UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNIACIONES

DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA

MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE MONITOREO OPEN SOURCE UTILIZADAS

EN LAS PYMES DE GYE

PROYECTO DE TITULACIÓN

Previa a la obtención del Título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTOR(ES):

JHON FERNANDO CHALEN ASUNCIÓN

STALIN GERARDO SANTILLÁN SANCHEZ

TUTOR: ING. JORGE JARAMILLO

GUAYAQUIL – ECUADOR 2016

´

REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS

TEMA: DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE MONITOREO OPEN SOURCE UTILIZADAS EN LAS PYMES DE GYE

REVISORES: Ing. Pedro Núñez Izaguirre Ing. Israel Ortega Oyaga

INSTITUCIÓN: Universidad de Guayaquil FACULTAD: Ciencias Matemáticas y Físicas

CARRERA: Ingeniería en Networking y Telecomunicaciones

FECHA DE PUBLICACIÓN: N° DE PÁGS.: 120

ÁREA TEMÁTICA: Redes y Telecomunicaciones

PALABRAS CLAVES: Administración, Monitoreo, RADIUS, PYMES, Open Source.

RESUMEN: El presente documento plantea proponer un prototipo de software mediante la evaluación de las herramientas de monitoreo de redes en varias de las PYMES de Guayaquil con el fin de obtener la más apropiada para ser propuesta en la red interna de la empresa TODIGISA como un método de supervisión y control de acceso a los recursos de la capa 2 y capa 3 del modelo OSI mediante el protocolo RADIUS para mejorar la seguridad que hasta el momento presenta la empresa, de esta manera se espera reducir los riesgos, ataques y vulnerabilidades que puedan afectar a los equipos de tecnológicos de la Empresa.

N° DE REGISTRO (en base de datos): N° DE CLASIFICACIÓN:

DIRECCIÓN URL: (tesis en la web)

ADJUNTO PDF SI: X NO

CONTACTO CON AUTOR: Teléfono: 0967786916

E-mail: jhon.chalena@ug.edu.ec stalin.santillans@ug.edu.ec

CONTACTO DE LA INSTITUCIÓN

Nombre: Carrera de Ingeniería en Networking y Telecomunicaciones

Teléfono: 04-2307729

II

CARTA DE APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de investigación, “Diseño de un prototipo de

software para mejorar la administración de la red interna en la empresa Todigisa

mediante la evaluación de las herramientas de monitoreo Open Source utilizadas

en las PYMES de GYE” elaborado por los Sres. Jhon Fernando Chalen Asunción

y Stalin Gerardo Santillán Sánchez, Alumnos no titulados de la Carrera de

Ingeniería en Networking y Telecomunicaciones de la Facultad de Ciencias

Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del

Título de Ingeniero en Networking y Telecomunicaciones, me permito declarar

que luego de haber orientado, estudiado y revisado, la Apruebo en todas sus

partes.

Atentamente

Ing. Jorge Jaramillo Ortiz

TUTOR

III

DEDICATORIA

A Dios principalmente por

todo lo que he logrado y

seguiré logrando gracias a él.

A Francisca Asunción y Julio

Chalen, mis padres, por su

amor, comprensión y apoyo

en todo momento y por ser un

pilar fundamental en mi vida.

A mis hermanos por el aliento

brindado para lograr mi

objetivo.

A mis amigos y compañeros

por compartir mis sueños.

Jhon

IV

DEDICATORIA

A mis padres, Ángela

Sánchez y Gerardo Santillán,

por ser pacientes y haberme

apoyado de una manera u

otra, a seguir y cumplir mis

objetivos.

A mis hermanos y a mi

familia, que siempre

estuvieron pendientes y

supieron ver lo mejor de mí.

A mis amigos y toda la gente

que conocí durante este

trayecto, ya que cada uno

formo parte importante en mi

desarrollo como profesional.

Stalin

V

AGRADECIMIENTO

A Dios por darme la

Oportunidad de cumplir este

sueño y por guiarme todos los

días de mi vida.

A mis padres por esforzarse

en darme lo mejor cada día.

A mi familia por brindarme su

amistad y confianza.

A la Empresa en la que

laboro, “TODIGISA” por

brindarme las facilidades

físicas y tiempo para realizar

este proyecto de titulación.

A mi tutor por su ayuda en la

elaboración de este

documento.

Jhon

VI

AGRADECIMIENTO

A mi compañero y amigo Jhon

por permitirme ser parte de

este proyecto de tesis.

A mi familia, por todo el amor

y soporte incondicional

brindado.

A mi tutor y revisores por

ayudarnos con sus

conocimientos en la

preparación y elaboración de

este documento.

Stalin

VII

TRIBUNAL DE PROYECTO DE TITULACIÓN

Ing. Eduardo Santos Baquerizo, M. Sc. Ing. Harry Luna Aveiga, M.Sc. DECANO DE LA FACULTAD DE DIRECTOR CINT CIENCIAS MATEMATICAS Y FISICAS

Ing. Pedro Núñez Izaguirre, Msc. Ing. Israel Ortega Oyaga, Msc. PROFESOR REVISOR PROFESOR REVISOR DEL AREA - TRIBUNAL DEL AREA - TRIBUNAL

Ing. Jorge Jaramillo Ortiz, Msc.

PROFESOR DIRECTOR DEL PROYECTO DE TITULACIÓN

Ab. Juan Chávez A. SECRETARIO

VIII

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de este

Proyecto de Titulación, me corresponde

exclusivamente; y el patrimonio intelectual

de la misma a la UNIVERSIDAD DE

GUAYAQUIL”

_____________________________________

STALIN GERARDO SANTILLÁN SANCHEZ

___________________________________ JHON FERNANDO CHALEN ASUNCION

IX

AUTORÍA

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES

“DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA

ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA

MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE

MONITOREO OPEN SOURCE UTILIZADAS

EN LAS PYMES DE GYE”

Proyecto de Titulación que se presenta como requisito para optar por el

título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES.

Autor: Jhon Fernando Chalen Asunción

C.I.: 092934496-8

Autor: Stalin Gerardo Santillán Sánchez

C.I.: 092652165-9

Tutor: Ing. Jorge Israel Jaramillo Ortiz

viernes, 13 de enero de 2017

X

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de

Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por los estudiantes

JHON FERNANDO CHALEN ASUNCION y STALIN GERARDO SANTILLÁN

SANCHEZ, como requisito previo para optar por el título de Ingeniero en

Networking y Telecomunicaciones cuyo tema es:

DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE MONITOREO OPEN SOURCE UTILIZADAS EN LAS PYMES DE GYE Considero aprobado el trabajo en su totalidad.

Presentado por:

JHON FERNANDO CHALEN ASUNCION C.I.: 092934496-8 STALIN GERARDO SANTILLÁN SANCHEZ C.I.: 092652165-9

Tutor: Ing. Jorge Israel Jaramillo Ortiz

viernes, 13 de enero de 2017

XI

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES

AUTORIZACIÓN PARA PUBLICACIÓN

Autorización para publicación de Proyecto de Titulación en Formato Digital

1. Identificación del Proyecto de Titulación

Nombre Alumno: Jhon Fernando Chalen Asunción

Dirección: Sauces IV, Mz. 366 V4

Teléfono: 0967786916 E-mail: jhon.chalena@ug.edu.ec

Nombre Alumno: Stalin Gerardo Santillán Sánchez

Dirección: Sauces IX, Mz. R23 V6

Teléfono: 2575057 E-mail: stalin.santillans@ug.edu.ec

Facultad: Ciencias Matemáticas y Físicas

Carrera: Ingeniería en Networking y Telecomunicaciones

Proyecto de titulación al que opta: Ingeniero en Networking y

Telecomunicaciones

Profesor tutor: Jorge Israel Jaramillo Ortiz

Título del Proyecto de Titulación: Diseño de un prototipo de software para

mejorar la administración de la red interna en la empresa TODIGISA mediante la

evaluación de las herramientas de monitoreo Open Source utilizadas en las

PYMES de GYE

Tema del Proyecto de Titulación: Monitoreo y control de acceso de redes

empresariales.

mailto:jhon.chalena@ug.edu.ec

XII

2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y

a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica

de este Proyecto de titulación.

Publicación electrónica:

Inmediata X Después de 1 año

Firma de Alumnos: JHON FERNANDO CHALEN ASUNCION C.I.: 092934496-8 STALIN GERARDO SANTILLÁN SANCHEZ C.I.: 092652165-9 3. Forma de envío: El texto del proyecto de titulación debe ser enviado en formato Word, como

archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden

ser: .gif, .jpg o .TIFF.

