ANÁLISIS DE LA SEGURIDAD A LA RED WIFI EVENTOS_COOP DE LA

UNIVERSIDAD COOPERATIVA DE COLOMBIA CAMPUS ARAUCA.

Nayibe Carreño García

Maria Camila Alfonso Sarmiento

UNIVERSIDAD COOPERATIVA DE COLOMBIA

PROGRAMA DE INGENIERÍA DE SISTEMAS

ARAUCA-ARAUCA

2020

2

ANÁLISIS DE LA SEGURIDAD A LA RED WIFI EVENTOS_COOP DE LA

UNIVERSIDAD COOPERATIVA DE COLOMBIA CAMPUS ARAUCA.

Nayibe Carreño García

Maria Camila Alfonso Sarmiento

Seminario de profundización para optar por el título de Ingeniero de Sistemas

Universidad Cooperativa De Colombia

2020

Notas de autor

Docente: Carlos Eduardo Puentes Figueroa, Ingeniero en telecomunicaciones, Especialista

en servicios telemáticos y telecomunicaciones, asesor de la modalidad de grado, Programa de

Ingeniería de Sistemas, Arauca

Universidad Cooperativa de Colombia

Correspondencia relacionada con este documento debe ser enviada a:

maria.alfonsos@campusucc.edu.co

3

TABLA DE CONTENIDO

LISTA DE FIGURAS Y TABLAS ................................................................................ 4

1. INTRODUCCIÓN ............................................................................................... 5

2. PLANTEAMIENTO DEL PROBLEMA .............................................................. 7

3. JUSTIFICACIÓN ................................................................................................ 8

4. OBJETIVOS........................................................................................................ 9

5. MARCO TEÓRICO ........................................................................................... 10

5.1. ESTADO DEL ARTE. ................................................................................... 17

6. METODOLOGÍA .............................................................................................. 18

7. DISEÑO ............................................................................................................ 19

8. INSTRUMENTOS ............................................................................................. 20

9. DESARROLLO ................................................................................................. 21

9.1. Análisis del estado actual (objetivo específico 1) ............................................. 21

9.2. Escaneo de la red wifi eventos_coop (Objetivo específico 2)............................ 23

9.2.1. Pruebas de la vulnerabilidad. ....................................................................... 23

9.2.2. Reporte de análisis de vulnerabilidades ........................................................ 24

10. EVALUACIÓN DE CONTROLES, POLÍTICAS Y PROCEDIMIENTOS DE

SEGURIDAD EN LA RED WIFI EVENTOS_COOP DE (objetivo específico 3) .................... 26

10.1. EVALUACIÓN DE LOS CONTROLES ..................................................... 27

11. SOLUCIONES A LA VULNERABILIDAD ENCONTRADA (objetivo específico

4) 29

12. RECOMENDACIONES .................................................................................... 34

13. CONCLUSIONES ............................................................................................. 35

14. REFERENTES BIBLIOGRÁFICOS .................................................................. 36

4

15. ANEXOS .......................................................................................................... 38

15.1. Anexo A: Checklist identificación del riesgo de los activos de información. . 38

LISTA DE FIGURAS Y TABLAS

Ilustración 1: ciclo PDCA ............................................................................................ 13

Ilustración 2:ISO 31000 - Marco de trabajo para la gestión de riesgos ........................... 15

Ilustración 3. Planos Distribución de equipos (Autores: Área de TI de la universidad) .. 22

Ilustración 4. Escaneo a la red wifi con el CMD ........................................................... 23

Ilustración 5 Análisis de vulnerabilidades .................................................................... 24

Ilustración 6 Escaneo en el host ................................................................................... 26

Ilustración 7 Políticas locales> Opciones de seguridad ................................................ 30

Ilustración 8 Carpeta de opción de seguridad .............................................................. 31

Ilustración 9 Servidor de red de Microsoft: firmar digitalmente las

comunicaciones(siempre)> Habilitado .................................................................................... 31

Ilustración 10 Análisis con plataforma wirelessMon ..................................................... 32

Ilustración 11 Muestra de los equipos que se conectados a la red eventos_coop ............ 32

Ilustración 12 Análisis con Zenmap.............................................................................. 33

Ilustración 13 Análisis con Zenmap.............................................................................. 33

LISTA DE TABLAS

Tabla 1 Resumen Checklist .......................................................................................... 27

Tabla 2 valoración de los controles .............................................................................. 28

Tabla 3 nivel de cumplimiento ..................................................................................... 28

LISTA DE GRAFICAS

Gráfica 1 Resumen del checklist .................................................................................. 27

Gráfica 2 Cumplimiento de los controles ..................................................................... 29

5

1. INTRODUCCIÓN

Actualmente en nuestro país hay millones de personas quieren estar comunicadas

virtualmente desde cualquier lugar, esto lo hacen aún más estando en sus estaciones de trabajo,

universidades, etc. Con la continua implementación de redes WIFI abiertas promovidas por los

actuales planes de gobierno en ámbitos de conectividad, se plantea este proyecto conociendo las

necesidades con las que cuenta cada persona y buscando informar a cada usuario el riesgo que

conlleva conectarse a una red wifi abierta.

Para ello se decidió realizar un análisis minucioso de los riesgos y vulnerabilidades,

mediante el uso de diversas herramientas en donde se busca la intrusión en la red, para poner en

análisis las herramientas que normalmente se usan para la protección de la información, con el fin

de conocer cuáles de ellas cuentan con un protocolo de seguridad que garantice la confiabilidad

de datos personales del usuario y poder generar recomendaciones de seguridad en cuanto el uso

de este tipo de conexiones abiertas, que permitan de una forma segura, el acceso a personas

diferentes a la comunidad académica universitaria

El propósito actual es identificar posibles riesgos y vulnerabilidades de seguridad en

la red WIFI_EVENTOS_COOP de la Universidad Cooperativa de Colombia campus Arauca,

Porque es una red utilizada por toda la comunidad universitaria mediante una contraseña

divulgada en la cartelera y sitios estratégicos del campus. Seguido del logueo del hostpost en cuál

es el usuario y número de identificación del estudiante.

