrar el respaldo necesarioencasodequelapolticafalle,estesecreaconelobjetivoderestaurarel servicio informtico en forma rpida, eficiente, con el menor costo y prdidas posibles.LaIlustreMunicipalidaddePaute,esunaorganizacinquerequierede una implementacin de polticas de seguridad y un plan de contingencia que garanticelaseguridaddelainformacinqueellosconsideranconfidencialparala misma. La Ilustre Municipalidad de Paute, colaborar en la realizacin de nuestro proyecto,teniendoencuentaquetambinserealizarunanlisisdelaredactualy ademsseplantearunnuevodiseodelared,basadoenlasnormasdecableado estructurado, esto con el propsito de compartir recursos y hacer que todos los programas, datos y equipos estn disponibles para cualquiera usuario de la red queaslosolicite.

2. PLANTEAMIENTODELPROBLEMA
LaIlustreMunicipalidadde Pauteesunaentidadpblicaquesecaracterizaporla administracin de los recursos del Cantn, los datos e informacin ingresada dentrodelMunicipiodebenestaracompaadosdemecanismosparagarantizarla confidencialidad,integridadydisponibilidaddelosmismos,dichaentidadhavisto la necesidad de implementar polticas de seguridad informticas que permitan concientizar a cada uno de los miembros del municipio sobre la importancia y sensibilidaddelainformacin. Frenteacadaunadelaspolticascreadas,seelaborarunplandecontingenciaque permita dar una respuesta oportuna, adecuada y coordinada a una situacin de emergenciacausadaporfenmenosdestructivosdeorigennaturalohumano. Para un correcto uso de las polticas de seguridad y una aplicacin correcta del plandecontingencia,analizaraypropondrunnuevoesquemaderedqueayudea compartir recursos y a comunicar de mejor manera a cada uno de los miembros quelaboranensusdepartamentos.

3.

OBJETIVOS
3.1.GENERALES: Crear polticas de seguridad y plan de contingencia, que garanticen la confidencialidad,integridadydisponibilidaddelainformacin. Disear el nuevo esquema de red basado en estndares de cableado estructurado. 3.2.ESPECIFICOS: Definir parmetros para clasificar la informacin del Ilustre Municipio de Paute. Definir polticas de seguridad informtica en los niveles adecuados, que garanticenlaseguridaddelainformacin.

 Definirrestriccionesdeaccesotantofsicascomolgicas,alasinstalaciones delMunicipio. Crearunplandecontingenciaqueasegurelaintegridaddelosdatosyque tengaunacapacidadderecuperacinrpida. Crearunplanderecuperacinantedesastres. Disearuncableadoqueseadaptealosestndaresyalasnecesidadesdel usuario. Crear un diseo de red que permita compartir recursos como programas, datos y equipos, y hacer que estos estn disponibles para quien los necesite.

4.

MARCOTEORICO
4.1POLTICASDESEGURIDADINFORMATICAS Informacin: Se refiere a toda comunicacin o representacin de

conocimiento como datos, en cualquier forma, con inclusin de formas textuales, numricas,grficas,cartogrficas,narrativasoaudiovisuales,yencualquiermedio, yaseamagntico,enpapel,enpantallasdecomputadoras,audiovisualuotro. Seguridad de la Informacin: Se refiere a un conjunto independiente de recursos de informacin organizados para la recopilacin, procesamiento, mantenimiento, transmisin y difusin de informacin segn determinados procedimientos,tantoautomatizadoscomomanuales.Seentiendecomoseguridad delainformacinalapreservacindelassiguientescaractersticas: Confidencialidad: Se garantiza que la informacin sea accesible slo a aquellaspersonasautorizadasateneraccesoalamisma. Integridad:Sesalvaguardalaexactitudytotalidaddelainformacinylos mtodosdeprocesamiento.