DVDROM CDROM X

DICE GENERAL

XIII

ÍNDICE GENERAL

CARTA DE APROBACIÓN DEL TUTOR ......................................................... II

DEDICATORIA ................................................................................................... III

AGRADECIMIENTO ............................................................................................ V

TRIBUNAL DE PROYECTO DE TITULACIÓN ............................................ VII

DECLARACIÓN EXPRESA ............................................................................ VIII

AUTORÍA ............................................................................................................. IX

CERTIFICADO DE ACEPTACIÓN DEL TUTOR ............................................ X

AUTORIZACIÓN PARA PUBLICACIÓN ........................................................ XI

ÍNDICE GENERAL ............................................................................................ XII

ABREVIATURAS ............................................................................................. XVI

SIMBOLOGÍA .................................................................................................. XVII

ÍNDICE DE CUADROS Y TABLAS ............................................................ XVIII

ÍNDICE DE GRÁFICOS ................................................................................. XIX

RESUMEN .......................................................................................................... XX

ABSTRACT ...................................................................................................... XXI

INTRODUCCIÓN .................................................................................................. 1

CAPÍTULO I .......................................................................................................... 4

EL PROBLEMA .................................................................................................... 4

PLANTEAMIENTO DEL PROBLEMA ............................................................... 4

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ..................................... 4

SITUACIÓN CONFLICTO. NUDOS CRÍTICOS .............................................. 6

CAUSAS Y CONSECUENCIAS DEL PROBLEMA ........................................ 7

FORMULACIÓN DEL PROBLEMA ................................................................... 8

EVALUACIÓN DEL PROBLEMA ....................................................................... 8

ALCANCE DEL PROBLEMA .............................................................................. 9

OBJETIVOS DE LA INVESTIGACIÓN ........................................................... 11

JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ................... 12

CAPÍTULO II ....................................................................................................... 13

MARCO TEÓRICO ............................................................................................ 13

ANTECEDENTES DE ESTUDIO ..................................................................... 13

FUNDAMENTACIÓN TEÓRICA ...................................................................... 14

Sistemas de Información ............................................................................... 14

XIV

Seguridad en Sistemas de Información ...................................................... 15

Políticas de Seguridad ................................................................................... 18

Seguridad Física ............................................................................................. 19

Seguridad Lógica ............................................................................................ 20

Redes LAN ...................................................................................................... 21

Redes WLAN .................................................................................................. 22

PYMES ............................................................................................................. 26

Riesgos ............................................................................................................ 28

Ataques ............................................................................................................ 32

Vulnerabilidades ............................................................................................. 33

Amenazas ........................................................................................................ 34

Sistema Operativo Linux ............................................................................... 37

Software Libre ................................................................................................. 39

Tipos de Software Libre ................................................................................ 39

Administración y Gestión de Red ................................................................ 41

Operaciones de la Administración y Monitoreo de Redes ....................... 41

Monitoreo de Redes ....................................................................................... 42

Herramientas de Linux para el Monitoreo de Redes ................................ 44

Protocolo Simple de Administración de Red (SNMP) .............................. 48

Protocolo RADIUS .......................................................................................... 50

Operatividad del Protocolo RADIUS ........................................................... 52

Servidor de Acceso a la Red (NAS) ............................................................ 55

Mecanismos de Autenticación ...................................................................... 58

Recursos a Administrar ................................................................................. 61

Infraestructura ................................................................................................. 62

Equipos de Telecomunicaciones ................................................................. 62

FUNDAMENTACIÓN SOCIAL ......................................................................... 65

FUNDAMENTACIÓN LEGAL ........................................................................... 66

HIPÓTESIS ......................................................................................................... 67

VARIABLES DE LA INVESTIGACION ........................................................... 67

DEFINICIONES CONCEPTUALES ................................................................ 67

CAPÍTULO III ...................................................................................................... 70

METODOLOGÍA DE LA INVESTIGACIÓN .................................................... 70

DISEÑO DE LA INVESTIGACIÓN .............................................................. 70

XV

MODALIDAD DE LA INVESTIGACIÓN ...................................................... 70

TIPO DE INVESTIGACIÓN .......................................................................... 70

POBLACIÓN Y MUESTRA ........................................................................... 71

TECNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS ....... 72

RECOLECCIÓN DE INFORMACIÓN ......................................................... 73

PROCESAMIENTO Y ANÁLISIS ................................................................. 73

VALIDACION DE LA HIPÓTESIS ............................................................... 83

CAPÍTULO IV ...................................................................................................... 84

PROPUESTA TECNOLÓGICA ........................................................................ 84

ANÁLISIS DE FACTIBILIDAD .......................................................................... 84

FACTIBILIDAD OPERACIONAL .................................................................. 84

FACTIBILIDAD TÉCNICA ............................................................................. 85

FACTIBILIDAD LEGAL .................................................................................. 86

FACTIBILIDAD ECONÓMICA ...................................................................... 87

ETAPAS DE LA METODOLOGÍA DEL PROYECTO ................................... 88

ENTREGABLES DEL PROYECTO ................................................................. 89

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA .................................. 90

CRITERIOS DE ACEPTACIÓN DEL PRODUCTO ...................................... 90

CONCLUSIONES Y RECOMENDACIONES ................................................ 92

BIBLIOGRAFÍA ................................................................................................... 94

ANEXOS ..................................................................................................................

XVI

ABREVIATURAS CC.MM. FF Facultad de Ciencias Matemáticas y Físicas

CES Consejo Educación Superior

CINT Carrera Ingeniería en Networking

CISC Carrera Ingeniería en Sistemas Computacionales

CPU Unidad Central del Proceso

DDOS Distribución de Denegación de Servicios

GYE Guayaquil

Ing. Ingeniero

ISP Proveedor de Servicios de Internet

LAN Local Area Network

MIB Management Information Base

PMI Project Management Institute

PYMES Pequeñas y Medianas Empresas

TCP Protocolo de Control de Transmisión

TICs Tecnologías de la Información y Comunicación

UDP User Datagram Protocol

UG Universidad de Guayaquil

WLAN Wireless Local Area Network

OSI Open System Interconnection

SNMP Protocolo Simple de Monitoreo de Redes

NAS Servidor de Acceso a la Red

EAP Protocolo de Autenticación Extensible

CHAP Protocolo de Autenticación por Desafío Mutuo

LDAP Protocolo Ligero Simplificado de Acceso a Directorios

WPA Acceso Protegido Wireless

AES Estándar de Encriptación Avanzado

XVII

SIMBOLOGÍA

n Tamaño de la muestra

m Tamaño de la población

E Error de estimación

XVIII

ÍNDICE DE CUADROS Y TABLAS

Pág. Cuadro Nº 1 DEPENDENCIAS UTILIZADAS POR NAGIOS .................................................. 48 Cuadro Nº 2 NUMERO DE PYMES DE LA CIUDAD DE GUAYAQUIL .................. 71/ANEXOS

Cuadro Nº 3 RESULTADOS DE LA PRIMERA PREGUNTA DE LA ENCUESTA .................. 69

Cuadro Nº 4 RESULTADOS DE LA SEGUNDA PREGUNTA DE LA ENCUESTA ................. 70

Cuadro Nº 5 RESULTADOS DE LA TERCERA PREGUNTA DE LA ENCUESTA ................. 71

Cuadro Nº 6 RESULTADOS DE LA CUARTA PREGUNTA DE LA ENCUESTA .................... 72

Cuadro Nº 7 RESULTADOS DE LA QUINTA PREGUNTA DE LA ENCUESTA ..................... 73

Cuadro Nº 8 RESULTADOS DE LA SEXTA PREGUNTA DE LA ENCUESTA ....................... 74

Cuadro Nº 9 RESULTADOS DE LA SÈPTIMA PREGUNTA DE LA ENCUESTA ................... 75

Cuadro Nº 10 CARACTERÌSTICAS DE LAS HERRAMIENTAS DE MONITOREO .................. 77

Cuadro Nº 11 ESPECIFICACIONES TÈCNICAS DEL SERVIDOR .......................................... 80

Cuadro Nº 12 ANÀLISIS DE COSTO Y BENEFICIOS ............................................................. 82

Cuadro Nº 13 MATRIZ DE ACEPTACIÒN ............................................................................... 86

XIX

ÍNDICE DE GRÁFICOS

Pág. Gráfico Nº 1 PRINCIPIO DE TRABAJO DE CACTI ................................................................ 45

Gráfico Nº 2 POSICION EN LA PILA DE PROTOCOLOS ..................................................... 50 Gráfico Nº 3 OPERATIVIDAD DEL PROTOCOLO RADIUS .................................................. 54

Gráfico Nº 4 MODELO GENERICO DE UN SERVIDOR DE ACCESO .................................. 57

Gráfico Nº 5 AUTENTICACION WLAN: ARQUITECTURA IEEE 802.1X ............................... 58

Gráfico Nº 6 RESULTADOS DE LA PRIMERA PREGUNTA DE LA ENCUESTA .................. 69

Gráfico Nº 7 RESULTADOS DE LA SEGUNDA PREGUNTA DE LA ENCUESTA ................. 70

Gráfico Nº 8 RESULTADOS DE LA TERCERA PREGUNTA DE LA ENCUESTA ................. 71

Gráfico Nº 9 RESULTADOS DE LA CUARTA PREGUNTA DE LA ENCUESTA .................... 72

Gráfico Nº 10 RESULTADOS DE LA QUINTA PREGUNTA DE LA ENCUESTA ..................... 73

Gráfico Nº 11 RESULTADOS DE LA SEXTA PREGUNTA DE LA ENCUESTA ....................... 74

Gráfico Nº 12

RESULTADOS DE LA SÈPTIMA PREGUNTA DE LA ENCUESTA ................... 75

XX

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES

DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA

ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA

MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE

MONITOREO OPEN SOURCE UTILIZADAS

EN LAS PYMES DE GYE

RESUMEN Entre los servicios que brinda la Empresa Total Digital S.A. se encuentran los de

proveer soluciones tecnológicas por medio de productos de fabricantes

reconocidos a nivel mundial, así como el monitoreo de servidores de empresas

que necesitan estar en funcionamiento ininterrumpido, en la actualidad existen

varios riesgos en la seguridad de información a nivel Empresarial, la cual debe

ser controlada estrictamente para evitar el robo de información o el acceso no

autorizado de terceras personas, por lo cual existen métodos de seguridad como

el monitoreo y control de acceso a la red.

