DETECCIÓN DE AMENAZAS Y ATAQUES QUE AFECTAN LA INTEGRIDAD

DEL SOFTWARE QUE SE DESARROLLA EN LA EMPRESA SUNDEVS DE

IBAGUÉ

PRESENTADO POR:

JHONATHAN EDUARDO ASCENCIO GOMEZ

JESSIKA GABRIELA LOZANO OSPINA

Modalidad de grado Seminario de perfeccionamiento Requisito Parcial para obtener el título de Ingeniero de Sistemas

Director de trabajo de grado

Iván Mendaz Alvarado

UNIVERSIDAD COOPERTIVA DE COLOMBIA FACULTAD INGENIERIAS

PROGRAMA INGENIERIA DE SISTEMAS

IBAGUE 2021

NOTA DE ACEPTACIÓN

____________________________________ ____________________________________ ____________________________________ ____________________________________

____________________________________

_______________________

PRIMER JURADO

_______________________ SEGUNDO JURADO

_______________________

TERCER JURADO

Ibagué, noviembre, 2021

AGRADECIMIENTOS

Dedicamos este seminario a Dios y nuestras familias las cuales el apoyo y la

confianza ha sido fundamental para el desarrollo de nuestro proceso de

formación académica.

A nuestros maestros, compañeros y amigo que nos apoyaron y motivaron para

los objetivos que nos propusimos a la hora de tomar este reto como parte de

nuestras vidas.

Tabla de contenido GLOSARIO ...................................................................................................................................... 5

RESUMEN ....................................................................................................................................... 7

ABSTRACT ...................................................................................................................................... 8

INTRODUCCIÓN .............................................................................................................................. 9

TÍTULO ......................................................................................................................................... 10

1. DESCRIPCIÓN DEL PROBLEMA .............................................................................................. 11

1.1. Formulación del problema ......................................................................................... 11

1.2. Justificación del problema: ........................................................................................... 12

1.3. Objetivo ....................................................................................................................... 13

Objetivo general: ................................................................................................................. 13

Objetivos específicos: .......................................................................................................... 13

2. MARCOS DE REFENCIAS ....................................................................................................... 14

2.1. Marco teórico .............................................................................................................. 14

2.1.1. Red de datos ........................................................................................................ 14

2.1.2. Seguridad informática o Ciberseguridad ............................................................... 15

2.1.3. Seguridad de la Información ................................................................................. 15

2.1.4. Amenazas ............................................................................................................. 16

2.1.5. Ataques informáticos ........................................................................................... 17

2.1.6. ISO/IEC 27001 – Information security management systems (Sistema de

administración de la seguridad de la información) ............................................................... 18

2.1.7. ISO/IEC 17799 (Código de Práctica para la Gestión de Seguridad de la Información)

cuenta con el respaldo de ISO 27001. .................................................................................. 19

2.1.8. Auditoria Sistema de Gestión Seguridad de la Información (SGSI) ........................ 19

2.2. Marco institucional ...................................................................................................... 20

Metodología ............................................................................................................................. 25

a. Técnicas para la recolección ......................................................................................... 25

b. Análisis de la información ............................................................................................. 25

c. Herramientas ............................................................................................................... 26

d. Métodos para el diseño e implementación de los sistemas de gestión. ........................ 26

Conclusiones ................................................................................................................................ 29

Recomendaciones ....................................................................................................................... 30

Bibliografía ................................................................................................................................... 33

GLOSARIO

A

Ataques informáticos

Es un intento organizado e intencionado causada por una o más personas para

causar daño o problemas a un sistema informático o red.

Amenazas

Una causa potencial de un incidente no deseado, el cual puede producir un

daño a un sistema o a la Organización.

Antivirus

Es un software diseñado para la detección de software con código malicioso o

destructivo.

Auditoria

Proceso de examinar y revisar un informe cronológico de los eventos de

sistema para determinar su significado y valor.

Autorización

Acción de otorgar el acceso a usuarios, objetos o procesos.

C

Confidencialidad

Es la propiedad de prevenir la divulgación de información a personas o

sistemas no autorizados.

Control de acceso

Limitar el acceso a objetos de acuerdo con los permisos de acceso del sujeto.

El control de acceso puede ser definido por el sistema (Control de accesos

obligatorio, MAC) o por el propietario del objeto (Control de accesos

discrecional, DAC).

Disponibilidad

Es la característica, cualidad o condición de la información de encontrarse a

disposición de quienes deben acceder a ella, ya sean personas, procesos o

aplicaciones.

I

Integridad

Es la propiedad que busca mantener los datos libres de modificaciones no

autorizadas.

Ingeniería social

Técnicas que intentan atacar la seguridad de los sistemas informáticos

engañando a sus usuarios y administradores. La mayoría de las técnicas de

ingeniería social son similares a los timos.

S

Seguridad

Según un enfoque formal, consiste en el cumplimiento de la "tríada de

conceptos": confidencialidad, integridad y disponibilidad.

Seguridad de la información

Son todas aquellas medidas preventivas y reactivas del hombre, de las

organizaciones y de los sistemas tecnológicos que permitan resguardar y

proteger la información.

Spam

Correo comercial no solicitado que se envía a través de internet. El volumen y

contenido del SPAM puede dificultar notablemente el uso de servicios de

correo electrónico.

T

Troyano

Código malicioso camuflado dentro de otro programa aparentemente útil e

inofensivo. Los troyanos pueden ir incluidos dentro de programas conocidos, de

forma que es necesario controlar la fuente de donde se obtiene el software.

V

Virus

El tipo más conocido de código malicioso. Programa que se copia dentro de

otros programas e intenta reproducirse el mayor número de veces posible.