 Disponibilidad:Segarantizaquelosusuariosautorizadostenganaccesoa lainformacinyalosrecursosrelacionadosconlamisma,todavezquelo requieran. Adicionalmente,debernconsiderarselosconceptosde: Autenticidad:Buscaasegurarlavalidezdelainformacinentiempo,forma y distribucin. Asimismo, se garantiza el origen de la informacin, validandoelemisorparaevitarsuplantacindeidentidades. Auditabilidad:Definequetodosloseventosdeunsistemadebenpoderser registradosparasucontrolposterior. Proteccin a la duplicacin: Consiste en asegurar que una transaccin sloserealizaunavez,amenosqueseespecifiquelocontrario. Norepudio:Serefiereaevitarqueunaentidadquehayaenviadoorecibido informacinalegueantetercerosquenolaenviorecibi. Legalidad:referidoalcumplimientodelasleyes,normas,reglamentaciones odisposicionesalasqueestsujetoelOrganismo. Confiabilidad de la Informacin: Que la informacin generada sea adecuada para sustentar la toma de decisiones y la ejecucin de las misionesyfunciones. PolticadeSeguridad1:Sedefinecomoelconjuntoderequisitosdefinidospor los responsables directos o indirectos de un sistema que indica en trminos generales qu est y qu no est permitido, en el rea de seguridad durante la operacingeneraldedichosistema. Elobjetivoprincipaldeunapolticadeseguridadeseldeinformaralosusuarios sus obligaciones para mantener la seguridad. Esta poltica debe especificar los mecanismosatravsdeloscualesestasobligacionesdebensercumplidas.Intentar

Fuente:WIKIPEDIAPOLITICASDESEGURIDAD20030808 http://www.ibiblio.org/pub/linux/docs/LuCaS/ManualesLuCAS/docunixsec/unixsec html/node333.html

usar una serie de herramientas de seguridad sin haber antes planificado una polticadeseguridadnotienesentido. Unadelasrazonesmsimportantesparaimplementarunapolticadeseguridades asegurarsedequelosesfuerzosgastadosenseguridadhayanvalidolapena.Esto puedeparecerobvioperosepuedeestarfcilmenteerradoenrelacinaquetanto esfuerzoesnecesario. Paraimplementarpolticasdeseguridadsedebenseguirlossiguientespasos: Identificarqueseesttratandodeproteger. Determinarcmosonlasamenazas. Implementar medidas que protegern el patrimonio de una manera econmicamenteefectiva. Revisar el proceso continuamente y hacer mejoras cada vez que una debilidadseaencontrada.
PlandeContingencia: Esuninstrumentodegestinparaelbuengobiernodelas Tecnologas de la Informacin y las Comunicaciones en el dominio del soporte y el desempeo.

Dichoplancontienelasmedidastcnicas,humanasyorganizativasnecesariaspara garantizarlacontinuidaddelnegocioylasoperacionesdeunacompaa.Unplan de contingencias es un caso particular de plan de continuidad aplicado al departamento de informtica o tecnologas. Otros departamentos pueden tener planesdecontinuidadquepersiguenelmismoobjetivodesdeotropuntodevista. El plan de contingencias sigue el conocido ciclo de vida iterativo "plandocheck act",esdecir,"planificaactacompruebacorrige2".Nacedeunanlisisderiesgos
2 Fuente:ErnestoRiveraPittiPlanesdeContingenciayRespaldo
http://72.14.205.104/search?q=cache:gCtzODhpdmQJ:www.iimv.org/actividades2/Tecnolog2004 /ErnestoPlanesContingencia.ppt+QUE+ES+UN+PLAN+DE+CONTINGENCIA&hl=es&ct=clnk&cd=9& gl=ec