Palabras clave: Amenaza, controles, seguridad de la información, vulnerabilidad, wifi

6

ABSTRAC

Currently in our country there are millions of people who want to be communicated

virtually from anywhere, they do this even more while at their workstations, universities, etc.

With the continuous implementation of open WIFI networks promoted by current government

plans in areas of connectivity, this project is proposed knowing the needs of each person and

seeking to inform each user of the risk involved in connecting to an open Wi-Fi network.

For this, it was decided to carry out a thorough analysis of risks and vulnerabilities, by

using various tools that search for intrusion into the network, to put into analysis the tools that are

normally used for the protection of information, in order to orden know which of them have a

security protocol that guarantees the reliability of the user's personal data and to be able to

generate security recommendations regarding the use of this type of open connections, which

allow in a secure way, access to people other than the university academic community

The current purpose is to identify possible risks and security vulnerabilities in the

WIFI_EVENTOS_COOP network of the Cooperativa de Colombia University Arauca campus,

because it is a network used by the entire university community through a password disclosed on

the billboard and strategic campus sites. Followed by the hostpost login in which is the username

and student identification number.

Keywords: Threat, controls, information security, vulnerability, wifi

7

2. PLANTEAMIENTO DEL PROBLEMA

La evolución de las tecnologías ha permitido a las universidades implementar,

herramientas que permiten proteger la información y los sistemas de telecomunicaciones, es por

ello que hay una gran invención de herramientas y técnicas con un propósito práctico, con el

trascurrir del tiempo la tecnología avanza a pasos gigantes en pleno siglo XXI los avances que se

están dando nos siguen sorprendiendo.

Hoy en día tenemos equipos de telecomunicación para almacenar, recuperar, transmitir y

manipular datos, con frecuencia utilizado en el contexto de los negocios u otras empresas, de esta

forma como crece la tecnología también las amenazas a la seguridad, en donde la información se

puede ver afectada y así pondrán a sus usuarios en riesgo dejando en desprestigio la empresa.

Es por ello que cada vez hay más dispositivos conectados a las redes wifi que se

encuentran en el entorno, se generan grandes cantidades de tráfico por minuto. Se estima que un

grupo importante de personas se exponen regularmente a los peligros de enviar información a

través de una red sin cifrado, esta situación se presenta en parte debido a la falta de conocimiento

respecto de las vulnerabilidades asociadas a las redes wifi-abiertas, razón por la cual se observa la

necesidad de trabajar en temas asociados a la concientización de la ciudadanía en general

Es por esto que, al observar las diferentes redes wifi de la universidad, es la red eventos

que cuenta con más usuarios conectados por ser de conocimiento público, en la cual pueden

navegar, consultar, pagar o enviar información y datos libremente, datos que llegan a ser

sensibles, por ende, pueden surgir problemas si alguien más tiene acceso a ellos y los usa de

forma indebida actualmente.

8

3. JUSTIFICACIÓN

En los últimos años las redes inalámbricas abiertas se han convertido en una tendencia

tecnológica usualmente utilizada para proveer conectividad al público en diferentes lugares como

entidades, establecimientos, institutos, centros de recreación públicos, entre otros, se genera una

gran cantidad de tráfico de información que queda expuesta a las vulnerabilidades propias de las

redes abiertas.

Por este motivo se busca analizar a detalle qué tipo de información es vulnerable y como se

pueden tomar acciones para mejorar la seguridad al utilizar la red wifi eventos_coop en la

Universidad Cooperativa de Colombia, Igualmente las redes de datos han sido factores

fundamentales, siempre y cuando estén disponibles constantemente, y no se presenten

interrupciones del rendimiento óptimo.

Es por eso, que se realiza un análisis de seguridad de la red wifi eventos_coop basados con

la norma ISO/IEC 27002:2013 analizando los siguientes procesos: la Política de seguridad, y

Seguridad en las Telecomunicaciones. En la Universidad Cooperativa de Colombia la cual tiene

el propósito de identificar las medidas de seguridad, mitigando los riesgos a que está expuesta la

red wifi eventos_coop.

Finalmente, ante el dilema que encontramos se propone realizar un estudio que permita

mantener un control en las redes de wifi para así obtener una buena seguridad. Es considerable

resaltarle a la universidad que podrá conocer la situación verdadero desenlace que arroje el

análisis, esto depende de la información que nos puedan suministrar el personal encargado del

área de ti.

9

4. OBJETIVOS

4.1 Objetivo general.

✓ Realizar un análisis de Seguridad a la red wifi eventos_coop de la Universidad cooperativa

de Colombia campus Arauca, basados en las normas ISO/IEC 27002:2013

4.1.1 Objetivos específicos.

✓ Analizar el estado actual de la red wifi eventos_coop de la universidad cooperativa de

Colombia, campus Arauca

✓ Identificar las amenazas y riesgos para la red wifi eventos_coop de la universidad

cooperativa de Colombia, campus Arauca

✓ Evaluar los controles, políticas y procedimientos de seguridad en la red wifi eventos_coop

de la universidad cooperativa.

✓ Sugerir mejoras al esquema de seguridad de la red wifi eventos_coop, teniendo en cuenta

los hallazgos recuperados.

10

5. MARCO TEÓRICO

Auditoría de Sistemas.

Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una entidad,

con el propósito de determinar si su diseño y aplicación son correctos; y comprobar el sistema de

procesamiento de Información como parte de la evaluación de control interno; así como para

identificar aspectos susceptibles de mejorarse o eliminarse. (Anónimo, s.f.)

Historia de la empresa

La Universidad Cooperativa de Colombia es una institución privada de educación

superior que pertenece al sector de la economía solidaria creada en 1983, como sucesora del

Instituto de Economía Social y Cooperativismo - INDESCO, sujeta a inspección y vigilancia por

medio de la Ley 1740 de 2014 y la ley 30 de 1992 del Ministerio de Educación de Colombia. La

universidad está conformada por estudiantes y un cuerpo docente de 4182 profesores de planta y

catedráticos. Cuenta con 7 facultades, 39 programas de pregrado, 25 especializaciones, y 14

maestrías. Su presencia en 18 ciudades del país la hace la tercera universidad con mayor

población estudiantil de Colombia después de la Universidad Nacional Abierta y a Distancia y la

Universidad Nacional de Colombia. (Universidad Cooperativa de Colombia, s.f.)

