DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA ADMINISTRACIÓN DE...
Transcript of DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA ADMINISTRACIÓN DE...
-
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNIACIONES
DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA
MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE MONITOREO OPEN SOURCE UTILIZADAS
EN LAS PYMES DE GYE
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR(ES):
JHON FERNANDO CHALEN ASUNCIÓN
STALIN GERARDO SANTILLÁN SANCHEZ
TUTOR: ING. JORGE JARAMILLO
GUAYAQUIL – ECUADOR 2016
´
-
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS
TEMA: DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE MONITOREO OPEN SOURCE UTILIZADAS EN LAS PYMES DE GYE
REVISORES: Ing. Pedro Núñez Izaguirre Ing. Israel Ortega Oyaga
INSTITUCIÓN: Universidad de Guayaquil FACULTAD: Ciencias Matemáticas y Físicas
CARRERA: Ingeniería en Networking y Telecomunicaciones
FECHA DE PUBLICACIÓN: N° DE PÁGS.: 120
ÁREA TEMÁTICA: Redes y Telecomunicaciones
PALABRAS CLAVES: Administración, Monitoreo, RADIUS, PYMES, Open Source.
RESUMEN: El presente documento plantea proponer un prototipo de software mediante la evaluación de las herramientas de monitoreo de redes en varias de las PYMES de Guayaquil con el fin de obtener la más apropiada para ser propuesta en la red interna de la empresa TODIGISA como un método de supervisión y control de acceso a los recursos de la capa 2 y capa 3 del modelo OSI mediante el protocolo RADIUS para mejorar la seguridad que hasta el momento presenta la empresa, de esta manera se espera reducir los riesgos, ataques y vulnerabilidades que puedan afectar a los equipos de tecnológicos de la Empresa.
N° DE REGISTRO (en base de datos): N° DE CLASIFICACIÓN:
DIRECCIÓN URL: (tesis en la web)
ADJUNTO PDF SI: X NO
CONTACTO CON AUTOR: Teléfono: 0967786916
E-mail: [email protected] [email protected]
CONTACTO DE LA INSTITUCIÓN
Nombre: Carrera de Ingeniería en Networking y Telecomunicaciones
Teléfono: 04-2307729
-
II
CARTA DE APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de investigación, “Diseño de un prototipo de
software para mejorar la administración de la red interna en la empresa Todigisa
mediante la evaluación de las herramientas de monitoreo Open Source utilizadas
en las PYMES de GYE” elaborado por los Sres. Jhon Fernando Chalen Asunción
y Stalin Gerardo Santillán Sánchez, Alumnos no titulados de la Carrera de
Ingeniería en Networking y Telecomunicaciones de la Facultad de Ciencias
Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del
Título de Ingeniero en Networking y Telecomunicaciones, me permito declarar
que luego de haber orientado, estudiado y revisado, la Apruebo en todas sus
partes.
Atentamente
Ing. Jorge Jaramillo Ortiz
TUTOR
-
III
DEDICATORIA
A Dios principalmente por
todo lo que he logrado y
seguiré logrando gracias a él.
A Francisca Asunción y Julio
Chalen, mis padres, por su
amor, comprensión y apoyo
en todo momento y por ser un
pilar fundamental en mi vida.
A mis hermanos por el aliento
brindado para lograr mi
objetivo.
A mis amigos y compañeros
por compartir mis sueños.
Jhon
-
IV
DEDICATORIA
A mis padres, Ángela
Sánchez y Gerardo Santillán,
por ser pacientes y haberme
apoyado de una manera u
otra, a seguir y cumplir mis
objetivos.
A mis hermanos y a mi
familia, que siempre
estuvieron pendientes y
supieron ver lo mejor de mí.
A mis amigos y toda la gente
que conocí durante este
trayecto, ya que cada uno
formo parte importante en mi
desarrollo como profesional.
Stalin
-
V
AGRADECIMIENTO
A Dios por darme la
Oportunidad de cumplir este
sueño y por guiarme todos los
días de mi vida.
A mis padres por esforzarse
en darme lo mejor cada día.
A mi familia por brindarme su
amistad y confianza.
A la Empresa en la que
laboro, “TODIGISA” por
brindarme las facilidades
físicas y tiempo para realizar
este proyecto de titulación.
A mi tutor por su ayuda en la
elaboración de este
documento.
Jhon
-
VI
AGRADECIMIENTO
A mi compañero y amigo Jhon
por permitirme ser parte de
este proyecto de tesis.
A mi familia, por todo el amor
y soporte incondicional
brindado.
A mi tutor y revisores por
ayudarnos con sus
conocimientos en la
preparación y elaboración de
este documento.