Aunque no siempre es así, la mayoría de las veces el virus, además de

copiarse, altera o destruye la información de los sistemas en los que se

ejecuta.

Vulnerabilidad

Es una debilidad del sistema informático que puede ser utilizada para causar

un daño.

RESUMEN

El proyecto se centró en la detección de amenazas y ataques que afecten la

integridad del software que se desarrolla en la empresa Sundevs de Ibagué,

con el objetivo de proteger la información a través del control de acceso, las

copias de seguridad (backup), y el antivirus, garantizando la integridad,

confidencialidad y la disponibilidad. En su desarrollo se dio a conocer en

detalle, las actividades técnicas que deberán tener en cuenta para el

mejoramiento, las configuraciones y otras medidas aplicables.

Seguidamente se analizaron algunas herramientas relacionadas en el uso de

una estrategia de seguridad de la información.

ABSTRACT

The Project focuses on the detection of threats and attacks that affect the

integrity of the software that is developed in the company SUNDEVS of Ibague,

with the objective protecting information through access control, backup copies,

and antivirus, guaranteeing integrity, confidentiality and availability. In its

development it is given to know in detail, the technical activities that should take

into account in the improvement, configurations and other applicable measures.

Next, some tools related to the use of an information security strategy are

analyzed.

INTRODUCCIÓN

La seguridad de la información y la seguridad informática se constituye

actualmente para las organizaciones, en un pilar fundamental ya que, a través

de ellas, se contrarrestan las amenazas y se mitigan las vulnerabilidades

producto de los constantes ataques realizados por usuarios maliciosos o

delincuentes cibernéticos.

La empresa Sundevs como empresa encargada de desarrollar aplicaciones

informáticas, no cuentan con seguridad informática debido a que consideran

que los datos no corren ningún riesgo de ser atacados, lo cual es un grave

error, ya que existen sujetos externos o internos a la organización, que buscan

la vulnerabilidad que poseen los sistemas para realizar un ataque.

Adicionalmente, la posición de la empresa es que asumen que la seguridad

informática es una inversión y no una necesidad.

En este orden de ideas, es conveniente concientizar a la empresa sobre la

importancia de mantener un sistema de seguridad en los equipos que

distribuyen la información a cualquier parte. Siendo esta una de las razones de

peso que permiten el desarrollo del proyecto que se está proponiendo.

El alcance inicial del proyecto es el de proponer a la empresa, la

implementación de controles que permitan mitigar los ataques que se pueden

presentar por parte de los desarrolladores contratados por Sundevs o por

alguna razón fueron despedidos de la misma.

TÍTULO

DETECCIÓN DE AMENAZAS Y ATAQUES QUE AFECTAN LA INTEGRIDAD

DEL SOFTWARE QUE SE DESARROLLA EN LA EMPRESA SUNDEVS DE

IBAGUÉ

1. DESCRIPCIÓN DEL PROBLEMA

1.1. Formulación del problema

Actualmente en la empresa SUNDEVS realizamos una detección de

amenazas y ataque, identificamos que no cumple con un patrón

(normas y/o estándares) de seguridad ya que se ha encontrado entre

otras.

En el año 2017 en los casos presentados con pérdida de información

irreparable representada por la siguiente gráfica.

Incidentes de pérdida de información.

Imagen 1. Incidentes de pérdida de información.

una de las fallas encontradas en el sistema, es que no genera las

copias de seguridad (Backups) automáticamente, si no manualmente

por medio de los comandos SQL, cosa que debería de ser

automatizada, ya que el sistema en cualquier momento podría tener

dificultades, o sufrir daños irreparables en la base de datos, en dado

caso se perdería la información de tiempo posteriores a la última

copia de la base de datos, esto puede significar perdida de

información de algunos días o meses, este daño podría ser

irreparable o podría costarle un gran valor a la empresa.

La falla más común en la perdida de información está relacionada

con daños o fallas de hardware.

Tomemos el siguiente ejemplo, un empleado ha trabajado durante

mucho tiempo en una empresa, en el empleado es despedido o a

Falla Hardware 41%

Error Humano 30%

Falla Software 14%

Robo 8%

Virus 7%

INCIDENTES DE PERDIDA DE INFORMACION

Falla Hardware

Error Humano

Falla Software

Robo

Virus

renunciado por razones que cree el que son culpa de terceros en la

empresa, El empleado se lleva las credenciales con las que puede

ingresar al sistema y realizar distintos cambios que pueden afectar la

producción del sistema, en este caso si no existen datos de auditoria,

no se puede buscar un culpable o buscar de manera sencilla el lugar

en donde fue realizado el cambio, en otras palabras se pueden

realizar múltiples funciones de personal no autorizado.

“Cuando la gente está desesperada por pagar el techo que tiene

sobre su cabeza o por llevar comida a su mesa, es capaz de hacer

cosas que normalmente no haría, lo cual es por qué el crimen

aumenta cuando sufre la economía,” dice David Griffeth,

vicepresidente de integración de línea de negocios e informes del

RBS Citizens Bank. “Eso no deja de pasar porque uno tenga una

licenciatura o una maestría. Es un miedo común basado en la

necesidad. Uno tiene un distinto nivel de comodidad con el crimen

que comete.

1.2. Justificación del problema:

Inicialmente al poner a prueba esta propuesta se tendrá segura la

información registrada en la base de datos, ya que existirá una

copia de seguridad actualizada y automatizada que generará

cada cierto tiempo, esto con el fin de que en dado caso exista un

fallo en el sistema el cual sea irreparable, tan bien puede existir la

probabilidad de que exista una mala configuración del sistema y

que la única opción sea recuperar las bases de datos previa a los

cambios.