Activos.

Los activos son los recursos que utiliza un Sistema de Gestión de Seguridad de la

Información para que las organizaciones funcionen y consigan los objetivos que se han propuesto

por la alta dirección (SGSI, 2017).

Amenaza.

Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir

un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad

Informática, los Elementos de Información.

11

Vulnerabilidad

La Vulnerabilidad es la capacidad, las condiciones y características del sistema mismo

(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de

sufrir algún daño. En otras palabras, es la capacitad y posibilidad de un sistema de responder o

reaccionar a una amenaza o de recuperarse de un daño

Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe una

amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar

un daño. (Luis Rubiano Orozco, s.f.)

Telecomunicaciones

Las telecomunicaciones son la trasmisión a distancia de datos de información por medios

electrónicos y/o tecnológicos. Los datos de información son transportados a los circuitos de

telecomunicaciones mediante señales eléctricas.

Red de telecomunicaciones

Una red de telecomunicaciones consiste en múltiples estaciones de receptores y

transmisores interligados que intercambian información. La red más amplia y conocida es la

Internet. Otras redes más pequeñas son las redes telefónicas y radioemisiones privadas.

ISO 27001.

Es una norma internacional que permite el aseguramiento, la confidencialidad e integridad

de los datos y de la información, así como de los sistemas que la procesan (ISOTools, 2020)

Seguridad de la Información.

Está definida como todas las medidas preventivas y de reacción del individuo, la

organización y las tecnologías, para proteger la información; buscando mantener en esta la

confidencialidad, la autenticidad e Integridad. Hay que tener claro que los términos Seguridad de

la información y Seguridad Informática son diferentes. La segunda trata solamente de la

seguridad en el medio informático, mientras que la primera es para cualquier tipo de información,

sea esta digital o impresa. (Libre, 2020)

12

Software.

Conjunto de programas, instrucciones y reglas para ejecutar ciertas tareas en una

computadora u ordenador (ESPAÑOLA, 2008-2020).

Software Malicioso.

El software malicioso, conocido en inglés como “malware”, es un software diseñado

específicamente para obtener acceso a un equipo o dañarlo sin que el usuario tenga conocimiento.

Hay distintos tipos de software malicioso, como el spyware, los registradores de pulsaciones, los

virus, los gusanos o cualquier tipo de código malicioso que se infiltre en un equipo. (Norton, 2020).

Ciclo de Deming.

El ciclo PDCA (o PHVA en español) es una herramienta para la mejora continua,

diseñada por el Dr. Walter Shewhart en el año 1920 y presentada por Edwards Deming a partir

del año 1950, la cual se basa en un ciclo de cuatro pasos (Díaz, 2010). Plan (planificar), Do

(hacer), Check (verificar) y Act (actuar). A continuación, se describirán brevemente los pasos que

se siguen en el ciclo de Deming (Aliaga, 2013). También es conocido como Ciclo de mejora

continua o Círculo de Deming, por ser Edwards Deming su autor. Esta metodología describe los

cuatro pasos esenciales que se deben llevar a cabo de forma sistemática para lograr la mejora

continua, entendiendo como tal al mejoramiento continuado de la calidad (disminución de fallos,

aumento de la eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos

potenciales…). El círculo de Deming lo componen 4 etapas cíclicas, de forma que una vez

acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las

actividades son reevaluadas periódicamente para incorporar nuevas mejoras. Plan (planificar): Se

establecen las actividades y procesos necesarios para alcanzar los resultados esperados

establecidos por la(s) parte(s) interesada(s). (Bustamante Maldonado & Osorio Cano, 2014) La

aplicación de esta metodología está enfocada principalmente para para ser usada en empresas y

organizaciones.

13

Ilustración 1: ciclo PDCA

1- PLAN (planificar):

En esta fase se trabaja en la identificación del problema o actividades susceptibles de

mejora, se establecen los objetivos a alcanzar, se fijan los indicadores de control y se definen los

métodos o herramientas para conseguir los objetivos establecidos.

Una forma de identificar estas mejoras puede ser realizando grupos de trabajo o bien buscar

nuevas tecnologías o herramientas que puedan aplicarse a los procesos actuales. Para detectar

tecnologías o herramientas a veces es conveniente fijarse en otros sectores, esto aporta una visión

diferente, pero muchas de las soluciones pueden aplicarse a más de un sector.

2 – DO (hacer/ejecutar):

Llega el momento de llevar a cabo el plan de acción, mediante la correcta realización de

las tareas planificadas, la aplicación controlada del plan y la verificación y obtención del

feedback necesario para el posterior análisis.

En numerosas ocasiones conviene realizar una prueba piloto para probar el

funcionamiento antes de realizar los cambios a gran escala. La selección del piloto debe

realizarse teniendo en cuenta que sea suficientemente representativo, pero sin que suponga un

riesgo excesivo para la organización.

3 – CHECK (comprobar/verificar):

14

Una vez implantada la mejora se comprueban los logros recuperados en relación a las

metas u objetivos que se marcaron en la primera fase del ciclo mediante herramientas de control

(Diagrama de Pareto, Check lists, KPIs, etc.)Para evitar subjetividades, es conveniente definir

previamente cuáles van a ser las herramientas de control y los criterios para decidir si la prueba

ha funcionado o no.

4 – ACT (actuar):

Por último, tras comparar el resultado recuperado con el objetivo marcado inicialmente, es

el momento de realizar acciones correctivas y preventivas que permitan mejorar los puntos o

áreas de mejora, así como extender y aprovechar los aprendizajes y experiencias adquiridas a

otros casos, y estandarizar y consolidar metodologías efectivas.

(Bernal, 2013)

Metodología Magerit.