Stalin
-
VII
TRIBUNAL DE PROYECTO DE TITULACIÓN
Ing. Eduardo Santos Baquerizo, M. Sc. Ing. Harry Luna Aveiga, M.Sc. DECANO DE LA FACULTAD DE DIRECTOR CINT CIENCIAS MATEMATICAS Y FISICAS
Ing. Pedro Núñez Izaguirre, Msc. Ing. Israel Ortega Oyaga, Msc. PROFESOR REVISOR PROFESOR REVISOR DEL AREA - TRIBUNAL DEL AREA - TRIBUNAL
Ing. Jorge Jaramillo Ortiz, Msc.
PROFESOR DIRECTOR DEL PROYECTO DE TITULACIÓN
Ab. Juan Chávez A. SECRETARIO
-
VIII
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este
Proyecto de Titulación, me corresponde
exclusivamente; y el patrimonio intelectual
de la misma a la UNIVERSIDAD DE
GUAYAQUIL”
_____________________________________
STALIN GERARDO SANTILLÁN SANCHEZ
___________________________________ JHON FERNANDO CHALEN ASUNCION
-
IX
AUTORÍA
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
“DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA
ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA
MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE
MONITOREO OPEN SOURCE UTILIZADAS
EN LAS PYMES DE GYE”
Proyecto de Titulación que se presenta como requisito para optar por el
título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES.
Autor: Jhon Fernando Chalen Asunción
C.I.: 092934496-8
Autor: Stalin Gerardo Santillán Sánchez
C.I.: 092652165-9
Tutor: Ing. Jorge Israel Jaramillo Ortiz
viernes, 13 de enero de 2017
-
X
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por los estudiantes
JHON FERNANDO CHALEN ASUNCION y STALIN GERARDO SANTILLÁN
SANCHEZ, como requisito previo para optar por el título de Ingeniero en
Networking y Telecomunicaciones cuyo tema es:
DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE MONITOREO OPEN SOURCE UTILIZADAS EN LAS PYMES DE GYE Considero aprobado el trabajo en su totalidad.
Presentado por:
JHON FERNANDO CHALEN ASUNCION C.I.: 092934496-8 STALIN GERARDO SANTILLÁN SANCHEZ C.I.: 092652165-9
Tutor: Ing. Jorge Israel Jaramillo Ortiz
viernes, 13 de enero de 2017
-
XI
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
AUTORIZACIÓN PARA PUBLICACIÓN
Autorización para publicación de Proyecto de Titulación en Formato Digital
1. Identificación del Proyecto de Titulación
Nombre Alumno: Jhon Fernando Chalen Asunción
Dirección: Sauces IV, Mz. 366 V4
Teléfono: 0967786916 E-mail: [email protected]
Nombre Alumno: Stalin Gerardo Santillán Sánchez
Dirección: Sauces IX, Mz. R23 V6
Teléfono: 2575057 E-mail: [email protected]
Facultad: Ciencias Matemáticas y Físicas
Carrera: Ingeniería en Networking y Telecomunicaciones
Proyecto de titulación al que opta: Ingeniero en Networking y
Telecomunicaciones
Profesor tutor: Jorge Israel Jaramillo Ortiz
Título del Proyecto de Titulación: Diseño de un prototipo de software para
mejorar la administración de la red interna en la empresa TODIGISA mediante la
evaluación de las herramientas de monitoreo Open Source utilizadas en las
PYMES de GYE
Tema del Proyecto de Titulación: Monitoreo y control de acceso de redes
empresariales.
mailto:[email protected]
-
XII
2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y
a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica
de este Proyecto de titulación.
Publicación electrónica:
Inmediata X Después de 1 año
Firma de Alumnos: JHON FERNANDO CHALEN ASUNCION C.I.: 092934496-8 STALIN GERARDO SANTILLÁN SANCHEZ C.I.: 092652165-9 3. Forma de envío: El texto del proyecto de titulación debe ser enviado en formato Word, como
archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden
ser: .gif, .jpg o .TIFF.