Hacer copias de la base de datos que sean independientes, es

decir que no se sobrescriban al momento de generar una copia

nueva, comúnmente eso puede ser configuración del cron del

servidor.

Elegir la periodicidad para generar backups, en distintos horarios

con el fin de que hallan al menos 2 copias de seguridad por día.

Al momento de realizar una acción que sea destacable en el

sistema, se guardara la persona implicada en el proceso con la

fecha en la que realizo el cambio y la ip del equipo desde el que

realizo el cambio, esto con el fin de que al momento de que exista

un cambio que no haya sido autorizado, se cuente con la

información y pruebas suficientes para auditar el caso.

Controlar el uso del software, este debe de ser limitado a las

personas que trabajen en la compañía, y no controlado por

personas externas a excepción de tener algún permiso especial

con un usuario especial.

1.3. Objetivo

Objetivo general:

Identificar las vulnerabilidades, amenazas y riesgos que se

pueden registrar en el software que desarrolla la empresa

Sundevs en la ciudad de Ibagué.

Objetivos específicos:

Evaluar los riesgos inherentes de la seguridad de la información

en la empresa Sundevs.

Implementar un sistema de backups para asegurar la

disponibilidad de la información de la empresa Sundevs mediante

copias de seguridad actualizadas y automatizadas.

Diseñar un método para la realización de gestión de autorías en

el sistema de la empresa Sundevs.

2. MARCOS DE REFENCIAS

2.1. Marco teórico

2.1.1. Red de datos

Una red de datos es un conjunto de elementos que permiten

conectar dos o más computadoras con el fin de intercambiar datos

entre ellas. En la imagen 1, se muestra una configuración típica de

una red de datos. Esos elementos se pueden dividir en tres

categorías: software, hardware y protocolo.

Imagen 2. Ejemplo de una configuración básica de una red.

Software: son todos los programas informáticos que permiten a los

usuarios de la red comunicarse para compartir información, como

imágenes, documentos u otros archivos, y para utilizar los recursos

de la red, que pueden ser impresoras o discos duros. También

permite la fácil administración de la red y de los sistemas en ella.

Hardware: son todos aquellos elementos físicos que pertenecen a la

red y los cuales permiten hacer uso de los recursos de ésta (Ej.

estaciones de trabajo), así como también permiten comunicar a todos

los equipos (Ej. conmutadores). Algunos equipos de gran importancia

presentes en una red son los servidores, en una red se tiene

básicamente lo que son los servidores Web, de correo, de base de

datos y de archivos de acuerdo con los requerimientos de la

organización.

Protocolo: es el conjunto de normas o reglas establecidas para

llevar a cabo el intercambio de datos entre equipos que conforman

una red. Dentro de los protocolos utilizados en una red están: TCP,

IP, SNMP, FTP, Telnet y HTTP.

2.1.2. Seguridad informática o Ciberseguridad

Para dar una definición clara de Seguridad Informática se deben

definir primero sus dos palabras por separado:

Seguridad: garantía de que un sistema está libre de cualquier

peligro o amenaza, que afecte su disponibilidad, integridad y

confiabilidad.

Informática: conjunto de conocimientos sistematizados y técnicas

que hacen posible el tratamiento automático y racional de la

información, mediante el uso de herramientas computacionales.

Dados los conceptos de las palabras Seguridad e Informática, se

puede decir que Seguridad Informática es la garantía de que los

procesos llevados a cabo para el tratamiento de la información se

mantengan aislados, en lo posible, de las amenazas que puedan

afectar la integridad, disponibilidad y confiabilidad de la información.

Para mantener un sistema informático seguro, se debe tener en

cuenta los principios básicos de la seguridad informática, los cuales

son:

Confidencialidad: Conservar las restricciones autorizadas en el

acceso y divulgación de la información, incluyendo los medios

para proteger la privacidad personal e información del propietario.

Propiedad que establece que la información no es disponible o

divulgada a individuos no autorizados, entidades o procesos.

Integridad: Proteger el acceso contra la indebida modificación o

destrucción de la información, e incluye el aseguramiento del no-

repudio y autenticidad de la información.

Disponibilidad: Garantizar el funcionamiento y usabilidad del

servicio cuando sea solicitado por las personas autorizadas.

2.1.3. Seguridad de la Información

La información es un activo que, como otros activos comerciales

importantes, es esencial para el negocio de una organización y en

consecuencia necesita ser protegido adecuadamente.

Esto es especialmente importante en el ambiente comercial cada vez

más interconectado.

Como resultado de esta creciente interconectividad, la información

ahora está expuesta a un número cada vez mayor y una variedad

más amplia de amenazas y vulnerabilidades.

La información puede existir en muchas formas. Puede estar impresa

o escrita en un papel, almacenada electrónicamente, transmitida por

correo o utilizando medios electrónicos, mostrada en películas o

hablada en una conversación. Cualquiera que sea la forma que tome

la información, o medio por el cual sea almacenada o compartida,

siempre debiera estar apropiadamente protegida.

La seguridad de la información se logra implementando un adecuado

conjunto de controles; incluyendo políticas, procesos,

procedimientos, estructuras organizacionales y funciones de software

y hardware. Se necesitan establecer, implementar, monitorear,

revisar y mejorar estos controles cuando sea necesario para

asegurar que se cumplan los objetivos de seguridad y comerciales

específicos. Esto se debiera realizar en conjunción con otros

procesos de gestión del negocio

2.1.4. Amenazas

Una amenaza es un evento o suceso desfavorable que requiere de

una oportunidad para que cause una violación en la seguridad de un

sistema de información. Dentro de un análisis de riesgos donde se

intenta encontrar las amenazas que pueden repercutir en la

confidencialidad, disponibilidad e integridad del activo en las

actividades de una organización busca responder a las preguntas

¿qué se intenta evitar? o ¿qué se teme que le suceda al activo?,

haciendo más fácil la identificación de las amenazas. También es

buena práctica apoyarse en los estándares de seguridad informática

para la investigación de las amenazas, ya que ellos dan una visión

clara de que puede ser una amenaza a los sistemas de información.