El presente documento plantea proponer un prototipo de software mediante la

evaluación de las herramientas de monitoreo de redes en varias de las PYMES

de Guayaquil con el fin de obtener la más apropiada para ser propuesta en la red

interna de la empresa TODIGISA como un método de supervisión y control de

acceso de los recursos mediante el protocolo RADIUS para mejorar la seguridad

que hasta el momento presenta la empresa, de esta manera se espera reducir

los riesgos, ataques y vulnerabilidades que puedan afectar a los equipos de

tecnológicos de la Empresa.

Autor: Jhon Fernando Chalen Asunción

Autor: Stalin Gerardo Santillán Sánchez

Tutor: Ing. Jorge Jaramillo

XXI

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES

DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA

ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA

MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE

MONITOREO OPEN SOURCE UTILIZADAS

EN LAS PYMES DE GYE

ABSTRACT

The company Total Digital S.A., offers services such as technological solutions

using different products of recognized worldwide manufacturers and monitoring of

servers from other companies that need to be continuously operating. Nowadays,

there are several information security risks at enterprise level which must be

strictly controlled to prevent unauthorized personal access and data theft; for that

reason, there are some security methods such as monitors systems, control

network access among others.

This document proposes a software prototype by evaluating several network

monitoring tools of small and medium enterprises (PYMES) in Guayaquil, in order

to obtain the most suitable to be implemented on the internal network of

TODIGISA company as a monitoring method and control access to the internal

network using RADIUS protocol to improve the access security that the company

has so far. Thereby, this project is expected to reduce the risks, attacks and

vulnerabilities which may affect the technological resources in the company.

Autor: Jhon Fernando Chalen Asunción

Autor: Stalin Gerardo Santillán Sánchez

Tutor: Ing. Jorge Jaramillo

1

INTRODUCCIÓN

En el presente trabajo de titulación previo a la obtención del título de Ingeniero

en Networking y Telecomunicaciones, se realizará el diseño de un prototipo de

software para mejorar la administración de la red interna en la empresa

TODIGISA mediante la evaluación de las herramientas de monitoreo Open

Source utilizadas en las PYMES de GYE.

En la actualidad, existe una gran cantidad de PYMES que desconocen o

consideran poco prioritario la administración de la red interna de su organización,

como consecuencia, estas evitan realizar una inversión de recursos humanos o

económicos que permitan prevenir el daño, pérdida o robo de información a las

que hoy en día está expuesta cualquier organización que tenga implementado

una red informática.

Un requerimiento primordial en un sistema informático es la implementación de

mecanismos de seguridad para salvaguardar la información, donde los

administradores de redes ejecutan funciones de monitoreo y gestión de la red,

con el fin de saber que los equipos se encuentren en correcto funcionamiento,

de esta manera evitando inconvenientes que puedan afectar el funcionamiento

de la organización

La Empresa TODIGISA, pensando en el desarrollo empresarial, busca mejorar

su nivel seguridad para proteger los recursos y mejorar la infraestructura de su

red, de esta manera ofrece facilidad de desarrollo a su personal, con la finalidad

de proteger la integridad de sus procesos de gestión y funcionamiento.

Para el diseño del prototipo de software se elegirá una herramienta Open Source

adecuada para el monitoreo de red en la empresa TODIGISA, se realizará un

análisis sobre la importancia e influencia de estas herramientas en el rendimiento

de red mediante una encuesta en las PYMES de Guayaquil que cuenten con una

infraestructura de red similar.

2

Adicionalmente se incorporará el uso de un mecanismo de seguridad basado en

las capas 2, 3, 4 del modelo OSI el cual será aplicado mediante la incorporación

del protocolo RADIUS, lo cual permitirá a los usuarios de TODIGISA tener un

mejor control y seguridad en el acceso a la red, protegiendo toda información

que pasa a través de la misma, ya que si un usuario desea acceder a cualquier

recurso informático de la empresa debe hacer uso de su credencial asignada, las

mismas que se estarán registradas en un servidor de dominio. Si los datos de

acceso son correctos se le asignará automáticamente los permisos de operación

según el perfil creado, en caso contrario su acceso será denegado si una

persona con credenciales no autorizadas intenta acceder al sistema.

En estos últimos años la instalación de sistemas operativos basados en Linux y

la implementación de software Open Source, se está extendiendo en muchas

organizaciones de bajos recursos a través del mundo, debido a que existe una

amplia gama de herramientas que permiten diseñar sistemas altamente

eficientes, optimizando la administración de los recursos de la red.

El presente proyecto contiene los capítulos que se mencionan a continuación:

En el capítulo I son mostradas las ideas preliminares, la identificación y

planteamiento en el cual se basa la investigación, las causas y consecuencias

que genera actualmente la problemática, los objetivos y alcance del proyecto, así

como la delimitación y evaluación del problema, los cual forman el marco

referencial de este proyecto de titulación.

En el capítulo II correspondiente al marco teórico, son descritos los

antecedentes, fundamentación y definiciones conceptuales que permitan

sustentar el proyecto mediante la recopilación de información con bases teóricas.

En el capítulo III referente a la metodología, se basa al tipo de investigación que

se ha realizado, se detallan los mecanismos utilizados para la recolección de

datos y el análisis de información.

3

En el capítulo IV, Marco administrativo, se da a conocer la propuesta tecnológica

estimado para el desarrollo del proyecto.

Conclusiones y Recomendaciones, se hace el análisis respectivo sobre el

desarrollo del proyecto y se sugieren recomendaciones para mejora del mismo.

Anexos, Se detallan los pasos para la implementación de la propuesta planteada

(manual técnico) y manual de usuarios para el manejo de las herramientas

propuestas.

4

CAPÍTULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO

Con sede en Quito y Guayaquil, iniciando sus operaciones en esta última hace

diez años. Total Digital S.A es una empresa enfocada a proveer soluciones de

tecnologías utilizando para ello una gama de productos de fabricantes

reconocidos y servicios brindados por profesionales altamente capacitados como

monitoreo de equipos de telecomunicaciones.

En la actualidad, se evidencian varios riesgos de seguridad en relación a las redes

de las empresas tales como; ataques de DDOS, incorrecto uso de aplicaciones,

técnicas de ingeniería social, robo de información, amenazas dentro y fuera de la

empresa que comprometen la operación de la infraestructura de red. Además de

esto, se observa a una gran cantidad de personas conectarse a redes, sean estas

públicas o privadas, con la finalidad de modificar, sustraer o eliminar información.

Por estas razones, es necesario la implementación de una herramienta que

permita el monitoreo de los recursos tecnológicos y un sistema de control de

acceso que impida el ingreso de personas no autorizadas a la red de la

organización.

5

La seguridad de las redes informáticas en el Ecuador ha aumentado en base a

su importancia para las Empresas, hoy en día es fundamental que las pequeñas

y medianas empresas cuenten con un sistema de administración y monitoreo de

redes que permita brindar y asegurar el correcto funcionamiento de los recursos

tecnológicos. Los administradores de redes, son los encargados de la

supervisión de estas herramientas, con el fin de conocer el estado y rendimiento

de la red y los equipos que la conforman, de esta manera evitando

inconvenientes que puedan afectar el funcionamiento y los servicios de la red

con los que cuenta cada empresa.

La red actual de la Empresa TODIGISA, al tratarse de una pequeña empresa en

crecimiento solo dispone como medida de seguridad de un sistema de políticas de

seguridad implementadas de manera local en cada equipo final para el acceso y

manejo de información de la red corporativa de la Empresa, sin embargo, esto

resulta una vulnerabilidad que puede ser explotada, ya que no existe una

herramienta que centralice este proceso y proporcione mayor seguridad al

momento de la autenticación de los usuarios que ingresen al sistema. La empresa

además realiza el monitoreo de sus clientes utilizando herramientas

especializadas de control proporcionadas por ellos mismos a través de una red

privada virtual, más la empresa no cuenta con una herramienta propia para

monitorear su red interna, lo cual no es recomendable debido a las diferentes

actividades de soporte que realiza en sus instalaciones.