DVDROM CDROM X
DICE GENERAL
-
XIII
ÍNDICE GENERAL
CARTA DE APROBACIÓN DEL TUTOR ......................................................... II
DEDICATORIA ................................................................................................... III
AGRADECIMIENTO ............................................................................................ V
TRIBUNAL DE PROYECTO DE TITULACIÓN ............................................ VII
DECLARACIÓN EXPRESA ............................................................................ VIII
AUTORÍA ............................................................................................................. IX
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ............................................ X
AUTORIZACIÓN PARA PUBLICACIÓN ........................................................ XI
ÍNDICE GENERAL ............................................................................................ XII
ABREVIATURAS ............................................................................................. XVI
SIMBOLOGÍA .................................................................................................. XVII
ÍNDICE DE CUADROS Y TABLAS ............................................................ XVIII
ÍNDICE DE GRÁFICOS ................................................................................. XIX
RESUMEN .......................................................................................................... XX
ABSTRACT ...................................................................................................... XXI
INTRODUCCIÓN .................................................................................................. 1
CAPÍTULO I .......................................................................................................... 4
EL PROBLEMA .................................................................................................... 4
PLANTEAMIENTO DEL PROBLEMA ............................................................... 4
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ..................................... 4
SITUACIÓN CONFLICTO. NUDOS CRÍTICOS .............................................. 6
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ........................................ 7
FORMULACIÓN DEL PROBLEMA ................................................................... 8
EVALUACIÓN DEL PROBLEMA ....................................................................... 8
ALCANCE DEL PROBLEMA .............................................................................. 9
OBJETIVOS DE LA INVESTIGACIÓN ........................................................... 11
JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ................... 12
CAPÍTULO II ....................................................................................................... 13
MARCO TEÓRICO ............................................................................................ 13
ANTECEDENTES DE ESTUDIO ..................................................................... 13
FUNDAMENTACIÓN TEÓRICA ...................................................................... 14
Sistemas de Información ............................................................................... 14
-
XIV
Seguridad en Sistemas de Información ...................................................... 15
Políticas de Seguridad ................................................................................... 18
Seguridad Física ............................................................................................. 19
Seguridad Lógica ............................................................................................ 20
Redes LAN ...................................................................................................... 21
Redes WLAN .................................................................................................. 22
PYMES ............................................................................................................. 26
Riesgos ............................................................................................................ 28
Ataques ............................................................................................................ 32
Vulnerabilidades ............................................................................................. 33
Amenazas ........................................................................................................ 34
Sistema Operativo Linux ............................................................................... 37
Software Libre ................................................................................................. 39
Tipos de Software Libre ................................................................................ 39
Administración y Gestión de Red ................................................................ 41
Operaciones de la Administración y Monitoreo de Redes ....................... 41
Monitoreo de Redes ....................................................................................... 42
Herramientas de Linux para el Monitoreo de Redes ................................ 44
Protocolo Simple de Administración de Red (SNMP) .............................. 48
Protocolo RADIUS .......................................................................................... 50
Operatividad del Protocolo RADIUS ........................................................... 52
Servidor de Acceso a la Red (NAS) ............................................................ 55
Mecanismos de Autenticación ...................................................................... 58
Recursos a Administrar ................................................................................. 61
Infraestructura ................................................................................................. 62
Equipos de Telecomunicaciones ................................................................. 62
FUNDAMENTACIÓN SOCIAL ......................................................................... 65
FUNDAMENTACIÓN LEGAL ........................................................................... 66
HIPÓTESIS ......................................................................................................... 67
VARIABLES DE LA INVESTIGACION ........................................................... 67
DEFINICIONES CONCEPTUALES ................................................................ 67
CAPÍTULO III ...................................................................................................... 70
METODOLOGÍA DE LA INVESTIGACIÓN .................................................... 70
DISEÑO DE LA INVESTIGACIÓN .............................................................. 70
-
XV
MODALIDAD DE LA INVESTIGACIÓN ...................................................... 70
TIPO DE INVESTIGACIÓN .......................................................................... 70
POBLACIÓN Y MUESTRA ........................................................................... 71
TECNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS ....... 72
RECOLECCIÓN DE INFORMACIÓN ......................................................... 73
PROCESAMIENTO Y ANÁLISIS ................................................................. 73
VALIDACION DE LA HIPÓTESIS ............................................................... 83
CAPÍTULO IV ...................................................................................................... 84
PROPUESTA TECNOLÓGICA ........................................................................ 84
ANÁLISIS DE FACTIBILIDAD .......................................................................... 84
FACTIBILIDAD OPERACIONAL .................................................................. 84
FACTIBILIDAD TÉCNICA ............................................................................. 85
FACTIBILIDAD LEGAL .................................................................................. 86
FACTIBILIDAD ECONÓMICA ...................................................................... 87
ETAPAS DE LA METODOLOGÍA DEL PROYECTO ................................... 88
ENTREGABLES DEL PROYECTO ................................................................. 89
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA .................................. 90
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO ...................................... 90
CONCLUSIONES Y RECOMENDACIONES ................................................ 92
BIBLIOGRAFÍA ................................................................................................... 94
ANEXOS ..................................................................................................................