La ISO/IEC 27002 es un claro ejemplo de norma que se puede tener

en cuenta para la identificación de amenazas, ya que los controles

definidos en ella están basados en las amenazas que pueden afectar

un sistema de información.

Las amenazas son múltiples desde una inundación un fallo eléctrico

o una organización criminal o terrorista. As8M una amenaza es todo

aquello que intenta o pretende destruir.

Amenazas humanas

Ingeniería social

Ingeniería social inversa

Robo

Fraude

Sabotaje

Personal

Personal interno

Exempleado

Curiosos

Terroristas

Intrusos

Amenazas de hardware

"Este tipo de amenazas se da por fallas f8sicas que se encuentra

presente en cualquier elemento de dispositi6os que conforman la

computadora. los problemas más identificados para que el suministro

de energía falle son el bajo voltaje, ruido, electromagnético,

distorsión, interferencias etc.

2.1.5. Ataques informáticos

Se puede definir ataque informático como toda acción que busca

comprometer la integridad, confidencialidad y disponibilidad de un

sistema informático, con el objetivo de ganar privilegios en el sistema

permitiéndole tener control sobre él, ya sea para el robo de

información o el colapso del sistema. En la actualidad existe una gran

variedad de ataques, que facilitan al atacante comprometer a

cualquier sistema. A continuación, se define los tipos de ataques más

comunes.

Virus: Son programas informáticos que ejecutan código malicioso y

pueden infectar otros programas para afectar de forma negativa a los

ordenadores.

Troyanos: también llamados caballos de Troya son un programa

malicioso que se esconde dentro de otro programa no maligno, y que

al ejecutarse este último el código malicioso también se ejecuta,

siendo transparente para el usuario. El troyano hace que el atacante

tenga acceso remoto a la información y recursos de la víctima,

permitiéndole robar o dañar información del equipo.

Gusanos o worms: es un código maligno que al ejecutarse realiza

copias de sí mismo con el fin de consumir memoria hasta desbordar

la memoria RAM y desestabilizar al sistema.

Bombas lógicas: son programas que permanecen ocultos en

memoria y se activan cuando se realiza una acción determinada, que

es programada por el creador del código o en determinado tiempo.

Exploits: Programa informático que busca explotar las

vulnerabilidades de otros programas. Esas vulnerabilidades son

errores de programación. El uso principal es explotar una

vulnerabilidad con el fin es inhabilitar el sistema a atacar para

obtener acceso privilegiado a un equipo.

Data tampering: Es la modificación desautorizada de los datos que

se envían por la red.

SQL injection: Ataque en el que se busca aprovechar una

vulnerabilidad causada por errores de programación en las bases de

datos. Este ataque consiste en insertar un código SQL malicioso, por

medio de los parámetros dados por el usuario, dentro de una

sentencia SQL para alterar su funcionamiento normal, ejecutando el

código malicioso en la base de datos.

Network mapping (Mapeo de red): El propósito de este tipo de

ataque es identificar la red, conocer que sistemas y equipos hacen

parte de la red por medio de las respuestas comunes de los

sistemas.

SPAM: Es el envío masivo de mensajes no solicitados, en su gran

mayoría son de tipo publicitario. El medio más común para enviar

estos mensajes es el correo electrónico, y otros medios que son

afectado por el SPAM son los foros, grupos de noticias, e incluso los

teléfonos móviles por medio de mensajes de texto.

Denegación de servicio – DoS (Denial of Service): Ataque a un

sistema que busca limitar el acceso de los usuarios a un servicio,

volviéndolo inaccesible. El ataque se realiza por medio de envíos

masivos de solicitudes al servicio hasta sobrepasar la capacidad

máxima que puede soportar éste, y de esta forma tumbar el servicio

o el sistema en el que se ejecuta. En la Figura 2 se muestra la forma

en que se realiza un ataque de DoS a un servidor.

Man-in-the-middle: Técnica de ataque en la que un atacante tiene la

capacidad de intervenir en la comunicación entre dos entidades,

logrando capturar paquetes en forma pasiva, es decir sin que las

víctimas tengan conocimiento de él. En la Figura 3 se muestra un

ataque Man-in-the-middle en el que el atacante interfiere la

comunicación y modifica los datos hacia una de las víctimas.

ARP Spoofing: Es una técnica de ataque orientada a las redes

segmentadas por switches, en la que se busca redirigir el tráfico con

destino determinada dirección MAC hacia el equipo atacante. Esta

técnica busca falsificar la tabla ARP de una víctima para que éste

envíe los paquetes al atacante y no al verdadero destino.

2.1.6. ISO/IEC 27001 – Information security management systems (Sistema de

administración de la seguridad de la información)

ISO/IEC 27001 es un estándar para la seguridad informática

publicado por la Organización Internacional para la Normalización

(ISO) y por la Comisión Electrotécnica Internacional (IEC) durante el

año 2005. Esta norma busca establecer los requerimientos

necesarios para establecer, implementar, operar, revisar, monitorear,

mantener y mejorar el sistema de administración de la seguridad

dentro del contexto de los riesgos de la organización. La norma

específica los requerimientos para la implementación de controles de

seguridad y está diseñada para asegurar la selección de éstos de

una forma adecuada. Para la aplicación de esta norma se requiere

tener en cuenta la ISO/IEC 17799:2005 ahora llamada ISO/IEC

27002.