Al realizar el análisis de las herramientas de monitoreo de redes en las PYMES de

GYE se determinará cual es la más apropiada para la empresa, además de la

implementación del protocolo RADIUS para mejorar la seguridad de la red interna

en cuanto a control de acceso se refiere. El diseño de un prototipo de software

mediante la implementación de estas herramientas en conjunto permitirá optimizar

y facilitar la administración de los recursos tecnológicos en la organización.

6

SITUACIÓN CONFLICTO. NUDOS CRÍTICOS

La empresa TODIGISA como toda PYME, busca sobresalir para poder competir

contra las demás compañías en el mercado de soluciones integrales

tecnológicas. Para contribuir al mejoramiento continuo de las plataformas IT de

sus clientes, se tomó en cuenta la seguridad interna de la compañía para

salvaguardar el constante flujo de información y datos que se maneja en los

servidores, de esta manera garantizando la estabilidad de su infraestructura.

Mejorar la seguridad en los equipos de telecomunicaciones e implementación de

reglas para disminuir el tráfico de paquetes no deseado en la red interna dado

que esto ocasiona una mayor carga operativa en los servicios de la compañía

ralentizando el sistema. Además de la falta de documentación estructural y

operativa de la red, la cual necesita ser actualizada para tener un registro de las

modificaciones realizadas en la red.

Para ello, es necesario de una herramienta para el monitoreo de la red interna y

sus recursos además de una correcta implementación de políticas de seguridad

mediante el otorgamiento y modificación de permisos, ya sea para usuarios

internos como externos, los cuales deben ser administrados de manera eficaz

para lograr mejorar la seguridad de acceso a la red.

7

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

Causas Consecuencias

Incorrecta implementación

de políticas de seguridad.

Fallos en el diseño de niveles de

accesos para los diferentes grupos

de usuarios.

Escaso dominio de

herramientas de software

libre por parte del

Administrador de red.

Probabilidad de ataques externos a

la empresa con el fin de sustraer

información o detener sus servicios.

Uso indebido de los

dispositivos de

almacenamiento portátiles

en puntos finales.

Ataques internos a la integridad de

la red por falta de una herramienta

confiable para el monitoreo y

seguridad en el acceso a la red.

Falta de administración y

control de acceso para la

seguridad en dispositivos

de capa 2, 3, y 4.

Ralentización de la red interna de la

empresa por el incremento de

tráfico no deseado al navegar o

visitar páginas web prohibidas.

Tomando en consideración los puntos anteriores se puede determinar que para

toda PYME y en especial para TODIGISA es recomendable mejorar la

administración de los recursos que conforman. Se espera obtener como

resultado el diseño de un prototipo de software que permita mejorar la seguridad

de la red mediante la implementación de una herramienta sofisticada capaz de

monitorear de manera eficaz y eficiente los recursos y a su vez, brinde un control

de acceso adecuado aplicando el protocolo RADIUS, optimizando la

administración de los equipos tecnológicos de la empresa.

8

DELIMITACIÓN DEL PROBLEMA

Campo: Informática

Área: Administración de Redes.

Aspecto: Monitoreo y control de acceso de equipos tecnológicos mediante la

implementación de herramientas Open Source.

Tema: Diseño de un prototipo de software para mejorar la administración de la

red interna en la empresa TODIGISA mediante la evaluación de las herramientas

de monitoreo de redes utilizadas en las PYMES de GYE.

FORMULACIÓN DEL PROBLEMA

¿Evaluando las herramientas de monitoreo open source utilizadas en las PYMES

de GYE, podrá diseñarse un prototipo de software implementando el protocolo

RADIUS logrando así una mejora en la administración de la red interna en la

empresa Todigisa?

EVALUACIÓN DEL PROBLEMA

Los aspectos generales de evaluación son:

Delimitado: Se realizará el diseño de un prototipo de software para mejorar la

administración en la red interna de la empresa Todigisa, mediante el análisis de

las herramientas de monitoreo utilizadas en las PYMES en la ciudad de GYE.

Claro: Diseño de un prototipo de software para mejorar la administración de la

empresa TODIGISA, proponiendo la implementación conjunta de una

herramienta de monitoreo y un servidor AAA.

9

Evidente: Debido a la necesidad de encontrar una solución rentable para el

monitoreo de la red interna de la empresa ya que esta carece de una, así mismo

también la inexistencia de políticas para el control de acceso lo que conlleva a

vulnerabilidades en la administración de acceso a los recursos tecnológicos.

Contextual: Debido a que forma parte de los temas estudiados en la CINT,

como lo es la seguridad informática, donde mediante el diseño de un prototipo

de software open source se permita salvaguardar los principios de esta en la red

de la empresa Todigisa.

Factible: Debido que las herramientas utilizadas en el desarrollo del prototipo de

software propuesto a la empresa en este estudio tienen licencia open source, es

decir, no requiere de altos gastos de recursos financieros para su

implementación ya que se pueden obtener con facilidad en internet sin ningún

costo adicional.

Identifica los productos esperados: Debido a que constituye una solución

alternativa para la administración de redes en pequeñas y medianas empresas

que carecen de conocimiento o recursos económicos a la hora de implementar

un sistema de monitoreo y control de acceso.

ALCANCE DEL PROBLEMA

El presente proyecto se basa en el análisis de las herramientas de monitoreo de

redes open source implementadas en las PYMES de Guayaquil aplicado en

conjunto con el protocolo RADIUS para proponer un diseño de prototipo de

software que mejore la administración de la red en la empresa TODIGISA.

Para ello, en un inicio se obtendrá información sobre la situación actual de cómo

se encuentra administrada la red interna de la empresa TODIGISA, así como

también los servicios que presta a sus clientes, además, se ejecutará el proyecto

de acuerdo a las tareas y actividades que permitan el cumplimiento de las tareas

que se describen a continuación:

10

Mediante el uso de datos estadísticos se determinará el número de PYMES

existentes en la ciudad de Guayaquil, para luego proceder a calcular una

muestra con la cual se realizará la investigación de campo.

Una vez terminada la investigación, haciendo uso de métodos exploratorios se

buscará conocer sobre las herramientas utilizadas para el monitoreo de redes y

la importancia de su implementación realizando un estudio de las seguridades

implementadas a nivel empresarial, los diferentes protocolos utilizados a nivel

estructural, el funcionamiento del software de seguridad utilizado, así como sus

ventajas y desventajas.

De acuerdo a lo estudiado, será redactado un cuestionario de preguntas

objetivas las cuales formaran parte de una encuesta que será enviada al número

de PYMES obtenidas anteriormente en la muestra, con revisión y aprobación de

las autoridades, se dará inicio al proceso de evaluación de las herramientas de

monitoreo, recopilando información tales como: el nivel de importancia que se

brinda a la administración de redes en la empresa, rendimiento del software de

monitoreo, nivel de conocimiento de la herramienta utilizada por parte de los

administradores de red, funcionabilidad, motivo principal por la cual se escogió

dicha herramienta, medidas de seguridad aplicadas para el acceso a los

recursos internos de la empresa, disponibilidad de una aplicación que gestione el

control de acceso y datos que soporten y validen nuestra propuesta.

Las encuestas para la recopilación de información se obtendrán por medio del

servicio de formularios de google o realizando visitas directamente a las PYMES

ubicadas en la ciudad de GYE.

Se procederá con la elaboración de un informe basado en los datos obtenidos de

las encuestas realizadas, en el cual se incluirá la tabulación y gráficos

estadísticos de las mismas, además del análisis lógico de los resultados

correspondiente a cada pregunta formulada.

De los datos obtenidos, se realizará un estudio técnico de la herramienta de

monitoreo de redes, donde se analizarán los posibles escenarios de

11

implementación, seleccionando la más adecuada para proponer en la empresa

TODIGISA.

Se implementará un servidor RADIUS en conjunto con la herramienta de

monitoreo, la cual permitirá mejorar la administración y seguridad de acceso a la

red de la empresa, analizando los equipos que intenten ingresar a la red

mediante un sistema centralizado de autenticación y autorización de

credenciales.

Para culminar, se realizará un manual técnico y de usuario basado en la

simulación del diseño implementando la herramienta de monitoreo open source

seleccionada y un servidor RADIUS para verificar la funcionalidad de las

características de cada sistema implementado.

OBJETIVOS DE LA INVESTIGACIÓN

OBJETIVO GENERAL

Diseñar un prototipo de software en conjunto con el protocolo RADIUS

para mejorar la administración de la empresa TODIGISA.

OBJETIVOS ESPECÍFICOS

Evaluar las herramientas de monitoreo de red y la importancia de su

implementación en las PYMES de GYE.

Investigar las características, funcionalidades y requerimientos

necesarios para la implementación de la herramienta de monitoreo.

Diseñar un prototipo de software para mejorar la administración y

funcionamiento de la red interna en la empresa Todigisa.