-
XVI
ABREVIATURAS CC.MM. FF Facultad de Ciencias Matemáticas y Físicas
CES Consejo Educación Superior
CINT Carrera Ingeniería en Networking
CISC Carrera Ingeniería en Sistemas Computacionales
CPU Unidad Central del Proceso
DDOS Distribución de Denegación de Servicios
GYE Guayaquil
Ing. Ingeniero
ISP Proveedor de Servicios de Internet
LAN Local Area Network
MIB Management Information Base
PMI Project Management Institute
PYMES Pequeñas y Medianas Empresas
TCP Protocolo de Control de Transmisión
TICs Tecnologías de la Información y Comunicación
UDP User Datagram Protocol
UG Universidad de Guayaquil
WLAN Wireless Local Area Network
OSI Open System Interconnection
SNMP Protocolo Simple de Monitoreo de Redes
NAS Servidor de Acceso a la Red
EAP Protocolo de Autenticación Extensible
CHAP Protocolo de Autenticación por Desafío Mutuo
LDAP Protocolo Ligero Simplificado de Acceso a Directorios
WPA Acceso Protegido Wireless
AES Estándar de Encriptación Avanzado
-
XVII
SIMBOLOGÍA
n Tamaño de la muestra
m Tamaño de la población
E Error de estimación
-
XVIII
ÍNDICE DE CUADROS Y TABLAS
Pág. Cuadro Nº 1 DEPENDENCIAS UTILIZADAS POR NAGIOS .................................................. 48 Cuadro Nº 2 NUMERO DE PYMES DE LA CIUDAD DE GUAYAQUIL .................. 71/ANEXOS
Cuadro Nº 3 RESULTADOS DE LA PRIMERA PREGUNTA DE LA ENCUESTA .................. 69
Cuadro Nº 4 RESULTADOS DE LA SEGUNDA PREGUNTA DE LA ENCUESTA ................. 70
Cuadro Nº 5 RESULTADOS DE LA TERCERA PREGUNTA DE LA ENCUESTA ................. 71
Cuadro Nº 6 RESULTADOS DE LA CUARTA PREGUNTA DE LA ENCUESTA .................... 72
Cuadro Nº 7 RESULTADOS DE LA QUINTA PREGUNTA DE LA ENCUESTA ..................... 73
Cuadro Nº 8 RESULTADOS DE LA SEXTA PREGUNTA DE LA ENCUESTA ....................... 74
Cuadro Nº 9 RESULTADOS DE LA SÈPTIMA PREGUNTA DE LA ENCUESTA ................... 75
Cuadro Nº 10 CARACTERÌSTICAS DE LAS HERRAMIENTAS DE MONITOREO .................. 77
Cuadro Nº 11 ESPECIFICACIONES TÈCNICAS DEL SERVIDOR .......................................... 80
Cuadro Nº 12 ANÀLISIS DE COSTO Y BENEFICIOS ............................................................. 82
Cuadro Nº 13 MATRIZ DE ACEPTACIÒN ............................................................................... 86
-
XIX
ÍNDICE DE GRÁFICOS
Pág. Gráfico Nº 1 PRINCIPIO DE TRABAJO DE CACTI ................................................................ 45
Gráfico Nº 2 POSICION EN LA PILA DE PROTOCOLOS ..................................................... 50 Gráfico Nº 3 OPERATIVIDAD DEL PROTOCOLO RADIUS .................................................. 54
Gráfico Nº 4 MODELO GENERICO DE UN SERVIDOR DE ACCESO .................................. 57
Gráfico Nº 5 AUTENTICACION WLAN: ARQUITECTURA IEEE 802.1X ............................... 58
Gráfico Nº 6 RESULTADOS DE LA PRIMERA PREGUNTA DE LA ENCUESTA .................. 69
Gráfico Nº 7 RESULTADOS DE LA SEGUNDA PREGUNTA DE LA ENCUESTA ................. 70
Gráfico Nº 8 RESULTADOS DE LA TERCERA PREGUNTA DE LA ENCUESTA ................. 71
Gráfico Nº 9 RESULTADOS DE LA CUARTA PREGUNTA DE LA ENCUESTA .................... 72
Gráfico Nº 10 RESULTADOS DE LA QUINTA PREGUNTA DE LA ENCUESTA ..................... 73
Gráfico Nº 11 RESULTADOS DE LA SEXTA PREGUNTA DE LA ENCUESTA ....................... 74
Gráfico Nº 12
RESULTADOS DE LA SÈPTIMA PREGUNTA DE LA ENCUESTA ................... 75
-
XX
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA
ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA
MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE
MONITOREO OPEN SOURCE UTILIZADAS
EN LAS PYMES DE GYE
RESUMEN Entre los servicios que brinda la Empresa Total Digital S.A. se encuentran los de
proveer soluciones tecnológicas por medio de productos de fabricantes
reconocidos a nivel mundial, así como el monitoreo de servidores de empresas
que necesitan estar en funcionamiento ininterrumpido, en la actualidad existen
varios riesgos en la seguridad de información a nivel Empresarial, la cual debe
ser controlada estrictamente para evitar el robo de información o el acceso no
autorizado de terceras personas, por lo cual existen métodos de seguridad como
el monitoreo y control de acceso a la red.