2.1.7. ISO/IEC 17799 (Código de Práctica para la Gestión de Seguridad de la

Información) cuenta con el respaldo de ISO 27001.

Un estándar cada vez más popular para redactar e implementar

políticas de seguridad es ISO 17799 "Código de práctica para la

gestión de la seguridad de la información". (ISO 17799 finalmente se

volverá a publicar como ISO 27002 en la nueva familia de normas de

seguridad ISO 27000). ISO 17799 es un conjunto completo de

controles que comprende las mejores prácticas en seguridad de la

información. Es esencialmente una norma de seguridad de

información genérica reconocida internacionalmente. La Tabla 1

resume el área cubierta por esta norma e indica los objetivos para

cada área.

Política de seguridad

Organización de seguridad de la información

Gestión de activos

Seguridad de recursos humanos

Seguridad física y ambiental

Comunicaciones y gestión de operaciones

Control de acceso

Adquisición, desarrollo y mantenimiento de sistemas de

información

Gestión de incidentes de seguridad de la información

Gestión de continuidad del negocio

Conformidad

2.1.8. Auditoria Sistema de Gestión Seguridad de la Información (SGSI)

La herramienta para auditoria de un sistema de gestión de seguridad

de la información (SGSI) nace de la necesidad de aplicar la

tecnología en este importante campo de gestión tanto en la calidad

como la información. Esta herramienta se presenta como una

solución de análisis veraz y efectiva en el manejo de los datos y

estadísticas para el proceso de auditoria; entregando resultados e

información clara y efectiva de cuáles son las áreas y procesos que

necesitan ser verificados y replanteados en las empresas auditadas.

(Momphotes, L.F., Álzate, J.A. (2014), Prototipo para la Auditoria

Sistema de Gestión Seguridad de la Información (SGSI), UTP,

Pereira, Risaralda).

2.2. Marco institucional

Plataforma estratégica de la empresa Sundevs

Misión

Proporcionar Soluciones a empresas y organizaciones para ayudar a

optimizar y alcanzar sus metas de negocio a través del uso de

soluciones que les permitirán competir en un mercado tecnológico y

globalización. Transformado digitalmente y hacer más accesibles los

procesos tecnológicos a todas las personas.

Visión

Transcender como la mejor solución en costo, beneficio y calidad en

servicios y llegar ser conocidos como una empresa líder e

innovadora en el desarrollo a nivel local e internacional.

Objetivos

En todo proyecto de software lo mínimo que se debe determinar son

estas siete (7) cosas:

Tiempos de entrega:

Es primordial entender que el proceso de desarrollo de

software no siempre es veloz, muchas veces hay que iterar

inclusive si el equipo es experimentado, hacer pruebas de

software, corregir errores, encontrar la mejor solución para

resolver un problema, son solo algunas de las tareas a las que

un equipo de trabajo se enfrenta.

Cualquier demora en la entrega implica horas de trabajo extra

que normalmente se cobran al cliente (en algunos casos) por

lo que es primordial evitar este tipo de situaciones.

Retrasos

Cuando se presentan retrasos en los avances o entregas del

proyecto, se ejecutan unas horas extra que, como ya se ha

mencionado anteriormente, normalmente se cobran. En su

buena disposición, las empresas desarrolladoras a veces

simplemente hacen estimaciones en rangos de fechas y no

exactas para evitar este tipo de inconvenientes, lo cual es una

buena práctica siempre y cuando el cliente sepa el estado en

que se encuentra su proyecto.

Algunas empresas desarrolladoras de software crean

bonificaciones económicas para hacer que sus empleados

estén motivados cuando entregan a tiempo y bien hecho su

trabajo.

Calendario de pagos

Es primordial que los clientes sepan que las empresas

desarrolladoras necesitan dinero para poder hacer que sus

programadores trabajen, por lo que establecer los porcentajes

correctos desde el inicio es una buena práctica.

Esto puede hacerse dependiendo del número de meses que

tarda en ejecutarse el proyecto.

Propiedad del código

Un error común de las empresas que contratan a

desarrolladores de software es olvidarse de la entrega del

producto final, puede que el despliegue esté hecho en la tienda

de aplicaciones, pero… ¿Qué pasa con el código fuente?

¿Quién es el dueño? ¿Puede la empresa disponer de él en

cualquier momento? ¡Por supuesto! lo ideal es que se genere

un repositorio en sistemas de control de versiones como

GitHub o Bitbucket en donde los clientes puedan tener acceso

y descargar el código fuente.

Mantenimiento

Las aplicaciones móviles y el software en general requieren

revisiones de seguridad, rendimiento, entre otras. Es

importante por lo tanto que la empresa declare el costo de este

mantenimiento, ya sea mensual o pago único, pero que tanto

las horas de trabajo como el precio de las mismas deben estar

estipuladas en en el contrato.

Garantía

Los fallos son ineludibles en la mayoría de las ocasiones, por

muchas pruebas de software que se hayan ejecutado a veces

los errores simplemente pasan al entorno de producción. Por

eso la empresa desarrolladora debe estipular por cuántos

meses va a monitorear el funcionamiento correcto de la

aplicación móvil.

Hay que entender que el mantenimiento y la garantía son

diferentes, en ésta última, se reparan los errores de los

programadores o fallos que no se tuvieron en cuenta, mientras

que el mantenimiento tiene que ver más las acciones que se

deben ejecutar para el buen funcionamiento de una aplicación.

Confidencialidad

Por muy pequeño que sea el proyecto, la empresa

desarrolladora de software debe ser ética en este sentido,

debe asegurar que los miembros del equipo de trabajo

mantendrán seguro el código fuente, y que no lo difundirán

públicamente en otros lugares.