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el antiguo

Consejo Superior de Administración Electrónica (actualmente Comisión de Estrategia TIC),

como respuesta a la percepción de que la Administración, y, en general, toda la sociedad,

dependen de forma creciente de las tecnologías de la información para el cumplimiento de su

misión.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso

de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos;

pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que

generen confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas

informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son

valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo.

Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente,

imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica

que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

15

Ilustración 2:ISO 31000 - Marco de trabajo para la gestión de riesgos

MAGERIT persigue los siguientes Objetivos Directos:

1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y

de la necesidad de gestionarlos

2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la

información y comunicaciones (TIC)

3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control

Indirectos

4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación,

según corresponda en cada caso

MAGERIT versión 3 se estructura en tres libros: "Método", "Catálogo de Elementos" y

"Guía de Técnicas".

Se estructura de la siguiente forma:

• El capítulo 2 presenta los conceptos informalmente. En particular se enmarcan las actividades de

análisis y tratamiento dentro de un proceso integral de gestión de riesgos.

• El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.

• El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las

actividades de gestión de riesgos.

16

• El capítulo 5 se centra en los proyectos de análisis de riesgos, proyectos en los que nos veremos

inmersos para realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay

cambios sustanciales y hay que rehacer el modelo ampliamente.

• El capítulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes

directores o planes estratégicos.

• El capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos

sirve para gestionar la seguridad del producto final desde su concepción inicial hasta su puesta en

producción, así como a la protección del propio proceso de desarrollo.

• El capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan

análisis de riesgos.

Se persiguen dos objetivos:

1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de

ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo

específico del sistema objeto del análisis.

2. Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos

criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes

equipos.

Cada sección incluye una notación XML que se empleará para publicar regularmente los

elementos en un formato estándar capaz de ser procesado automáticamente por herramientas de

análisis y gestión.

Si el lector usa una herramienta de análisis y gestión de riesgos, este catálogo será parte de la

misma; si el análisis se realiza manualmente, este catálogo proporciona una amplia base de

partida para avanzar rápidamente sin distracciones ni olvidos.

Guía de Técnicas

Aporta luz adicional y orientación sobre algunas técnicas que se emplean habitualmente para llevar

a cabo proyectos de análisis y gestión de riesgos:

Marca unas pautas en cuanto a:

• Tipos de activos

• Dimensiones de valoración de los activos

• Criterios de valoración de los activos

17

• Amenazas típicas sobre los sistemas de información

• Salvaguardas a considerar para proteger sistemas de información

• (MAGERIT, 2009)

5.1.ESTADO DEL ARTE.

TITULO: Análisis, diseño y despliegue de una red Wifi en Santillana del Mar

AUTORES: Moreno Martín, Marta

AÑO: 2015

APORTE: Implementar una red de comunicaciones haciendo uso de tecnologías inalámbricas que

permitan ofrecer una cobertura Wifi total en un municipio de Cantabria, Santillana del Mar, así

como interconectar las diferentes áreas con la finalidad de permitir un despliegue ordenado a lo

largo del territorio.

FUENTE: http://hdl.handle.net/10486/663743

TITULO: Estudio, análisis y optimización del tráfico de las redes wifi en la facultad de ingeniería en

electricidad y computación

AUTORES: Prado Bermúdez, Gianella Estefanía; Armijos De La Vera, Elena Esther

AÑO: 2015

APORTE: Propone emplear una red en malla en conjunto con dispositivos Cisco como son la Controladora

local inalámbrica 2504 y Puntos de acceso series 1570 - 1700, con el fin de proporcionar una

comunicación efectiva en la red inalámbrica de la FIEC. El rendimiento de la red mejoraría con

respecto a la movilidad del usuario dentro de la red sin sufrir ningún tipo de desconexión, al

implementar una red en malla, estimando lograr la cobertura de la facultad al 100%.

FUENTE: http://www.dspace.espol.edu.ec/xmlui/handle/123456789/31268

TITULO: Análisis de la calidad de señal en una red wifi con la herramienta netstumbler

AUTORES: Susan Martínez Cordero

AÑO: 2005

APORTE: la relación entre la potencia de la señal y la potencia del ruido (SNR) en una red Wifi tanto en

interiores como exteriores, por medio de la herramienta Network Stumbler

FUENTE: https://www.redalyc.org/pdf/304/30400708.pdf

18

TITULO: diagnóstico de riesgos y vulnerabilidades generados por software malicioso a la red

wifi_ucc_estudiantes de la universidad cooperativa sede Bogotá, basado en la aplicación de la

norma ISO 27001:2013.

AUTORES: Jeisson Fabián Machuca Ramírez, Juan Daniel Ortegón Molina

AÑO: 2019

APORTE: Identificar los posibles riesgos y vulnerabilidades a los que se encuentra expuesta la RED

denominada WIFI_UCC_ESTUDIANTES basados en la norma ISO2001:2013 e IEEE802 de la

Universidad Cooperativa de Colombia sede Bogotá

Fuente: https://repository.ucc.edu.co/bitstream/20.500.12494/11349/1/2019_Seguridad_Wifi_UCC.pdf

6. METODOLOGÍA

La metodología que se manejará, para este proyecto será cuantitativa, basándonos en la

información suministrada, para esto se realizará una recolección de datos tanto del área de TI de

la universidad como de los encargados de esta, previamente a esto se efectuará un análisis, que

nos permitirá saber si los errores en los sistemas de seguridad de la universidad

• Etapa 1 definir el alcance: en esta primera etapa se realizará el levantamiento de los

requerimientos para establecer el alcance de nuestro proyecto, el cual se centrará en la

red wifi eventos_coop administrada por el área de TI de la universidad

• Etapa 2 caracterización de activos: en esta etapa se procede a identificar todos

aquellos activos tanto tangibles como intangibles que guarden relación alguna con la

red wifi eventos_coop.

• Etapa 3 identificación de amenazas: una vez identificados los activos se procede a

valorar el rango de criticidad que posee

• Etapa 4: caracterización de las salvaguardas: en esta etapa procedemos a

identificar las salvaguardas que el área de TI de la universidad tiene establecidas para

la protección de la información.

• Etapa 5 evaluar el riesgo: teniendo ya toda la información de las etapas anteriores se

procede a realizar un informe de estado del riesgo al que está expuesta la red wifi

eventos_coop.