El presente documento plantea proponer un prototipo de software mediante la
evaluación de las herramientas de monitoreo de redes en varias de las PYMES
de Guayaquil con el fin de obtener la más apropiada para ser propuesta en la red
interna de la empresa TODIGISA como un método de supervisión y control de
acceso de los recursos mediante el protocolo RADIUS para mejorar la seguridad
que hasta el momento presenta la empresa, de esta manera se espera reducir
los riesgos, ataques y vulnerabilidades que puedan afectar a los equipos de
tecnológicos de la Empresa.
Autor: Jhon Fernando Chalen Asunción
Autor: Stalin Gerardo Santillán Sánchez
Tutor: Ing. Jorge Jaramillo
-
XXI
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
DISEÑO DE UN PROTOTIPO DE SOFTWARE PARA MEJORAR LA
ADMINISTRACIÓN DE LA RED INTERNA EN LA EMPRESA TODIGISA
MEDIANTE LA EVALUACION DE LAS HERRAMIENTAS DE
MONITOREO OPEN SOURCE UTILIZADAS
EN LAS PYMES DE GYE
ABSTRACT
The company Total Digital S.A., offers services such as technological solutions
using different products of recognized worldwide manufacturers and monitoring of
servers from other companies that need to be continuously operating. Nowadays,
there are several information security risks at enterprise level which must be
strictly controlled to prevent unauthorized personal access and data theft; for that
reason, there are some security methods such as monitors systems, control
network access among others.
This document proposes a software prototype by evaluating several network
monitoring tools of small and medium enterprises (PYMES) in Guayaquil, in order
to obtain the most suitable to be implemented on the internal network of
TODIGISA company as a monitoring method and control access to the internal
network using RADIUS protocol to improve the access security that the company
has so far. Thereby, this project is expected to reduce the risks, attacks and
vulnerabilities which may affect the technological resources in the company.
Autor: Jhon Fernando Chalen Asunción
Autor: Stalin Gerardo Santillán Sánchez
Tutor: Ing. Jorge Jaramillo
-
1
INTRODUCCIÓN
En el presente trabajo de titulación previo a la obtención del título de Ingeniero
en Networking y Telecomunicaciones, se realizará el diseño de un prototipo de
software para mejorar la administración de la red interna en la empresa
TODIGISA mediante la evaluación de las herramientas de monitoreo Open
Source utilizadas en las PYMES de GYE.
En la actualidad, existe una gran cantidad de PYMES que desconocen o
consideran poco prioritario la administración de la red interna de su organización,
como consecuencia, estas evitan realizar una inversión de recursos humanos o
económicos que permitan prevenir el daño, pérdida o robo de información a las
que hoy en día está expuesta cualquier organización que tenga implementado
una red informática.
Un requerimiento primordial en un sistema informático es la implementación de
mecanismos de seguridad para salvaguardar la información, donde los
administradores de redes ejecutan funciones de monitoreo y gestión de la red,
con el fin de saber que los equipos se encuentren en correcto funcionamiento,
de esta manera evitando inconvenientes que puedan afectar el funcionamiento
de la organización
La Empresa TODIGISA, pensando en el desarrollo empresarial, busca mejorar
su nivel seguridad para proteger los recursos y mejorar la infraestructura de su
red, de esta manera ofrece facilidad de desarrollo a su personal, con la finalidad
de proteger la integridad de sus procesos de gestión y funcionamiento.
Para el diseño del prototipo de software se elegirá una herramienta Open Source
adecuada para el monitoreo de red en la empresa TODIGISA, se realizará un
análisis sobre la importancia e influencia de estas herramientas en el rendimiento
de red mediante una encuesta en las PYMES de Guayaquil que cuenten con una
infraestructura de red similar.
-
2
Adicionalmente se incorporará el uso de un mecanismo de seguridad basado en
las capas 2, 3, 4 del modelo OSI el cual será aplicado mediante la incorporación
del protocolo RADIUS, lo cual permitirá a los usuarios de TODIGISA tener un
mejor control y seguridad en el acceso a la red, protegiendo toda información
que pasa a través de la misma, ya que si un usuario desea acceder a cualquier
recurso informático de la empresa debe hacer uso de su credencial asignada, las
mismas que se estarán registradas en un servidor de dominio. Si los datos de
acceso son correctos se le asignará automáticamente los permisos de operación
según el perfil creado, en caso contrario su acceso será denegado si una
persona con credenciales no autorizadas intenta acceder al sistema.