Además, la información de la infraestructura, el funcionamiento

y demás, debe ser cuidada para evitar difundirla con otras

personas ajenas a la empresa.

Valores

Nuestros valores sobre los que se sostiene esta estrategia de

crecimiento y diferenciación en el servicio son:

Trabajo en equipo: Promoviendo y apoyando un equipo homogéneo,

polivalente e interdepartamental.

Colaboración: Nos integramos con nuestros proveedores y clientes

para mejorar día a día la calidad con los mismos para satisfacer sus

necesidades.

Servicio: Cumplimos con nuestros compromisos y nos hacemos

responsables de nuestro rendimiento en todas nuestras decisiones y

acciones, basándonos en una gran voluntad de servicio por y para

nuestros clientes.

Innovación y mejora continua: Nos damos cuenta de la importancia

de mirar hacia el futuro, por tanto, ofrecemos lo último del mercado

para dar un apoyo y servicio óptimo a nuestros clientes.

Transparencia: La implicación y compromiso del personal no sería

posible sin una absoluta transparencia en los procesos, disponiendo

el personal de la máxima información de la empresa.

Comunicación: Promovemos y facilitamos la comunicación entre

todos los niveles de la organización, disponiendo de herramientas

eficaces, convocando los foros adecuados y con el compromiso

constante de la dirección.

Integridad y Ética: Promovemos un compromiso social y cumplimos

nuestra normativa interna.

Modelo de dirección participativo: El personal de la empresa asume

responsabilidades y participa en el proceso de toma de decisiones.

Responsabilidad Social Corporativa: Contribuimos activamente al

mejoramiento social, económico y ambiental, para mejorar nuestra

situación competitiva y valorativa.

Sundevs se esfuerza para que las personas que integran la empresa

conozcan estos valores y sean capaces de transmitirlos al exterior.

Línea de servicios

Aplicaciones web: Aplicaciones web para administrar su

negocio.

Aplicaciones móviles: Aplicaciones nativas para dispositivos

iOS y Android.

Aumento de personal: desarrolladores calificados para su

proyecto.

Aumento de personal

Aplicaiones móviles

aplicaciones web

Estructura de la empresa

Alcances

Tratamos de involucrar al cliente en el proceso tanto como sea

posible para asegurarnos de que ofrecemos el mejor producto

posible.

Aprendemos todo acerca de nuestros clientes, su proceso de

negocio y de la manera en que podemos ayudarle a mejorarlo.

Funciones del área de tecnología

Usuario clave

El dominio, servidor y correos

Los accesos y contraseñas

Las suscripciones en línea y licencias

Servicios y aplicaciones

Redes sociales

Respaldos, conocimiento y mantenimiento de equipo

Jefe

Desarrollador CEO

Lider de Diseño

CTO Desarrolador

iOS Desarrolador

Android

Back-end

QA Front-end

Metodología

Un método es un procedimiento o proceso sistemático y ordenada para

alcanzar algún objetivo. Una metodología se materializa por un conjunto de

métodos, técnicas y herramientas. No contiene métodos específicos; sin

embargo, lo especifica por procesos.

a. Técnicas para la recolección

Observación

Es una de las técnicas más utilizadas para examinar los diferentes

aspectos que intervienen en el funcionamiento del área informática y los

sistemas software, permite recolectar la información directamente sobre

el comportamiento de los sistemas, del área de informática, de las

funciones y actividades, los procedimientos y operación de los sistemas,

y de cualquier hecho que ocurra en el área. En el caso específico de la

auditoria se aplica para observar todo lo relacionado con el área

informática y los sistemas de una organización con el propósito de

percibir, examinar, o analizar los eventos que se presentan en el

desarrollo de las actividades del área o de un sistema que permita

evaluar el cumplimiento de las funciones, operaciones y procedimientos.

Entrevistas

Esta técnica es la más utilizada por los auditores ya que a través de esta

se obtiene información sobre lo que está auditando, además de tips que

permitirán conocer más sobre los puntos a evaluar o analizar. La

entrevista en general es un medio directo para la recolección de

información para la captura de los datos informados por medio de

grabadoras digitales o cualquier otro medio. En la entrevista, el auditor

interroga, investiga y conforma directamente sobre los aspectos que se

está auditando. En su aplicación se utiliza una guía general de la

entrevista, que contiene una serie de preguntas sobre los temas que se

quiere tocar, y que a medida que avanza pueden irse adaptando para

profundizar y preguntar sobre el tema.

b. Análisis de la información

Antes de realizar el diagnóstico de la seguridad y una vez definido el

contexto en el cual se llevará a cabo es necesario recoger toda la

información posible. Es importante que se obtenga toda la información

bajo un compromiso de confidencialidad firmado.

c. Herramientas

A continuación, se propone la utilización de unas herramientas

computacionales para realizar el diagnóstico de la seguridad de la red. El

uso de cualquier otra herramienta es libre mientras está no comprometa

el buen funcionamiento.

WIRESHARK

Es un analizador de protocolos de red, que permite capturar cualquier

paquete que circule por la red. Con este programa se puede verificar si

por medio de la red se capturan datos sin cifrar, es decir que existe la

posibilidad de que determinada aplicación envíe información confidencial

que puede ser fácilmente interceptada por cualquier persona dentro de

la red.

ETTERCAP

Es una herramienta para realizar ataques de “man in the middle” sobre

las redes LAN, en especial en las basadas en switches. Entre sus

características se encuentra las de sniffer, ARP Spoofing y otras para el

análisis de redes y equipos.