19

• Etapa 6 tratamiento del riesgo: en esta etapa se generaremos un plan estratégico,

para la mitigación del riesgo presentado en la red wifi eventos_coop.

7. DISEÑO

(Extensión máxima de 1 página)

Actividades M

es

M

es 1

Me

s 2

Me

s 3

Planificar las distintas

actividades que permitan realizar

el proceso de auditoria

Estructuración y

aplicación de las herramientas

de recolección de la información

Evaluar los controles,

políticas y procedimientos de

seguridad en la red wifi de la

universidad cooperativa.

Identificar el estado

actual de la Seguridad de la

Información basado en la

metodología Magerit.

Analizar y valorar los

riesgos con la información

recopilada

Determinar los posibles

puntos de accesos vulnerables

dentro de la universidad a través

de irrupciones controladas

(hacking ético)

20

Generar las tablas de

estimación de riesgo y el

impacto de este

Validar los resultados de la

evaluación con el personal

responsable de área de

telecomunicaciones.

Redacción del

documento final

Socialización de los

hallazgos recuperados

8. INSTRUMENTOS

Nessus. Es escáner de vulnerabilidades más usado en el mundo. Esta herramienta de alto

nivel detecta amenazas en tiempo real y gracias a su precisión, evita la generación de falsos

positivos. El poderoso Nessus previene eficientemente los ataques de red identificando las

debilidades y errores de configuración que pueden ser usados para permitir el ingreso de

amenazas al sistema.

Cmd. El cmd se puede utilizar para escribir comandos y ejecutarlos, lo que puede ser

especialmente útil para automatizar tareas mediante secuencias de comandos y archivos por lotes,

así como para llevar a cabo funciones administrativas avanzadas y solucionar muchos problemas

en Windows.

WirelessMon. Se trata de un programa muy completo de gestión de redes Wi-Fi y puntos

de acceso, Wirelessmon reúne información sobre los puntos de acceso disponibles y

las estadísticas mostrándolos en forma gráfica.

Zenmap. Zenmap es una herramienta gratuita que podemos utilizar para escanear los

puertos. Podemos saber cuáles tenemos abiertos, para evitar problemas a la hora de usar algunos

21

programas o acceder a un servidor. Se trata de la interfaz gráfica del popular programa de código

abierto Nmap, que permite hacer un escaneo de puertos completo de cualquier equipo conectado.

Herramienta en nuestro ordenador para Administrar la Configuración de las

directivas de seguridad. Las directivas de configuración de seguridad son reglas que puedes

configurar en un dispositivo o en varios dispositivos con el fin de proteger los recursos de un

dispositivo o red. La extensión Configuración de seguridad del complemento Editor de directivas

de grupo local (Gpedit.msc) permite definir configuraciones de seguridad como parte de un

objeto de directiva de grupo (GPO). Los GPO están vinculados a contenedores de Active

Directory, como sitios, dominios y unidades organizativas, y permiten a los administradores

administrar la configuración de seguridad de varios equipos desde cualquier dispositivo unido al

dominio.

Checklist. Los listados de control, listados de chequeo, checklist u hojas de verificación,

siendo formatos generados para realizar actividades repetitivas, controlar el cumplimiento de un

listado de requisitos o recolectar datos ordenadamente y de manera sistemática. Se utilizan para

hacer comprobaciones sistemáticas de actividades o productos asegurándose de que el trabajador

o inspector no se olvida de nada importante.

9. DESARROLLO

9.1.Análisis del estado actual (objetivo específico 1)

Para realizar análisis de este tipo es importante llevar a cabo un análisis del estado actual

que en este caso es el estado actual de la red wifi eventos_coop, esto con el fin de indagar sobre

cuan protegida esta la red de la universidad, para esto se realiza un checklist sobre el dominio de

seguridad en las telecomunicaciones y seguridad física y ambiental. (Ver anexo A). también se

realiza una indagación sobre la topología de red utilizada y su distribución como se muestra a

continuación.

En la ilustración 3 que les presentamos a continuación nos muestra como está distribuido

los equipos de la Universidad cooperativa de Colombia sede Arauca, aquí podemos observar

que esta red brinda un acceso a internet a los estudiantes y al personal administrativo, esta red

permite tener conectividad a los equipos de cómputo de dicha universidad también a teléfonos y

22

todo aquel dispositivo que necesite conexión a internet o que requiera conexión inalámbrica por

medio del cifrado Wap2, permitiéndoles tener al alcance el acceso a internet, tales como para

consultas institucionales y de libre acceso a navegación. Para nosotros acceder a dicha red se

requiere una autenticación la cual la da la Ucc por medio de una contraseña que es publicada en

el mural de la Universidad, por este motivo pensamos que este cifrado Wap2 no está exento de

sufrir cierto ataque por personas ajenas a la Ucc.

En esta distribución se puede observar cómo está constituida y cómo está conformada la

distribución de los equipos de toda la universidad .Basándonos en esta topología se realizó un

escaneo una sola red que estaba funcionan en la entidad educativa mostrándonos si tenían

vulnerabilidades en entorno a la red wifi de la Ucc cede Arauca este escaneo lo que hace es

verificar las vulnerabilidades que se encuentran en dirección a la red, que se encuentren en un

rango de direcciones IP, a raíz de esto se seguirán con el reconocimiento de la red de la

universidad cooperativa de Colombia sede Arauca, mostrándonos sus principales equipos y

acceso a internet.

Maqueta de la distribución de los equipos de la universidad cooperativa de Colombia

Ilustración 3. Planos Distribución de equipos (Autores: Área de TI de la universidad)

23

9.2.Escaneo de la red wifi eventos_coop (Objetivo específico 2)

Una vez se ha realizado el análisis del estado actual de la red se procede a realizar el

escaneo a la red, para esto lo primero que hicimos fue un reconocimiento de la red, lo que

conlleva a utilizar la información para hacer el respectivo análisis de las vulnerabilidades,

a continuación, en la ilustración nos mostrara unas características de la tarjeta de red y su

direccionamiento IP. Esto fue tomado mediante la consola CMD en nuestro ordenador

arrojándonos la IP y su respectiva configuración.