En estos últimos años la instalación de sistemas operativos basados en Linux y
la implementación de software Open Source, se está extendiendo en muchas
organizaciones de bajos recursos a través del mundo, debido a que existe una
amplia gama de herramientas que permiten diseñar sistemas altamente
eficientes, optimizando la administración de los recursos de la red.
El presente proyecto contiene los capítulos que se mencionan a continuación:
En el capítulo I son mostradas las ideas preliminares, la identificación y
planteamiento en el cual se basa la investigación, las causas y consecuencias
que genera actualmente la problemática, los objetivos y alcance del proyecto, así
como la delimitación y evaluación del problema, los cual forman el marco
referencial de este proyecto de titulación.
En el capítulo II correspondiente al marco teórico, son descritos los
antecedentes, fundamentación y definiciones conceptuales que permitan
sustentar el proyecto mediante la recopilación de información con bases teóricas.
En el capítulo III referente a la metodología, se basa al tipo de investigación que
se ha realizado, se detallan los mecanismos utilizados para la recolección de
datos y el análisis de información.
-
3
En el capítulo IV, Marco administrativo, se da a conocer la propuesta tecnológica
estimado para el desarrollo del proyecto.
Conclusiones y Recomendaciones, se hace el análisis respectivo sobre el
desarrollo del proyecto y se sugieren recomendaciones para mejora del mismo.
Anexos, Se detallan los pasos para la implementación de la propuesta planteada
(manual técnico) y manual de usuarios para el manejo de las herramientas
propuestas.
-
4
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO
Con sede en Quito y Guayaquil, iniciando sus operaciones en esta última hace
diez años. Total Digital S.A es una empresa enfocada a proveer soluciones de
tecnologías utilizando para ello una gama de productos de fabricantes
reconocidos y servicios brindados por profesionales altamente capacitados como
monitoreo de equipos de telecomunicaciones.
En la actualidad, se evidencian varios riesgos de seguridad en relación a las redes
de las empresas tales como; ataques de DDOS, incorrecto uso de aplicaciones,
técnicas de ingeniería social, robo de información, amenazas dentro y fuera de la
empresa que comprometen la operación de la infraestructura de red. Además de
esto, se observa a una gran cantidad de personas conectarse a redes, sean estas
públicas o privadas, con la finalidad de modificar, sustraer o eliminar información.
Por estas razones, es necesario la implementación de una herramienta que
permita el monitoreo de los recursos tecnológicos y un sistema de control de
acceso que impida el ingreso de personas no autorizadas a la red de la
organización.
-
5
La seguridad de las redes informáticas en el Ecuador ha aumentado en base a
su importancia para las Empresas, hoy en día es fundamental que las pequeñas
y medianas empresas cuenten con un sistema de administración y monitoreo de
redes que permita brindar y asegurar el correcto funcionamiento de los recursos
tecnológicos. Los administradores de redes, son los encargados de la
supervisión de estas herramientas, con el fin de conocer el estado y rendimiento
de la red y los equipos que la conforman, de esta manera evitando
inconvenientes que puedan afectar el funcionamiento y los servicios de la red
con los que cuenta cada empresa.
La red actual de la Empresa TODIGISA, al tratarse de una pequeña empresa en
crecimiento solo dispone como medida de seguridad de un sistema de políticas de
seguridad implementadas de manera local en cada equipo final para el acceso y
manejo de información de la red corporativa de la Empresa, sin embargo, esto
resulta una vulnerabilidad que puede ser explotada, ya que no existe una
herramienta que centralice este proceso y proporcione mayor seguridad al
momento de la autenticación de los usuarios que ingresen al sistema. La empresa
además realiza el monitoreo de sus clientes utilizando herramientas
especializadas de control proporcionadas por ellos mismos a través de una red
privada virtual, más la empresa no cuenta con una herramienta propia para
monitorear su red interna, lo cual no es recomendable debido a las diferentes
actividades de soporte que realiza en sus instalaciones.
Al realizar el análisis de las herramientas de monitoreo de redes en las PYMES de
GYE se determinará cual es la más apropiada para la empresa, además de la
implementación del protocolo RADIUS para mejorar la seguridad de la red interna
en cuanto a control de acceso se refiere. El diseño de un prototipo de software
mediante la implementación de estas herramientas en conjunto permitirá optimizar
y facilitar la administración de los recursos tecnológicos en la organización.