NESSUS

Es una herramienta que se utiliza para escanear uno o varios equipos de

la red con el fin de encontrar sus vulnerabilidades. Con esta herramienta

se puede identificar si el equipo tiene algún problema de seguridad que

puede ser aprovechado por alguien para comprometer el equipo. Puede

indicar si al equipo le falta algún parche o está desactualizado.

YERSINIA

Herramienta de red diseñada para aprovechar debilidades en diferentes

protocolos de la capa de enlace, como STP, DTP, CDP, IEEE 802.1Q,

IEEE 802.1X, VTP y otros. Permite realizar ataques de negación de

servicio a dichos protocolos, ganar privilegios dentro de las redes

segmentadas en VLAN‟s y así capturar todo el tráfico de otras VLAN‟s.

d. Métodos para el diseño e implementación de los sistemas de gestión.

Se realizó una reunión con el dueño de la empresa Sundevs donde se le

hizo la propuesta del trabajo que se iba a realizar; se obtuvo el permiso

para comenzar el estudio, obteniendo también el compromiso para

coopera abiertamente en el proceso. También se dio a conocer esta

noticia a todo el personal de la empresa, con resultados favorables.

Seguridad de los equipos informáticos

La mayoría de los problemas de seguridad en las empresas vienen por

un fallo en algún aspecto básico, normalmente relacionado con los

ordenadores en los que se trabaja. Para que esto no ocurra deben

implementarse las siguientes medidas:

Instalar solo software certificado por fabricantes, y nunca

programas pirateados.

Proteger el equipo con usuario y contraseña, a poder ser

utilizando accesos a nivel de red y que cada empleado tenga su

propio usuario y contraseña con el que acceder a todos los

equipos.

Que cada usuario tenga permisos únicamente para lo que

necesite para trabajar.

Cambiar las contraseñas cada cierto tiempo, idealmente una vez

al mes. Si esto es demasiado trabajo, aunque sea una vez al año

es mejor que no cambiarlas nunca.

Mantener tanto el sistema operativo como el software que se

utiliza actualizado.

No conectar los equipos a Internet si no es estrictamente

necesario.

Instalar un antivirus y cortafuegos.

Periódicamente realizar análisis con el antivirus, y con

herramientas de búsqueda de „malware‟.

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001La ISO 27001 es una norma internacional que

permite el aseguramiento de la confidencialidad e integridad de los datos

y de la información de cualquier organización, así como de los sistemas

que la procesan. Esto permite a las organizaciones salvaguardar la

información que custodian, sobre todo en la red y formatos digitales,

evaluando objetivamente los riesgos y definiendo una serie de medidas

para eliminarlos o reducirlos al máximo.

Implementación de la ISO 27001 Tomando como base esta norma

certificada se debe realizar, entre otras, las siguientes acciones: Una

descripción de la gestión de riesgos donde se detalla la planificación de:

acciones, recursos, responsabilidades y el orden de prioridad con

respecto a la seguridad de la información. Un plan de gestión de riesgos

para alcanzar los objetivos incluyendo la financiación y la asignación de

funciones y responsabilidades. Las medidas necesarias para alcanzar

los objetivos. Planes de capacitación de los profesionales.

Implementación del sistema y gestión de los recursos.

Conclusiones

Al recopilar información sobre la seguridad de la información de la

empresa Sundevs se identificaron vulnerable para un ataque cibernético.

Al desarrollar este trabajo se identificó cuáles son las amenazas que se

encuentran dentro de la empresa Sundevs que son: Las copias de

seguridad y control de auditoria.

Es necesario mantener el sistema en un estado de alerta y actualización

automatizadas permanente: la seguridad es un proceso continuo que

exige aprender sobre las propias experiencias.

Las organizaciones no pueden permitirse considerar la seguridad como

un proceso o un producto aislado de los demás. La seguridad tiene que

formar parte de las organizaciones.

Debido a la constante amenaza en que se encuentran los sistemas, es

necesario que los usuarios y las empresas enfoquen su atención en el

grado de vulnerabilidad y en las herramientas de seguridad con las que

cuentan para hacerle frente a posibles ataques informáticos que luego

se pueden traducir en grandes pérdidas.

El estudio realizado a la empresa Sundevs, permitió dar

recomendaciones puntuales para mejorar las condiciones de la empresa

y su funcionamiento.

Recomendaciones

Se aconseja la implementación de procedimientos y guías de seguridad que

ayuden a complementar la política de seguridad entregada en la presente. Con

el fin de mejorar la seguridad en la empresa Sundevs se recomienda revisar la

política de seguridad y la metodología definidas en el presente trabajo, y así

generar comentarios y recomendaciones que contribuyan a la mejora de estos

documentos.

Se recomienda:

ESTABLEZCA POLÍTICAS DE SEGURIDAD

Este debe ser el punto de arranque para proteger su compañía. Se trata de un

plan diseñado a partir del funcionamiento y las necesidades de su negocio. Con

él se busca proteger la información, garantizar su confidencialidad y

reglamentar su uso y el del sistema por el cual se accede a la misma. El

objetivo final es mitigar el riesgo de pérdida, deterioro o acceso no autorizado.

Además de la información, en las políticas de seguridad informática se incluyen

elementos como el hardware, el software y los empleados; se identifican

posibles vulnerabilidades y amenazas externas e internas; y se establecen

medidas de protección y planes de acción ante una falla o un ataque.

Educar a los empleados ayuda a prevenir brechas de seguridad, por lo que es

preciso incluir las mejores prácticas que todos los trabajadores deben seguir

para minimizar el riesgo y asegurar al máximo la seguridad informática de la

empresa. Esto implica la prohibición de acceder a páginas web sospechosas,

optar siempre por las conexiones HTTPS y no insertar unidades de memoria

externas USB sin previa autorización, entre otros.