Ilustración 4. Escaneo a la red wifi con el CMD

9.2.1. Pruebas de la vulnerabilidad.

En este paso se evidencia el desarrollo del proceso de escanear la red Wifi eventos_coop

con el programa llamado Nessus este lo que hace es escanear las vulnerabilidades de la más baja

hasta la más crítica, esto se hace con el fin de detectar los riesgos a los que está expuesta la red

Wifi de la Universidad Cooperativa de Colombia sede Arauca, como sabemos esta red hace un

papel primordial para los usuarios a la hora de tener una buena conectividad, tales como los

estudiantes y administrativos.

Para hacer este proceso se tomó la dirección IP de la Ucc, una vez se identifica el equipo

se realiza un análisis, el cual la herramienta nos genera un reporte donde nos indica las

vulnerabilidades encontradas y sus posibles soluciones.

24

9.2.2. Reporte de análisis de vulnerabilidades

Se muestra la evidencia de que el servidor es vulnerable tras haberla detectado mediante

la herramienta Nessus.

Ilustración 5 Análisis de vulnerabilidades

Como se evidencia en la ilustración 5. Se muestra un análisis avanzado de las

vulnerabilidades que existen en la red wifi de la Universidad, este escaneo clasifica las

vulnerabilidades dependiendo de si es crítica, alto, medio o bajo, por el momento no se evidencia

alguna vulnerabilidad critica, pero si nos arrojó una vulnerabilidad Media la cual nos dice que

(no se requiere firma smb) esto a su vez nos quiere decir que (La firma no es necesaria en el

servidor SMB remoto. Un atacante remoto no autenticado puede explotar esto para realizar

ataques, en medio contra el servidor SMB), sin embargo, hay que tener en cuenta que hay que

escanearlas constantemente para saber si existe alguna vulnerabilidad critica etc., ya que estas

pueden afectar la integridad de la red y los que por ella navegan.

25

Que es el protocolo SMB

En redes de computadoras, Bloque de mensajes del servidor (SMB), una versión de la cual

también se conoció como Sistema de archivos de Internet común, funciona como un protocolo de

red de capa de aplicación utilizado principalmente para proporcionar acceso compartido a archivos,

impresoras y puertos serie y comunicaciones misceláneas entre nodos en una red. También

proporciona un mecanismo de comunicación entre procesos autenticado. (Oracle, 2013,2014)

La mayoría del uso de SMB involucra computadoras que ejecutan Microsoft Windows,

donde se conocía como "Red de Microsoft Windows" antes de la introducción de directorio Activo.

Microsoft recomienda encarecidamente aplicar el parche de seguridad

que corrige la vulnerabilidad, tanto en los dispositivos cliente, como en el servidor para evitar que

posibles atacantes puedan hacer uso de la misma.

Para minimizar el riesgo, desde Microsoft también recomiendan bloquear mediante el

firewall de la empresa las conexiones TCP al puerto 445 que provengan de Internet, ya que este es

el puerto utilizado por SMB para comunicarse. De esta manera, se evita que los ciberdelincuentes

sean capaces de aprovechar la vulnerabilidad o hacer los siguientes pasos que les vamos a mostrar.

(2020)

Después de haber realizado los pasos anteriores, verificamos que la vulnerabilidad este

remediada utilizando de nuevo la herramienta Nessus.

Descripción

Escaneo al host, para verificar que el host no tenga ninguna vulnerabilidad. Nessus pudo

determinar si el host remoto está activo utilizando uno o más de los siguientes tipos de ping:

- Un ping ARP, siempre que el host esté en la subred local y Nessus se esté ejecutando a

través de Ethernet.

- Un ping ICMP.

- Un ping TCP, en el que el complemento envía al host remoto un paquete con el

indicador SYN, y el host responderá con un RST o un SYN / ACK.

- Un ping UDP (por ejemplo, DNS, RPC y NTP).

26

Ilustración 6 Escaneo en el host

10. EVALUACIÓN DE CONTROLES, POLÍTICAS Y PROCEDIMIENTOS DE

SEGURIDAD EN LA RED WIFI EVENTOS_COOP DE (objetivo específico 3)

Para recolectar información pertinente sobre los controles, se utiliza la herramienta

checklist, el cual es un formato con una serie de preguntas basadas en los controles a evaluar.

Dicha herramienta es utilizada para la recolección de información de forma ordenada y concreta,

permitiendo que su registro sea de forma fácil para su interpretación.

En el checklist aplicado se evaluaron 2 dominios de seguridad, el dominio 11. Seguridad

física y ambiental y el dominio 13. Seguridad en las telecomunicaciones en donde se evaluaron 2

objetivos de control y 3 controles.

• Dominio 11: Seguridad física y ambiental

Control evaluado: 11.1.1 Perímetro de seguridad física, se formularon preguntas para

evidenciar el estado de seguridad físico del área de TI en donde se administra la red wifi

eventos_coop

• Dominio 13: Seguridad en las telecomunicaciones

Control evaluado: 13.1.1 Controles de red, se plantearon preguntas para establecer si la

universidad emplea mecanismo de protección para la red eventos_coop

27

Control evaluado: 13.1.2 Mecanismos de seguridad asociados a servicios en red, control

en el cual se plantean preguntas para establecer la seguridad en los servicios en red.

A continuación, en la tabla 1 se muestra un resumen del checklist, es decir la cantidad

total de preguntas con su debida respuesta, además se encuentra también la grafica 1 para mejor

interpretación y en la tabla 2 se encuentra el formato completo del checklist.

Tabla 1 Resumen Checklist

Gráfica 1 Resumen del checklist

10.1. EVALUACIÓN DE LOS CONTROLES

Una vez aplicado el checklist, se procede a evaluar el cumplimiento de los

controles, es decir, que tan implementados están esto controles. Para este estudio hemos

desarrollado la tabla 3 valoración de los controles en donde se establecen los niveles de acuerdo a

cada porcentaje:

• Nivel bajo: controles con poco cumplimiento

• Nivel medio: controles que se han instaurado o están en proceso de desarrollo

RESUMEN RESULTADO CHECKLIST

DOMINIO PREGUNTAS SI NO N/A

11 5 4 1 0

12 13 11 2 0

TOTAL 18 15 3 0

28

• Nivel alto: controles debidamente instaurados y documentados.