12

JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN

En la actualidad, la seguridad informática ha obtenido un mayor grado de

importancia en las empresas debido a las constantes amenazas informáticas que

atentan contra los principios de seguridad de la información: disponibilidad,

confidencialidad e integridad.

Al desempeñarse en esta área se puede evidenciar diferentes ataques

informáticos que pueden afectar a la red de una empresa, ya sea por ataques de

denegación de servicio, técnicas de ingeniería social, robo de información y

demás amenazas dentro y fuera de la empresa que comprometan el correcto

funcionamiento de las operaciones de la red informática.

Los propietarios de pequeñas y medianas empresas son poco conscientes de la

necesidad de proteger su negocio contra amenazas internas y externas que

perjudiquen su desempeño, pero la falta de tiempo, recursos o el alto costo

económico que resulta implementarlo, generalmente provoca que estos no se

realicen.

A través de esta investigación se prevé mediante un muestreo en las pequeñas y

medianas empresas, evaluar las diferentes herramientas de monitoreo de redes

y diseñar un prototipo de software utilizando a su vez el protocolo RADIUS para

gestionar un servidor AAA, de esta manera, poniendo a disposición de los

administradores de redes de PYMES, una solución alternativa de software libre

para mejorar la seguridad, administración y control interno de la red de su

empresa.

13

CAPÍTULO II

MARCO TEÓRICO

ANTECEDENTES DE ESTUDIO

Las investigaciones basadas sobre las herramientas de software para el

monitoreo de redes, seguridad en la información y la búsqueda de sistemas que

permitan brindar mayor eficiencia en los recursos tecnológicos de las PYMES

mediante el uso de software libre, no constituye un tema nuevo. En la actualidad,

día a día aparecen nuevos productos en el mercado con mejores

funcionalidades a las ya existentes. Basados en esto, se puede concluir que todo

tiene un ciclo de vida.

Se han realizado varios estudios sobre la seguridad en las redes y protocolos de

comunicación, pero aún existen varios aspectos que carecen de una solución

óptima. El tema de investigación vinculado con el monitoreo y el control a la

seguridad de acceso a los equipos o redes en las pequeñas y medianas

empresas, es un campo el cual le falta aún desarrollarse debido al sin número de

aplicaciones que se les dan a las redes actualmente. Se desconoce de trabajos

anteriores en los que se profundice el impacto de una forma específica sobre

cuál sería la herramienta apropiada para el monitoreo de redes que puedan

utilizar las PYMES de Guayaquil, para que trabaje en conjunto con el protocolo

RADIUS y así, de esta manera poder brindar mayor control, tanto en la

seguridad como en el monitoreo permanente de la red, mejorando el rendimiento

de los recursos de la misma y de igual manera, permita notificar por correos

14

electrónicos al administrador de la red, fallas en los dispositivos conectados.

Para este caso, el enfoque de la investigación será la administración de la red

interna de la Empresa TODIGISA.

FUNDAMENTACIÓN TEÓRICA

Sistemas de Información

Se conoce al sistema de información como un conjunto de elementos

organizados, relacionados y coordinados entre sí, encargados de facilitar el

funcionamiento global de una empresa o de cualquier otra actividad humana

para conseguir sus objetivos (Aguilera López, 2010). Siendo estos elementos:

Recursos:

o Elementos físicos (computadores, periféricos, conexiones…).

o Elementos lógicos (aplicaciones, sistemas operativos…).

Personal (Recurso humano de la empresa u organización).

Información (Conjunto organizado de datos procesados que puede ser

almacenado en cualquier tipo de soporte).

Actividades (Técnicas de trabajo utilizadas en la Empresa u

organización).

Los sistemas de información proporcionan tres funciones principales que ayudan

a lograr el correcto funcionamiento en una empresa (Fernández Alarcón, 2010):

Facilitan la coordinación de las actividades operativas que se realicen en

toda la organización.

Permiten la identificación de las actividades que difieren de los objetivos

planteados dentro de la organización.

15

Simplifican la toma de decisiones al proporcionar la información

necesaria de las actividades operativas y directivas de la organización.

Los sistemas de información realizan cuatro actividades esenciales:

- Entrada de Información: Es la adquisición de los datos necesarios para

el procesamiento de la misma. Se pueden utilizar los siguientes

elementos para el ingreso de información: teclado, mouse, disquete,

cintas magnéticas, etc.

- Almacenamiento de información: La computadora se encarga de

guardar la información en archivos. Los elementos para el

almacenamiento de información son discos duros, pen drive, etc.

- Procesamiento de Información: Conjunto de operaciones que se

realizan internamente en la computadora, permitiendo que la información

sea transformada para realizar una buena toma de decisiones.

- Salida de Información: Es la capacidad de contiene un sistema de

información para mostrar la información procesada. Varios de los

elementos que permiten mostrar dicha información son las impresoras,

pantallas, la voz, etc.

Seguridad en Sistemas de Información

Se lo puede definir como todas las medidas de seguridad, conjunto de

procedimientos, dispositivos y herramientas que se encuentran implementadas

para salvaguardar los principios de disponibilidad, confidencialidad e integridad

de un sistema de información con el fin de reducir los riesgos y amenazas en

una organización. Proteger toda información y la integridad de un sistema

informático es algo fundamental para una empresa, por lo que en pérdidas

16

económicas y de tiempo podría suponer, sin olvidarnos del peligro que podría

acarrear el acceso al sistema de un usuario no autorizado (Alegre Ramos &

García-Cervigón Hurtado, 2011).

Toda empresa debe exigirse un mantenimiento constante de la seguridad en los

sistemas de información pues esto conlleva a su desarrollo económico,

estableciendo confianza en las transacciones que esta realice, lo cual no sería

posible si no se ha implementado una completa gestión de seguridad. (Areitio

Bertolín, 2008).

La gestión de la seguridad comprende la implementación de medidas para

salvaguardar todos los activos de información de una organización utilizando

diferentes técnicas tanto físicas como lógicas de gestión para asegurar la

confianza de los clientes, el prestigio y prolongación de las actividades de la

empresa.

El empleado encargado de gestionar la seguridad de la información en una

organización según Javier Areitio Bertolín (2008), es responsable de cumplir la

gestión de la seguridad de la información (SGSI), este sistema se encarga de

establecer diferentes políticas y procedimientos para garantizar un alto nivel de

protección y mejorar la administración y funcionamiento de la organización en

base a sus objetivos de negocio.

Objetivos Principales de la Seguridad de la Información

La información representa los datos transformados de forma significativa para la

persona que los recibe, es decir tiene un valor real o percibido para sus

decisiones y sus acciones (G.B. Davis, M.H. Olson, J. Ajenstat, J.L. Peaucelle,

1985).

Integridad

Este principio permite hacer referencia a la habilidad con la cual se protege la

información y los datos, garantizando la autenticidad y precisión de la

17

información sin importar el momento en que esta se solicita, es decir, una

garantía de que los datos no han sido alterados ni destruidos de modo no

autorizado. Al trabajar en una red de comunicación es necesario la

comprobación de que los datos no fueron modificados en el lapso de su

transferencia. (Aguilera López, 2010).

La corrupción de información puede ocurrir en cualquier tipo de almacenamiento

y puede originarse por errores de hardware o de errores humanos, para evitar

vulnerabilidades que afecten al principio de integridad, es necesario crear

mecanismos que prevengan y detecten fallos de la información para luego tratar

de solucionar los errores que se han descubierto.

Confidencialidad

Este principio garantiza que la información privada de los usuarios autorizados

no sea revelada a individuos no autorizados. La privacidad en las organizaciones

es de suma importancia para evitar que terceros puedan acceder, modificar o

sustraer información interna o de sus clientes para desprestigiar la empresa o

realizar actividades ilegales con diferentes motivos por lo que es necesario

establecer un sistema y políticas de seguridad de la información.

Entre sus directrices, la Organización para la Cooperación y el Desarrollo

Económico (OCDE,) define la confidencialidad como “el hecho de que los datos

o informaciones estén únicamente al alcance del conocimiento de las personas,

entidades o mecanismos autorizados, en los momentos autorizados y de una

manera autorizada” (Aguilera López, 2010).

De esta manera la confidencialidad consiste en la protección de la información

contra la lectura del personal no autorizado, así como también proteger las

piezas individuales que puedan hacer uso para la obtención de información

confidencial. La encriptación de los datos juega un papel fundamental en este

escenario. En la actualidad, los métodos de encriptación de datos han avanzado

notablemente permitiendo que los datos se mantengan de forma secreta.

18

Disponibilidad

La disponibilidad es el principio de seguridad de la información que tiene como

objetivo asegurar que las personas autorizadas puedan acceder a un servicio o

información requerido por los usuarios sin ningún inconveniente en cualquier

instancia de tiempo que estos deseen. Asegurar la disponibilidad en las

organizaciones permite brindar confianza a sus clientes y mejora la reputación

de la empresa.