donde,entreotrasamenazas,seidentificanaquellasqueafectanalacontinuidad del servicio. Sobre dicha base se seleccionan las contramedidas ms adecuadas entre diferentes alternativas, siendo plasmadas en el plan de contingencias junto conlosrecursosnecesariosparaponerloenmarcha. El plan debe ser revisado peridicamente. Generalmente, la revisin ser consecuencia de un nuevo anlisis de riesgos. En cualquier caso, el plan de contingencia siempre es cuestionado cuando se materializa una amenaza, actuandodelasiguientemanera: Si la amenaza estaba prevista y las contramedidas fueron eficaces: se corrigensolamenteaspectosmenoresdelplanparamejorarlaeficiencia. Si la amenaza estaba prevista pero las contramedidas fueron ineficaces: debeanalizarselacausadelfalloyproponernuevascontramedidas. Si la amenaza no estaba prevista: debe promoverse un nuevo anlisis de riesgos. Es posible que las contramedidas adoptadas fueran eficaces para una amenaza no prevista. No obstante, esto no es excusa para evitar el anlisisdeloocurrido. 4.2.REDES Cableado Estructurado: Se define como el sistema colectivo de cables, canalizaciones,conectores,etiquetas,espaciosydemsdispositivosquedebenser instaladosparaestablecerunainfraestructuradetelecomunicacionesgenricaen unedificioocampus.Lascaractersticaseinstalacindeestoselementossedeben hacer en cumplimiento de estndares para que califiquen como cableado estructurado.Elapegodelasinstalacionesdecableadoestructuradoaestndares traeconsigolosbeneficiosdeindependenciadeproveedoryprotocolo,flexibilidad deinstalacin,capacidaddecrecimientoyfacilidaddeadministracin.

El cableado estructurado consiste en el tendido de cables en el interior de un edificio con el propsito de implantar una red de rea local3. Suele tratarse de cable de par trenzado de cobre, para redes de tipo IEEE 802.3. No obstante, tambinpuedetratarsedefibrapticaocablecoaxial. Otrodelosbeneficiosdelcableadoestructuradoesquepermitelaadministracin sencilla y sistemtica de las mudanzas y cambios de ubicacin de personas y equipos, tales como el sistema de cableado de telecomunicaciones para edificios que presenta como caracterstica saliente de ser general, es decir, soporta una ampliagamadeproductosdetelecomunicacionessinnecesidaddesermodificado. Utilizando este concepto, resulta posible disear el cableado de un edificio independiente de los productos de telecomunicaciones que luego se utilizarn sobre l. La norma garantiza que los sistemas que se ejecuten de acuerdo a ella soportarn todas las aplicaciones de telecomunicaciones presentes y futuras por unlapsodealmenosdiezaos. Elementosprincipalesdeuncableadoestructurado: CableadoHorizontal Cableadodelbackbone Cuartodetelecomunicaciones Cuartodeentradadeservicios Sistemadepuestaatierra Atenuacin Capacitancia Impedanciaydistorsinporretardo

3 Fuente:WIKIPEDIACABLEADOESTRUCTURADO14dic 2007
http://es.wikipedia.org/wiki/Cableado_estructurado

5.

ESQUEMADECONTENIDOS

CAPITULOI INTRODUCCIONALASPOLITICASDESEGURIDAD
1.1 1.2 1.3 1.4

Conceptosbsicosdepolticasdeseguridad Reconocimientodelaempresaparalaelaboracindelaspolticas. PolticasdeseguridaddelaIlustreMunicipalidaddePaute. Estndaresparafijarcontraseasyclavesdeacceso.

CAPITULOII INTRODUCCIONALPLANDECONTINGENCIA 2.1 2.2 2.3 Conceptosbsicosdeplandecontingencia. Reconocimientodelaempresaparalaelaboracindelplandecontingencia. EvaluacionesdeRiesgos. 2.3.1 Riegosqueafectanalaseguridaddeledificio. 2.3.2 Riegosqueafectanalaintegridaddelosdatos. 2.4 PlandeContingenciaparaLaIlustreMunicipalidaddePaute.