RESPALDE LA INFORMACIÓN Y SEPA CÓMO RECUPERARLA

Una compañía que mantiene copias de seguridad periódicas de su información

es capaz de recuperarse más rápido de cualquier ciberataque. Se pueden

hacer respaldos físicos (que deben ser cambiados cada cierto tiempo), en la

nube o una combinación de ambas. La opción que se escoja depende en gran

medida de las necesidades de su empresa, pero lo ideal es que se cuente con

una alternativa que se haga de manera automática y periódica. También puede

encriptar los backups con una contraseña, en caso de que quiera cuidar

información confidencial.

CIFRE LAS COMUNICACIONES DE SU COMPAÑÍA

El cifrado es una técnica con la cual se altera la información para que esta no

sea legible para quienes lleguen a tener acceso a los datos. En las empresas,

la protección de todas las comunicaciones por las cuales se transmiten datos

sensibles debe ser una prioridad corporativa.

De ahí que cifrar contraseñas de usuario, datos personales y financieros,

llamadas, lista de contactos, el acceso a páginas web y al correo electrónico y

conexiones a terminales remotos, entre otros, se ha convertido en una

necesidad de primer nivel. Existen sistemas que cifran los datos enviados

desde una página web y evitan el acceso de posibles atacantes y hoy hasta los

mensajes que se envían por WhatsApp son cifrados.

UTILICE ANTIVIRUS (TANTO EN PC COMO EN MÓVILES)

Las empresas siguen siendo las víctimas número uno de los virus informáticos

por su información financiera o por los datos confidenciales que manejan, por

eso resulta vital que los computadores cuenten con un antivirus instalado. En el

mercado se encuentran varias opciones, por lo que escoger una de ellas

dependerá de las necesidades de cada empresa. En este sentido, tenga en

cuenta aspectos como actualizaciones periódicas, servicio técnico y su facilidad

a la hora de instalar. Además, recuerde que, si sus empleados se conectan a

información de la compañía desde equipos móviles, también debe instalar

antivirus en aparatos como tablets y teléfonos inteligentes.

PROTEJA TODOS LOS EQUIPOS CONECTADOS A LA RED

Muchas compañías siguen cayendo en el error de creer estar blindadas ante

posibles ataques solo por contar con antivirus en sus computadores, pero dejan

de lado otros dispositivos conectados a la Red como impresoras o televisores

inteligentes, los cuales se han convertido en nuevos focos de amenazas

informáticas. Aunque aún no existen en el mercado opciones de antivirus para

estos aparatos específicos, sí se puede minimizar el riesgo con ciertas

acciones. En el caso de las impresoras, ubíquelas tras el cortafuego de la

empresa y sin conexión abierta a Internet, mantenga actualizado su software,

cifre el disco duro y controle a través de contraseñas quién hace uso de esta.

En el caso de los televisores, navegue en ellos solo por sitios seguros,

descargue aplicaciones oficiales y mantenga igualmente el software siempre

actualizado.

ADQUIERA HERRAMIENTAS DE SEGURIDAD

Los firewalls o cortafuegos son otra manera de mantener a los

ciberdelincuentes alejados de la información de las compañías, pues ayudan a

prevenir ataques exteriores a las redes locales. Aunque los computadores ya

vienen con esta opción preinstalada, existen otros más seguros que se puede

incluir por hardware (dispositivos que se añaden a la red) o por software (una

aplicación que se instala en el computador) y lo que hacen es analizar y filtrar

el tráfico que entra y sale y bloquear posibles amenazas. La diferencia es que

el primero lo hace en todos los dispositivos que estén conectados a la red local,

mientras el segundo solo en el dispositivo en el que esté instalado.

Por último, pero no menos importante, está la protección de la red Wi-Fi, una

de las ventanas preferidas por los atacantes por la cual pueden acceder a la

red de las empresas. Para protegerla de manos criminales, empiece por

cambiar la clave que viene por defecto en el router por una de alto nivel de

seguridad, así como el nombre de la red. Utilice el nivel de seguridad WPA2 (el

más seguro), reduzca los rangos de direcciones IP permitidas y autentique a

todas las personas que se conectan a dicha red.

Bibliografía

https://repository.unimilitar.edu.co/bitstream/10654/10200/2/EcheverryParadaJuanSeb

astian2009.pdf

https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/3818/5/7962634

4.pdf

http://www.dit.upm.es/~posgrado/doc/TFM/TFMs20142015/TFM_Maria_Fernanda_Mol

ina_Miranda_2015.pdf

https://www.uv.mx/gestion/files/2013/01/aureliano-aguilar-bonilla.pdf

http://www.portafolio.co/innovacion/siete-recomendaciones-para-proteger-los-

sistemas-informaticos-de-su-compania-506755

https://www.isotools.org/2015/08/13/como-implementar-un-sistema-de-gestion-de-

seguridad-de-la-informacion/

https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf

https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/reporte-anual-cisco-2018-

espan.pdf

http://seguridadinformatica10h.blogspot.com/p/conclusiones-y-recomendasiones.html

https://www.cisco.com/c/en/us/about/press/internet-protocol-journal/back-issues/table-

contents-38/104-standards.html

https://www.iso.org/search.html?q=iso/iec/27001

https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

https://seguinfo.wordpress.com/2009/03/09/protegiendo-la-empresa-de-los-ex-

empleados-enojados-4/

http://www.upv.es/entidades/ASIC/seguridad/353808normalc.html

https://www.entrepreneur.com/article/268128

https://www.ecomputer.es/empresa/mision-vision-valores/

http://seguridadinfo.mex.tl/605316_Seguridad-de-la-informatica.html