Tabla 2 valoración de los controles

VALORACION DE LOS CONTROLES

ITEM PORCENTAJE NIVEL

1 0% - 30% BAJO

2 30% - 70% MEDIO

3 70% - 100% ALTO

En la tabla 4, encontramos los 3 controles evaluados con su respectivo porcentaje

posicionándolos en los niveles medio y alto, por lo cual los 3 controles evaluados tienen un

porcentaje de cumplimiento mayor al 80% para mejor interpretación esta la grafica 2. Con el

cumplimiento de los porcentajes.

Tabla 3 nivel de cumplimiento

DOMINI

O

CONTROL A

EVALUAR DESCRIPCIÓN

NIVE

L

11 Perímetro de

seguridad física.

Las instalaciones de la data

center, cuentan con su perímetro de

seguridad correspondiente, sin

embargo, no cuenta con un sistema

de detección de intrusos

70%

13

Controles de

red.

La universidad tiene

empleados diferentes mecanismos de

control de red

90%

Mecanismos

de seguridad

asociados a servicios

en red.

En cuanto a servicios en red

la universidad gestiona y protege de

forma adecuada

90%

29

Gráfica 2 Cumplimiento de los controles

11. SOLUCIONES A LA VULNERABILIDAD ENCONTRADA (objetivo específico 4)

Para darle solución a esta vulnerabilidad se debe habilitar la opción: firmar las

comunicaciones digitalmente (Sign communications digitally) en las políticas de seguridad local

del servidor, esta vulnerabilidad es aprovechada por el protocolo SMB. en el puerto 445 del

servidor, comúnmente es usado para compartir archivos, impresoras, redes y otros recursos. Se

siguen los siguientes pasos en la interfaz gráfica del servidor:

Herramientas administrativas> Directiva de seguridad local o Política de seguridad

local como lo tengan.

Esta configuración de seguridad determina si el componente del servidor SMB requiere la

firma de paquetes.

El protocolo de bloque de mensajes del servidor (SMB) proporciona la base para

compartir archivos e impresiones de Microsoft y muchas otras operaciones de red, como la

administración remota de Windows. Para evitar ataques "man-in-the-middle" que modifican los

paquetes SMB en tránsito, el protocolo SMB admite la firma digital de paquetes SMB. Esta

70%

90% 90%83,33%

0%

20%

40%

60%

80%

100%

Perímetro deseguridad física.

Controles de red. Mecanismos deseguridad

asociados aservicios en red.

Cumplimiento totalNiv

el d

e cu

mp

limie

no

controles

Cumplimiento de los controles

NIVEL

30

configuración de directiva determina si se debe negociar la firma de paquetes SMB antes de que

se permita la comunicación adicional con un cliente SMB.

Si esta configuración está habilitada, el servidor de red de Microsoft no se comunicará

con un cliente de red de Microsoft a menos que ese cliente acepte realizar la firma de paquetes

SMB. Si esta configuración está deshabilitada, la firma de paquetes SMB se negocia entre el

cliente y el servidor.

Por defecto:

• Deshabilitado para servidores miembros.

• Habilitado para controladores de dominio.

Puede configurar esta configuración de seguridad abriendo la política adecuada y expandiendo

el árbol de la consola como tal: Configuración del equipo \ Configuración de Windows \

Configuración de seguridad \ Políticas locales \ Opciones de seguridad. (Microsoft, Servidor de

red de Microsoft: firmar digitalmente las comunicaciones , 2009)

Ilustración 7 Políticas locales> Opciones de seguridad

31

Ilustración 8 Carpeta de opción de seguridad

Ilustración 9 Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)> Habilitado

En la ilustración 10 podemos apreciar las características de la red y direccionamiento IP,

evidenciando la conectividad inalámbrica que tenemos al momento de establecer la conexión, en

el SSID podemos ver el nombre de la red la cual estamos analizando, también podemos apreciar

la MAC siendo la dirección única que tiene asignada en el punto de acceso a la cual estamos

32

conectados, también nos muestra la intensidad de la señal, también nos muestra la puerta de

entrada en este caso es la WAP2 la señal que utiliza es HMz.

Características de la tarjeta de red y direccionamiento IP

Ilustración 10 Análisis con plataforma wirelessMon

En la Ilustración 11 podemos evidenciar los equipos que detecto el programa de

WirelessMon mostrándonos los equipos que están conectados a la red wifi, aunque no son

muchos los que están conectados, también nos muestra los rangos de frecuencia con su

dirección Mac y la intensidad de la señal.

Puntos de acceso SSID

Ilustración 11 Muestra de los equipos que se conectados a la red eventos_coop

Como podemos ver en esta Ilustración 12 y 13 utilizamos la herramienta NMAP, esta

herramienta nos permite hacer un análisis detectando los puertos que están escuchando en

33

una IP o un rango, nmap nos permite identificar que tecnología o producto o versión hay

detrás de un puerto abierto o incluso que sistema operativo está utilizando.

Ilustración 12 Análisis con Zenmap

Ilustración 13 Análisis con Zenmap

34

12. RECOMENDACIONES

Establecer revisiones periódicas a los mecanismos de seguridad, para mantener el riesgo y

las vulnerabilidades en un margen de error aceptable, de igual forma realizar pruebas de intrusión

para verificar la existencia de nuevas vulnerabilidades para tomar acciones correctivas de forma

oportuna. Además de seguir dando cumplimiento a las políticas de seguridad establecidas por la

universidad, como por ejemplo la actualización oportuna de los ordenadores o dispositivos y

parches de seguridad para así de esta forma poder evitar tener cualquier vulnerabilidad y que una

persona extraña, hacker o intruso pueda entrar a la red sin ser invitado

Mejorar el perímetro de seguridad del área de TI que administra las redes, si bien está

definido no cumple con todos los parámetros de áreas seguras, ya que no tiene un sistema

establecido de detección de intrusos, siendo esta un área de fácil acceso.