CAPITULOIII DISEODELAREDPARALAILUSTREMUNICIPALIDADDEPAUTE 3.3. 3.4. ConceptosdeRedes. Anlisisderecursosactuales. 3.4.1 AnlisisfsicodelaRed 3.5. 3.6. 3.7. 3.8. PlanteamientodeNuevoEsquemadeRed. DefinicindeRequerimientos DiseolgicodeLaRed. DiseodeVLANs.

3.9.

DiseoFsicodelaRed.

3.10. EsquemaDeDireccionamientoLgico. 3.11. Recursos. 3.12. Presupuesto.

6.

METODOLOGIA

La metodologa que utilizaremos para el desarrollo del tema, ser el mtodo espiralyaquemedianteestemtodolosresultadosparcialesobtenidossepuedeir complementandoanuestroproyecto,esdeciralculminarlatareadeelaboracin de polticas de seguridad informticas, podr ser entregada a La Ilustre Municipalidad de Paute para que tomen los correctivos necesarios y posteriormentecontinuarconlasiguientetarea,hayquetenerencuentaqueen nuestroproyectosoloserealizarhastalafasedediseo. Paralaelaboracindelaspolticasdeseguridad,planesdecontingenciaydiseo delared,serealizarenlassiguientesfases:Planificacin,AnlisisyDiseo,hay que tener en cuenta que mediante estas fases llegaremos a cumplir con los objetivosplanteados. 6.1 FASEDEPLANIFICACIN: Enestafasesetendrencuenta,cadaunadelastareasplanteadasparaun mejor desempeo de nuestro tema, es decir se definir un cronograma de trabajo,concadaunadelastareasarealizar,tomandoencuentalapersona responsable, el tiempo y los recursos necesarios para el cumplimiento de dichatarea. 6.2 FASEDEANLISIS: Enestafaseserealizalarecopilacinyanlisisdelosrequerimientos,para el cumplimiento de esta tarea se realizaran visitas regulares al Ilustre Municipio de Paute tanto para recopilar informacin para el desarrollo de

polticas de seguridad y plan de contingencia como para el diseo fsico y lgicodelared. 6.3 FASEDEDISEO A partir de la informacin recopilada realizara el diseo tanto de las polticasdeseguridad,plandecontingenciacomodiseodelared.

7.
7.1

RECURSOS
Humanos: ElizabethMora GloriaPrez PersonaldelIlustreMunicipiodePaute

7.2

Materiales: Internet MicrosoftOffice2007 HojasdePapel Impresoras 2Computadores: PORTTIL: IntelPentiumdualcoreprocessorT2060(1.6Ghz, 533MhsFSB,1MBL2Cache) 15.4WXGAAcerCrystalBriteLCD(16ms) IntelGraphicMediaAccelerator950 120GBHDD DVDSuperMultidoublelayer 1GBDDR2

802.11b/gwirelessLAN

PC: IntelPIV(3.2Ghz,1MBL2Cache) Video:VIA/S3GUniChromeProIGP 250GBHDD UnidaddeDVDWRITTER 512MBDDR400 MonitorSamsungde15

7.3 Econmicos: 7.3.1 GASTOSVARIOS Nombre Internet PapelBondA4 Copias Empastado Transporte Alimentacin UsodeEquipos Software TOTAL

Cantidad 5Tarjetas 2Paquetes 200copias 4empastados 15 30

Valor Unitario $4.50 $3.50 $0.01 $5.00 $0.50 $1,50

Total $22.50 $7.00 $2.00 $20.00 $7.50 $45.00 $0,00 $0,00 $104.00

7.3.2 COSTOMANODEOBRA

Nombre Elizabeth Mora GloriaPrez TOTAL Nmerode das 24,5das 24,5das Nmero Dasx8 Horas 196 196 392 CostoHora Total

$2.50 $2.50 $2.50

$490 $490 $980

TOTALDEGASTOS:

$1.084,00