Este principio hace referencia a que el hardware, software y la red se encuentren

disponible en todo momento, es decir pueda recuperarse de manera eficaz ante

interrupciones producidas por cualquier tipo de problemas. Además permitirá que

los usuarios autorizados puedan siempre acceder a la información en cualquier

momento cuando estos la necesiten.

El programa MAGERIT (Methodology for Information Systems Risk Analysis and

Management) define la disponibilidad como “grado en el que un dato está en el

lugar, momento y forma en que es requerido por el usuario autorizado. Situación

que se produce cuando se puede acceder a un sistema de información en un

periodo de tiempo considerado aceptable. La disponibilidad está asociada a la

fiabilidad técnica de los componentes del sistema de información” (Aguilera

López, 2010).

Políticas de Seguridad

Las políticas de seguridad son definidas como un sinnúmero de requerimientos

descritos por el personal directo o indirecto de un sistema, por el cual se

comunica al personal de una organización, la importancia y sensibilidad que

posee la información, las reglas o directrices que estos deben acatar para

mantener segura la información con relación a los recursos y servicios

informáticos que permitan a la empresa su crecimiento y mantenerse en

competencia.

19

Las políticas de seguridad son una forma de comunicación entre los usuarios y

son creadas para reducir las vulnerabilidades generadas de manera interna en

una organización para que, de esta forma, se pueda prevenir amenazas que

atenten contra los objetivos generales de seguridad. Es necesario considerar las

siguientes políticas para un esquema basado en seguridad informática (Daltabuit

Godás & Hernandez Audelo, 2007):

Políticas de conexión a la red: Define las condiciones para cuando se

instalen nuevos dispositivos a la red de la empresa.

Políticas de cuentas de usuario: Especifica los privilegios y vigencias

que tienen las cuentas de usuarios.

Políticas de uso aceptable: Define las políticas de buen uso de los

recursos de la organización.

Políticas de configuración del cortafuego: Define las reglas y cambios

en la configuración del firewall.

Políticas de protección de la información: Establece políticas contra

amenazas que vulneren los principios de integridad y confidencialidad.

Políticas de acceso remoto: Establece métodos y condiciones

aceptables para poder ingresar al sistema de manera remota.

Seguridad Física

La seguridad Física es la encargada de la protección o implementación de

mecanismos de control o barreras físicas con la finalidad de prevenir y

contrarrestar las amenazas causadas por el hombre o la naturaleza en un

sistema informático.

20

Existen amenazas físicas que pueden ser provocadas voluntariamente o

accidentalmente por el hombre, por ejemplo, el borrado accidental de

información, olvido o robo de clave, entre otros, así como también existen

amenazas físicas que pueden ser producidas por la naturaleza como por

ejemplo, inundaciones, incendios, entre otros.

La seguridad física no suele tener la misma importancia con respecto a la

seguridad lógica en la mayoría de organizaciones porque estiman una

probabilidad muy baja de que estos sucedan. En ciertos casos esto motiva a que

los atacantes, busquen primero maneras de vulnerar la seguridad física de una

organización antes que la lógica (Villalón Huerta, 2002).

Seguridad Lógica

Seguridad encargada de implementar mecanismos y técnicas de seguridad para

prevenir, proteger y contrarrestar las amenazas que afecten al software y

resguarden el acceso a los datos de un sistema informático con la finalidad de

acceder a los datos o información de la organización.

Los objetivos que seguridad lógica plantea son:

- Restricción de acceso a los programas y archivos

- Que toda transferencia de información realizada llegue a su destino con

el mismo peso.

- Asegurar que los programas, datos y archivos sean los correctos.

- Asegurar que los operadores no realicen modificaciones en los datos o

programas.

- Deben existir medios alternativos para la transmisión de datos entre los

diferentes puntos.

21

Además, este tipo de seguridad tiene como enfoque la parte de software que

administra el acceso al sistema informático, permitiendo que los usuarios, según

los permisos asignados a estos, puedan acceder a los recursos del sistema

informático (Alegre Ramos & García-Cervigón Hurtado, 2011).

Redes LAN

Una red LAN (Local Área Network) se la conoce como una red de área local,

como su nombre lo indica redes de tamaño reducido que son usadas conectadas

a puertos Ethernet de las computadoras en pequeñas y medianas empresas,

casas, en centros, para poder brindar sus servicios a los usuarios. Este tipo de

red opera en velocidades de 10 y 100 Mbps, y pueden ser visualizadas más en

un ámbito doméstico. (Heredero, 2004)

Las características que definen una red LAN son las siguientes:

- Su operación se realiza en un área geográfica limitada

- Mediante la administración local permite controlar la red de forma privada

- Permite la conexión de dispositivos físicamente adyacentes

- Permite la conectividad a servicios locales de la empresa

Es necesario de una correcta implementación de la topología de red en una

organización para lograr un funcionamiento eficaz y eficiente de los servicios que

se utilizaran por sus empleados y aquellos que se brindaran a sus clientes. Los

principales medios de comunicación utilizadas en las redes LAN en la actualidad

son por medio de cableado UTP y la fibra óptica, lo cual permite hacer posible

que se reduzcan la tasa de errores y que la transmisión de datos se realice en

altas velocidades.

22

Redes WLAN

Una red WLAN (Wireless Local Área Network) es una red de área local

inalámbrica. Descrita también como una red de alcance de manera local, para la

transmisión de señales por medio de ondas de frecuencias permitiendo la

comunicación entre diferentes dispositivos como PC’s, impresoras, servidores,

entre otros. Este tipo de red permite flexibilidad en la comunicación ya que

podría ser implementada como extensión o solo ser una red cableada de tamaño

reducido. (Sallent Roig, Valenzuela González, & Agustí Comes, 2003)

Existen diferentes tipos de tecnologías para la implementación de redes

inalámbricas, siendo la más utilizadas de las pequeñas y medianas empresas la

tecnología Wi-Fi. Este mecanismo permite la conexión inalámbrica entre

diferentes dispositivos informáticos en un rango aproximado de veinte metros en

lugares cerrados y de mayor alcance en lugares abiertos. Wi-Fi utiliza el

estándar IEEE 802.11 para la transmisión de información en redes inalámbricas

de área local, siendo los estándares IEEE 802.11b, IEEE 802.11g y IEEE

802.11n los más utilizados a nivel internacional trabajando en la banda de

2.4GHz con velocidades de transmisión hasta 11Mbit/s, 54Mbit/s y 300Mbit/s

respectivamente (Carballar Falcón, 2010).

Las redes WLAN son comúnmente utilizadas como alternativas de la red LAN.

Las ventajas que presentan las redes WLAN se describen a continuación:

- Movilidad y mayor productividad: Los usuarios pueden acceder a la

información de manera rápida desde cualquier lugar de la empresa, esta

movilidad es lo que permite un aumento de productividad.

- Flexibilidad: Permite que los usuarios de las empresas puedan trabajar

desde diversos lugares.

- Escalabilidad: Cambiar la topología de la red resultaría sencillo,

permitiendo la reducción o aumento de equipos con gran facilidad.

23

- Reducción de costes: La instalación de una WLAN permite reducir

costes dependiendo la superficie que se desee cubrir. Los costes a

reducir son la gestión de red que se encuentren relacionados con el

movimiento, cambio de ubicación o ampliación. (Izaskun Pellejero, 2006)

Controles de Acceso

Establecen políticas para resguardar la seguridad del sistema informático,

evitando el uso, modificación o eliminación de la información contenida en este

de personal no autorizado, implementando restricciones en el número de

usuarios y procesos con acceso permitido (Borghello, 2009).

Los controles de acceso se encargan de administrar los permisos de acceso a

los datos o recursos del sistema informático para los usuarios o grupos de la

organización. Para lograr este objetivo, el control de acceso utiliza mecanismos

de Identificación, Autenticación y Autorización:

Identificación: Es el medio por el cual un usuario ingresa en el sistema

informático. Ej. Nombres de usuario o tarjetas de identificación.

Autenticación: Es el proceso mediante el cual se verifica la identidad del

usuario antes de ser autorizado para acceder al sistema. Existen varias técnicas

que hacen posible comprobar la autenticidad de un usuario:

Algo que solo conoce el usuario: Solo pueden asegurar que la

contraseña es válida mas no si el usuario es uno autorizado, por eso es

necesario que el usuario autorizado mantenga en secreto la contraseña

que le ha sido asignada. Ej.: Password, PIN.

Algo que posee el usuario: Son aquellos que hacen uso de diferentes

objetos en los cuales se almacenan contraseñas y certificados digitales

24

para realizar el proceso de validación del usuario. Ej.: Tarjetas de acceso,

tokens.

Algo que es e identifica unívocamente al usuario: Son aquellos en los

que se autentica al usuario por medio de sus rasgos físicos o de

conducta, logrando que estos sean más complicados de falsificar que los

anteriores métodos de autenticación. Ej.: Biometría.