-
6
SITUACIÓN CONFLICTO. NUDOS CRÍTICOS
La empresa TODIGISA como toda PYME, busca sobresalir para poder competir
contra las demás compañías en el mercado de soluciones integrales
tecnológicas. Para contribuir al mejoramiento continuo de las plataformas IT de
sus clientes, se tomó en cuenta la seguridad interna de la compañía para
salvaguardar el constante flujo de información y datos que se maneja en los
servidores, de esta manera garantizando la estabilidad de su infraestructura.
Mejorar la seguridad en los equipos de telecomunicaciones e implementación de
reglas para disminuir el tráfico de paquetes no deseado en la red interna dado
que esto ocasiona una mayor carga operativa en los servicios de la compañía
ralentizando el sistema. Además de la falta de documentación estructural y
operativa de la red, la cual necesita ser actualizada para tener un registro de las
modificaciones realizadas en la red.
Para ello, es necesario de una herramienta para el monitoreo de la red interna y
sus recursos además de una correcta implementación de políticas de seguridad
mediante el otorgamiento y modificación de permisos, ya sea para usuarios
internos como externos, los cuales deben ser administrados de manera eficaz
para lograr mejorar la seguridad de acceso a la red.
-
7
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
Causas Consecuencias
Incorrecta implementación
de políticas de seguridad.
Fallos en el diseño de niveles de
accesos para los diferentes grupos
de usuarios.
Escaso dominio de
herramientas de software
libre por parte del
Administrador de red.
Probabilidad de ataques externos a
la empresa con el fin de sustraer
información o detener sus servicios.
Uso indebido de los
dispositivos de
almacenamiento portátiles
en puntos finales.
Ataques internos a la integridad de
la red por falta de una herramienta
confiable para el monitoreo y
seguridad en el acceso a la red.
Falta de administración y
control de acceso para la
seguridad en dispositivos
de capa 2, 3, y 4.
Ralentización de la red interna de la
empresa por el incremento de
tráfico no deseado al navegar o
visitar páginas web prohibidas.
Tomando en consideración los puntos anteriores se puede determinar que para
toda PYME y en especial para TODIGISA es recomendable mejorar la
administración de los recursos que conforman. Se espera obtener como
resultado el diseño de un prototipo de software que permita mejorar la seguridad
de la red mediante la implementación de una herramienta sofisticada capaz de
monitorear de manera eficaz y eficiente los recursos y a su vez, brinde un control
de acceso adecuado aplicando el protocolo RADIUS, optimizando la
administración de los equipos tecnológicos de la empresa.
-
8
DELIMITACIÓN DEL PROBLEMA
Campo: Informática
Área: Administración de Redes.
Aspecto: Monitoreo y control de acceso de equipos tecnológicos mediante la
implementación de herramientas Open Source.
Tema: Diseño de un prototipo de software para mejorar la administración de la
red interna en la empresa TODIGISA mediante la evaluación de las herramientas
de monitoreo de redes utilizadas en las PYMES de GYE.
FORMULACIÓN DEL PROBLEMA
¿Evaluando las herramientas de monitoreo open source utilizadas en las PYMES
de GYE, podrá diseñarse un prototipo de software implementando el protocolo
RADIUS logrando así una mejora en la administración de la red interna en la
empresa Todigisa?
EVALUACIÓN DEL PROBLEMA
Los aspectos generales de evaluación son:
Delimitado: Se realizará el diseño de un prototipo de software para mejorar la
administración en la red interna de la empresa Todigisa, mediante el análisis de
las herramientas de monitoreo utilizadas en las PYMES en la ciudad de GYE.
Claro: Diseño de un prototipo de software para mejorar la administración de la
empresa TODIGISA, proponiendo la implementación conjunta de una
herramienta de monitoreo y un servidor AAA.
-
9
Evidente: Debido a la necesidad de encontrar una solución rentable para el
monitoreo de la red interna de la empresa ya que esta carece de una, así mismo
también la inexistencia de políticas para el control de acceso lo que conlleva a
vulnerabilidades en la administración de acceso a los recursos tecnológicos.
Contextual: Debido a que forma parte de los temas estudiados en la CINT,
como lo es la seguridad informática, donde mediante el diseño de un prototipo
de software open source se permita salvaguardar los principios de esta en la red
de la empresa Todigisa.
Factible: Debido que las herramientas utilizadas en el desarrollo del prototipo de
software propuesto a la empresa en este estudio tienen licencia open source, es
decir, no requiere de altos gastos de recursos financieros para su
implementación ya que se pueden obtener con facilidad en internet sin ningún
costo adicional.
Identifica los productos esperados: Debido a que constituye una solución
alternativa para la administración de redes en pequeñas y medianas empresas
que carecen de conocimiento o recursos económicos a la hora de implementar
un sistema de monitoreo y control de acceso.