Establecer un sistema de autenticación y de detección de intrusos en la red, de esta forma

solo se permite el acceso a usuarios identificados y se restringe el acceso a usuarios desconocidos

permitiendo así saber que uso anormal se le está dando a la red, ejemplo de herramientas para la

detección de intrusos en la red es suricata 3.0 que ofrece a los usuarios un sistema de detección de

intrusos, un sistema de prevención de intrusos y un completo monitor de seguridad para cualquier

servidor conectado a la red todo en tiempo real.

35

13. CONCLUSIONES

El desarrollo del presente proyecto nos permitió afianzar los conocimientos sobre la

norma ISO 27001:2013 el cual es el estándar para la seguridad de la información, mostrándonos

todo el tema de gestión de la seguridad a través de sus diversos controles de seguridad, que

sumado a la elección correcta de herramientas de detección de vulnerabilidades permiten conocer

de forma oportuna las falencias en el sistema, permitiendo tomar acciones correctivas para

minimizar el impacto negativo, se logró con el análisis saber que cumplen los controles de red y

con los mecanismos de seguridad que tiene la universidad.

También debemos tener en cuenta que nuestros información siempre va estar protegida y

que no va hacer divulgada, además el encargado del área siempre debe informar de cualquier

vulnerabilidad que se pueda presentar en algún momento y tomar las acciones preventivas

correspondientes, por eso con mayor razón la universidad cuenta con unas buenas políticas de

seguridad, como lo son sus niveles de protección que les permite conocer que ocurre con la red

de la universidad, también debemos tener en cuenta que la seguridad de la red el 100% por el

momento no existe por eso lo que se busca que la seguridad llegue a un porcentaje lo más

cercano que se pueda para así tener una buenas seguridad de dicha red para dar un óptimo

servicio garantizando siempre la confidencialidad, integridad y disponibilidad de la información

36

14. REFERENTES BIBLIOGRÁFICOS

Anónimo. (s.f.). Ecured. Recuperado de https://www.ecured.cu/Auditor%C3%ADa_de_sistemas

Aréa de TI UCC. (2020).

Armijos de la Vera, Prado Bermúdez, Durango Espinoza. (Agosto de 2015). “ESTUDIO,

ANÁLISIS Y OPTIMIZACIÓN DEL TRÁFICO DE LAS REDES WIFI EN LA. Recuperado

de

https://www.dspace.espol.edu.ec/bitstream/123456789/43734/1/ARMIJOS%20DE%20L

A%20VERA%20ELENA%20ESTHER%20Y%20PRADO%20BERM%c3%9aDEZ%20

GIANELLA%20ESTEFAN%c3%8dA.pdf

Bernal, J. J. (26 de 08 de 2013). PDCA. Recuperado de https://www.pdcahome.com/5202/ciclo-

pdca/

División, comunicaciones . (19 de Agosto de 2019). Golsystem. Recuperado de

https://www.golsystems.mx/2019/08/28/access-point-para-tu-hogar-o-

empresa/#:~:text=Un%20punto%20de%20acceso%20es,Fi%20en%20un%20%C3%A1re

a%20designada.

ESPAÑOLA, R. A. (2008-2020). Recuperado de https://definicion.de/software/

Fundación Universitaria Konrad Lorenz. (10 de Julio de 2014). Para Autores: Revista

Latinoamericana de Psicología. Recuperado de

http://publicaciones.konradlorenz.edu.co/index.php/rlpsi/about/submissions#onlineSubmi

ssions

Hernández, R., Fernández, C., & Baptista, P. (2006). Metodología de la investigación. México:

MacGraw-Hill.

ISOTools. (2020). Recuperado de https://www.isotools.org/normas/riesgos-y-seguridad/iso-

27001/

Libre, U. (2020). Universidad Libre. Recuperado de

http://www.unilibre.edu.co/bogota/ul/noticias/noticias-universitarias/152-seguridad-de-la-

informacion#:~:text=La%20Seguridad%20de%20la,confidencialidad%2C%20la%20aute

nticidad%20e%20Integridad.

Luis Rubiano Orozco, M. B. (s.f.). Seguridad informatica. Recuperado de

https://sites.google.com/site/infrmasegura/amenazas-y-vulnerabilidades

37

MAGERIT. (2 de 10 de 2018). Recuperado de

https://interpolados.wordpress.com/2018/10/02/magerit-v-3-metodologia-de-analisis-y-

gestion-de-riesgos-de-los-sistemas-de-informacion/

Martín, M. M. (s.f.). Recuperado de

http://arantxa.ii.uam.es/~jms/pfcsteleco/anteproyectos/Moreno_Martin_Marta_AntePFC.p

df

Martínez Cordero, S. (Diciembre de 2005). Recuperado de

https://www.redalyc.org/pdf/304/30400708.pdf

Norton. (2020). Norton. Recuperado de https://co.norton.com/internetsecurity-malware.html

Softwarelab. (2014). Softwarelab.org. Recuperado de https://softwarelab.org/es/que-es-wifi-que-

significa-y-para-que-

sirve/#:~:text=%C2%BFQu%C3%A9%20es%20WiFi%3F,sin%20la%20necesidad%20de

%20cables.

Universidad Cooperativa de Colombia. (s.f.). Universidad Cooperativa de Colombia. Recuperado

el octubre de 2020, de https://www.ucc.edu.co/institucion/Paginas/historia.aspx

Oracle. Recuperado de 2013,2014.

https://docs.oracle.com/cd/E55837_01/html/E54251/makehtml-id-24.html

Instituto Nacional de Ciberseguridad 11/06/2020. Recuperado de

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/detectada-

vulnerabilidad-afecta-al-protocolo-smb-windows

Seabrookewindows 2021 agosto 26 Recuperado de.

https://www.seabrookewindows.com/qP3y1E5MG/

38

15. ANEXOS

15.1. Anexo A: Checklist identificación del riesgo de los activos de información.

Tabla 4 Formato checklist