Autorización: Es el paso a seguir del proceso de autenticación del usuario, el

cual permite el acceso al sistema informático de acuerdo al cargo o permisos

que se hayan asignado al usuario dentro de la organización.

Control de Acceso Externo

Dispositivos de Control de Puertos

Los dispositivos de control de puertos permiten la autorización del acceso a un

puerto determinado sea en un switch, hub o router pudiendo estar separados

físicamente.

Firewalls o Puertas de Seguridad

Los firewalls son equipos de comunicaciones que permiten bloquear o filtrar el

acceso entre dos redes. Cumplen la función de permitir que los usuarios internos

de una empresa puedan conectarse a la red exterior al mismo tiempo,

previniendo el ingreso de atacantes o virus a los sistemas informáticos de la

empresa.

Acceso de Personal Contratado o Consultores

El personal contratado debe tomar en consideración cada una de las políticas

establecidas por la empresa y administrar sus perfiles de acceso.

25

Accesos Públicos

Se debe tener en cuenta medidas de seguridad para el control de los sistemas

de información que son consultados diariamente por el público, por ejemplo

consultas, envío y recepción de información mediante el correo electrónico, ya

que el riesgo puede ir en aumento y de esta manera se dificulta su

administración.

Control de acceso Interno

Palabras Claves (Password)

Las claves son indispensables a la hora de proteger los datos o aplicaciones,

son utilizadas para la autenticación al ingreso de los mismos. La robustez de las

claves es un factor fundamental para acceder a diversos sistemas y deben estar

compuesto por letras, números y símbolos para prevenir su hackeo.

Sincronización de claves: Permite que un usuario tenga el permiso de acceder

con una clave a distintos sistemas interrelacionados y que se actualizase de

forma automática en todos ellos en caso que la misma sea modificada.

No es recomendable el uso de esta sincronización debido a que, si alguna

persona obtiene la clave de un usuario, brindan la posibilidad de acceder a todos

los sistemas donde la clave se encuentre configurada.

Caducidad de claves: Se define como un lapso de tiempo en que los usuarios

deben cambiar su clave como manera preventiva, es recomendable el cambio de

la misma cada tres meses.

Listas de Control de Accesos a los recursos

Son los registros que contienen los nombres de usuarios permitidos o

autorizados al ingreso a un sistema. Dependiendo de la cantidad de usuarios

que obtengan soliciten el acceso, el registro varía en su capacidad.

26

Limitaciones en la Interfaz de Usuario

Son un conjunto de listas las cuales controlan y restringen el acceso a ciertas

funciones específicas de un sistema a los usuarios, como por ejemplo: los

menús, vistas sobre la base de datos y límites físicos sobre la interfaces de

usuario

PYMES

Las PYMES están conformadas por pequeñas y medianas empresas que

realizan diferentes actividades económicas y que presentan ciertas dimensiones

en la magnitud de sus ventas, capital social, producción y número de empleados.

La mayoría de estas empresas se dedica a la producción de bienes y servicios,

generando oferta y demanda convirtiéndose en un factor fundamental para el

desarrollo social del país (Seguro de Rentas Internas, s.f.).

“Se conoce como PYME a las siglas que significa “Pequeña y Mediana

Empresa” que existen en el mercado de un país. Las pymes son siglas que se

usan para clasificar a una empresa en relación al número de trabajadores según

su sector de actividad, y en algunos países por sus ingresos netos”. ("PYME",

s.f.)

Las principales ventajas de las PYMES son su capacidad para adaptarse debido

al tamaño de su estructura y su capacidad de lograr especializarse en un área

específica para poder brindar una atención más personalizada. Mientras que los

avances tecnológicos pueden brindar mejoras a una PYME de poseer los

recursos para lograr su implementación, estas también pueden convertirse en

amenazas con respecto a su competencia dado que el mercado en que se

desenvuelven estas empresas es muy competitivo y no lograr adaptarse a los

tiempos actuales en que la tecnología forma parte de casi todo aspecto

supondría una gran desventaja (Grupo Enroke, s.f.).

27

Las TICs en las PYMES

(TELEFÓNICA, 2016), en su portal indica que las nuevas tecnologías

actualmente también pueden ser aplicadas en las pequeñas y medianas

empresas con la finalidad de generar procesos de manera eficaz mediante la

automatización de procesos.

Se define a las TIC como aquellos sistemas informáticos (Hardware y Software)

que permitirá el procesamiento, transmisión y almacenamiento de información.

Existen muchas TIC que las personas usan diariamente como los Smartphone y

las redes sociales, y existen TICs más complejos que son implementados en las

empresas, como ERP y CRM aumentando su productividad y disminuyendo el

costo de los procesos. En la actualidad, las TICs permiten a las PYMES competir

con empresas micro multinacionales.

Ventajas del uso de las TICs en las PYMES

Facilita la toma de decisiones: las TICs permiten tener acceso y por ende

analizar la información obtenida por medio de sistemas empresariales o redes

sociales, se podrá detectar información clave para evaluar la situación actual de

las empresas, detectar tendencias y proporcionar una mejor visión para la

correcta toma de decisiones.

Mejora la comunicación: mejora tanto de manera interna como externa la

comunicación en las empresas por diversos medios como telefonía móvil, e-mail,

redes sociales, entre otros. Mejorando la comunicación tanto con los clientes,

proveedores, trabajadores, etc.

Aumenta la satisfacción de los clientes: mediante las TICs se puede conocer

información de los clientes, tales como hábitos, gustos, necesidades, etc., que

permitirá a la empresa tener un enfoque para brindar un buen servicio al cliente.

28

Mejora la imagen de la empresa: el uso de páginas web proporciona a las

compañías credibilidad además de que en la actualidad muchos usuarios

adquieren productos o servicios mediante sitios web.

Ampliación de negocio: el uso de redes sociales y sitios web aumenta la

posibilidad de dar a conocer el negocio en nuevas fronteras.

Apoya la gestión de procesos: las Tics han disminuido tiempo de los procesos

ya que se eliminan algunos que se realizan de forma manual brindando óptimos

resultados para las empresas.

Desventajas del uso de las TICs

Dentro de las principales desventajas de las Tics se puede nombrar que en

ciertas zonas rurales no existe conexión a Internet. Además, otras desventajas

son la dependencia de terceros y el temor de las empresas por la seguridad de

información.

Riesgos

Los riesgos se conocen como acontecimientos que dificultan el cumplimiento de

un objetivo y según la ISO (Organización Internacional por la Normalización)

define el concepto de riesgo tecnológico como “La probabilidad de que una

amenaza se materialice, utilizando vulnerabilidades existentes de un(os)

grupo(os) de activo(s), generándole daños o pérdidas”.

Todo problema que perjudique completamente el funcionamiento de la empresa

debe ser considerado como amenaza o riesgo para la compañía.

Riesgos informáticos

Según lo indicado por (Serrahima, 2009), en la actualidad un gran porcentaje de

las PYMES se han incorporado al uso de la tecnología informática para mejorar

29

sus procesos de negocios. Pero, así como la tecnología brinda ayuda a las

organizaciones siendo más eficiente también proporciona amenazas y riesgos

que la pueden afectar.

Dentro de los riesgos del uso de la tecnología en las PYMES se pueden

encontrar la perdida de información y el Uso de infraestructura del negocio para

delitos.

Pérdida de información

Ocurre cuando de forma parcial o total se ha extraviado información del negocio.

Tener una copia de seguridad es importante pero muchas veces cuando llega el

momento de usarlo se encuentran varios fallos como por ejemplo información

desactualizada, entre otros.

Dentro de la pérdida de información existen las siguientes causas:

Errores humanos al momento de manipular la tecnología

Ocurre cuando intencionalmente se ha eliminado información, este caso ocurre

frecuentemente dentro de las PYMES, pero su daño es muy leve dependiendo el

archivo omitido. El hecho de trabajar en grupo ha aumentado el índice de

perdida de información al momento de manipular la tecnología, ya que cuando

se trabaja de esta manera en un proyecto los archivos son compartidos y

sobrescritos.

También existe el caso de borrar intencionalmente una carpeta entera,

afortunadamente en los sistemas operativos actuales se los puede recuperar

mediante la papelera de reciclaje, pero también este medio no es una garantía

ya que tiene un límite de capacidad preestablecido.

30

Siniestros

Esto se da en caso de escape de agua del sistema antiincendios o cuando una

bebida se riega encima de una computadora, el aumento de tensión de energía

eléctrica, incendios y golpes a los ordenadores, etc.

Dentro de este grupo también se puede denominar siniestro al robo y

vandalismo, y aunque el seguro pague las indemnizaciones los datos no son

devueltos. El robo de una computadora portátil es común dentro de las

organizaciones motivo por el cual es recomendable usar a este tipo de

ordenadores como herramienta de trabajo y no como unidad de

almacenamiento.

Virus

Este el medio más conocido y el que proporciona menos miedo por el hecho de

al instalarle un antivirus al ordenador se es inmune a este ataque, pero no quiere

decir que hay que bajar la guardia, porque siempre aparecen nuevos tipos de

virus, con comportamientos diferentes y diferente forma de propagación.

Se conoce que los virus alteran el funcionamiento de los ordenadores sin previa

autorización de los usuarios causando daños al sistema. Existen dos medios de

infección:

Online: e-mails y páginas web infectadas.

Soportes externos: medios de almacenamientos (CD, discos duros

externos, memoria flash, etc.).

Los virus que pueden afectar la información almacenada son conocidos como

virus latentes, puesto que estos incuban a escondidas dentro del sistema y son

activados cuando el pc esta hibernando y para cuando ya sea encendida el pc

estará infectado.

31

Hacker

El Hacker o pirata informática es un delincuente que usa las herramientas

tecnológicas para extraer información de manera ilegal aprovechando las

debilidades de los sistemas operativos.

La forma de operar del hacker es introduciéndose en las redes de las empresas

buscando información para ser manipulada o instalando softwares fraudulentos.

Cuando un exfuncionario de la empresa o cualquier persona que tiene acceso a

la información de la organización y busca extraer datos son denominados como

pirata interno por eso es recomendable instalar sistemas que permitan limitar el

acceso de información por usuario.

Uso de infraestructura del negocio para delitos.

El uso del internet también ha ocasionado que esta se convierta en herramienta

para cometer de manera anónima delitos. Los riegos ocasionados por el mal uso

de la infraestructura se dividen en do segmentos:

Riesgos ocasionados desde el interior

Se ocasiona un riesgo legal para el gerente de una empresa cuando los

empleados dan un mal uso de las herramientas informáticas, ya que el gerente

se convierte en responsable por ser cabezas de la organización.

Es importante concientizar a los empleados de sus acciones para evitar

problemas, un ejemplo de las malas actividades que realicen los empleados es

la siguiente: cuando un empleado descarga películas ilegalmente en una

computadora de la empresa.

Riesgos ocasionados desde el exterior

Los delincuentes utilizan una dirección IP de cualquier empresa para cometer

delitos, por lo que el gerente de la empresa dueña de la IP seria el responsable.

32

Los delincuentes muchas veces eligen empresas en las que el ingreso a sus

redes informáticas es de fácil acceso, motivo por el cual es recomendable

instalar firewall en los sistemas.

Ataques

Se define como una técnica que se usa para explotar una vulnerabilidad. Según

varias fuentes bibliográficas, catalogan en tres generaciones de ataques a la

seguridad en redes informáticas, las cuales se nombran a continuación:

En la Primera generación se encuentran los ataques físicos, los cuales pueden

ser generados por equipos electrónicos como, dispositivos de red o cables. En la

actualidad se puede reducir el riesgo de estos ataques con el uso de protocolos

distribuidos y de redundancia para que de esta manera se consiga una

aceptable tolerancia a fallos.

En la segunda generación, existen los ataques sintácticos, los cuales atentan

lógicamente con la operación de las redes y ordenadores aprovechándose de las

vulnerabilidades que contengan en el software, protocolos y algoritmos de

cifrado.

En la tercera generación están los ataques sistemáticos, estos se benefician de

la confianza de los usuarios en la información que pueden ir desde la ubicación

falsa de información en archivos, correos o documentos, hasta la modificación de

datos sensibles, como, por ejemplo, manipulación de información de la base de

datos, entre otras. (Herrera Joancomartí, García Alfaro, & Perramón Tornil, 2007)

Los ataques pueden ser clasificados de manera cómo se abusa los canales de

comunicación (Martínez, 2001)

Suplantar: Es la acción de generar mensajes utilizando la identidad de la

persona cometiendo acciones indebidas.

33

Fisgar: Es aquella actividad que atribuye la copia de información sin una

previa autorización del autor o propietario de la misma.

Alteración de Mensajes: Consiste en capturar un mensaje para ser

modificado previo a la entrega a su destinatario.

Denegación de Servicios (DoS): Método de ataque cuyo objetivo es

inhabilitar el acceso a los recursos o servicios de una entidad en un

periodo de tiempo indefinido. Normalmente este ataque va dirigido a los

servidores de las empresas, para que no puedan realizar consultas o ser

utilizados.

Vulnerabilidades

Se conocen como las debilidades de cualquier tipo, comprometiendo a los

sistemas o redes. Las causas pueden basarse mediante un mal diseño,

implementación y uso de los mismos y también pueden ser explotadas.

Vulnerabilidades de los sistemas informáticos

Según lo estipulado por (CARPENTIER, 2016), existen tres grupos que engloban

las vulnerabilidades que sufren los equipos informáticos:

Vulnerabilidades físicas

Mala estrategia para la protección de los datos

Acceso a salas informáticas que no son seguras.

Falta de equipo óptimo

34

Vulnerabilidades organizativas

Falta de personal capacitado

Falta de comunicación de personal

Falta de controles que se realizan periódicamente a los sistemas

Falta de procedimientos de las actividades que se hacen dentro de la

empresa.

Vulnerabilidades tecnológicas

Fallos en los sistemas y base de datos

Desactualización del sistema operativo

Falta de firewall y antivirus

Redes desorganizadas, complejas y sin protección

Amenazas

Es un factor de origen natural o mal intencionado que puede causar la

posibilidad de interrumpir la operación de un sistema o disponibilidad de la red

en el ambiente de las TICs. Es importante recordar que las amenazas no pueden

ser eliminadas sino mitigadas. Las amenazas pueden dividirse en:

- Amenazas Humanas: Son aquellos actos que son realizados por el

hombre de las cuales pueden clasificarse como maliciosas y no

maliciosas.

35

- Amenazas Maliciosas: Amenazas a realizar con el fin de causar daño

alguno a la entidad.

- Amenazas Internas: Aquella originada por usuarios que tienen cierto

nivel de acceso a una red, conocen su funcionamiento y arquitectura,

además los firewalls e IPS son dispositivos no efectivos para este tipo de

amenaza, por ende, se tornan más peligrosas que las externas ya que los

mecanismos de seguridad pueden ser deshabilitados con facilidad.

- Amenazas Externas: Son originadas en los exteriores de la red, dado a

que los atacantes, al no poseer información segura de la misma, podrían

realizar cualquier tipo de acción con el fin averiguar qué es lo que posee

la red para proceder a atacarla. Para este tipo de amenaza existe una

ventaja muy primordial, los administradores de la red podrían prevenir

dichos ataques por medio de equipos y software que cumplas ciertas

funciones de preventivas.

- Amenazas No maliciosas: Son amenazas causadas por equivocación o

error humano, ya sea por falta de conocimiento o no cuenta con la

capacitación adecuada para ejercer alguna actividad o tarea dentro de la

organización.

- Amenazas por desastres Naturales: Amenazas poco frecuentes que no

se pueden predecir ya que son originadas por la naturaleza.

- Otras amenazas: Amenazas en las que el hombre las ve fuera de su

alcance, estas pueden ser falla de los equipos ya sea por cortes de

energía eléctrica o que los mismos no se encuentren en el ambiente

apropiado para su funcionamiento, este tipo de amenaza se la

responsabiliza de carácter humano.

36

Desde otra perspectiva se puede analizar que las amenazas por naturaleza

humana pueden ser originadas por el personal interno de la empresa, los cuales

tienen acceso a la red y conocen su infraestructura además de tener permisos

para que puedan manipularla, mientras que los atacantes o personal externo

necesitan ingresar a los sistemas de defensa que posea la organización, ya sea

firewall o software de bloqueos para luego obtener los privilegios necesarios de

administración del sistema y los ataques terroristas son producidos por un grupo

de individuos que buscan hacer daño a la integridad de los datos o sistemas

pertenecientes a la organización. (Pagani, 2008)

Plan de Contingencia

El objetivo del plan de contingencia es brindar requerimientos para la

recuperación de una organización ante posibles desastres. Los niveles

ejecutivos de la entidad, el técnico de los procesos, así como el personal usuario

deben ser partícipes de este. Es necesario de un documento que incluya el

contenido del plan de contingencias en una empresa para de esta manera poder

difundir todos los temas importantes que este comprende a sus empleados.

Contenido del Plan de Contingencia

Al elaborar un Plan de Contingencia debemos de asegurarnos que sea eficaz y

eficiente para que, en casos de desastres, este se active y la entidad pueda

establecer sus operaciones. Teniendo en claro su concepto, este plan debe

contener:

El tamaño de las instalaciones con las que cuenta la organización.

Se debe identificar el grado de los riesgos a la que se expone la

empresa.

El análisis de los procesos críticos que puedan ocurrir en la organización.

Las medidas de seguridad que se establecen, acorde al grado del riesgo.

37

Al implementar las medidas de seguridad se debe justificar el costo.

Etapas que componen el Plan de Contingencia

El plan de Contingencia se compone de las siguientes etapas:

Análisis del Impacto: Se deben identificar aquellos procesos que

puedan verse afectados y sus posibles riesgos al no estar en

funcionamiento.

Solución de Estrategia: Se debe enlistar medidas pr