ALCANCE DEL PROBLEMA
El presente proyecto se basa en el análisis de las herramientas de monitoreo de
redes open source implementadas en las PYMES de Guayaquil aplicado en
conjunto con el protocolo RADIUS para proponer un diseño de prototipo de
software que mejore la administración de la red en la empresa TODIGISA.
Para ello, en un inicio se obtendrá información sobre la situación actual de cómo
se encuentra administrada la red interna de la empresa TODIGISA, así como
también los servicios que presta a sus clientes, además, se ejecutará el proyecto
de acuerdo a las tareas y actividades que permitan el cumplimiento de las tareas
que se describen a continuación:
-
10
Mediante el uso de datos estadísticos se determinará el número de PYMES
existentes en la ciudad de Guayaquil, para luego proceder a calcular una
muestra con la cual se realizará la investigación de campo.
Una vez terminada la investigación, haciendo uso de métodos exploratorios se
buscará conocer sobre las herramientas utilizadas para el monitoreo de redes y
la importancia de su implementación realizando un estudio de las seguridades
implementadas a nivel empresarial, los diferentes protocolos utilizados a nivel
estructural, el funcionamiento del software de seguridad utilizado, así como sus
ventajas y desventajas.
De acuerdo a lo estudiado, será redactado un cuestionario de preguntas
objetivas las cuales formaran parte de una encuesta que será enviada al número
de PYMES obtenidas anteriormente en la muestra, con revisión y aprobación de
las autoridades, se dará inicio al proceso de evaluación de las herramientas de
monitoreo, recopilando información tales como: el nivel de importancia que se
brinda a la administración de redes en la empresa, rendimiento del software de
monitoreo, nivel de conocimiento de la herramienta utilizada por parte de los
administradores de red, funcionabilidad, motivo principal por la cual se escogió
dicha herramienta, medidas de seguridad aplicadas para el acceso a los
recursos internos de la empresa, disponibilidad de una aplicación que gestione el
control de acceso y datos que soporten y validen nuestra propuesta.
Las encuestas para la recopilación de información se obtendrán por medio del
servicio de formularios de google o realizando visitas directamente a las PYMES
ubicadas en la ciudad de GYE.
Se procederá con la elaboración de un informe basado en los datos obtenidos de
las encuestas realizadas, en el cual se incluirá la tabulación y gráficos
estadísticos de las mismas, además del análisis lógico de los resultados
correspondiente a cada pregunta formulada.
De los datos obtenidos, se realizará un estudio técnico de la herramienta de
monitoreo de redes, donde se analizarán los posibles escenarios de
-
11
implementación, seleccionando la más adecuada para proponer en la empresa
TODIGISA.
Se implementará un servidor RADIUS en conjunto con la herramienta de
monitoreo, la cual permitirá mejorar la administración y seguridad de acceso a la
red de la empresa, analizando los equipos que intenten ingresar a la red
mediante un sistema centralizado de autenticación y autorización de
credenciales.
Para culminar, se realizará un manual técnico y de usuario basado en la
simulación del diseño implementando la herramienta de monitoreo open source
seleccionada y un servidor RADIUS para verificar la funcionalidad de las
características de cada sistema implementado.
OBJETIVOS DE LA INVESTIGACIÓN
OBJETIVO GENERAL
Diseñar un prototipo de software en conjunto con el protocolo RADIUS
para mejorar la administración de la empresa TODIGISA.
OBJETIVOS ESPECÍFICOS
Evaluar las herramientas de monitoreo de red y la importancia de su
implementación en las PYMES de GYE.
Investigar las características, funcionalidades y requerimientos
necesarios para la implementación de la herramienta de monitoreo.
Diseñar un prototipo de software para mejorar la administración y
funcionamiento de la red interna en la empresa Todigisa.
-
12
JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN
En la actualidad, la seguridad informática ha obtenido un mayor grado de
importancia en las empresas debido a las constantes amenazas informáticas que
atentan contra los principios de seguridad de la información: disponibilidad,
confidencialidad e integridad.
Al desempeñarse en esta área se puede evidenciar diferentes ataques
informáticos que pueden afectar a la red de una empresa, ya sea por ataques de
denegación de servicio, técnicas de ingeniería social, robo de información y
demás amenazas dentro y fuera de la empresa que comprometan el correcto
funcionamiento de las operaciones de la red informática.
Los propietarios de pequeñas y medianas empresas son poco conscientes de la
necesidad de proteger su negocio contra amenazas internas y externas que
perjudiquen su desempeño, pero la falta de tiempo, recursos o el alto costo
económico que resulta implementarlo, generalmente provoca que estos no se
realicen.
A través de esta investigación se prevé mediante un muestreo en las pequeñas y
medianas empresas, evaluar las diferentes herramientas de monitoreo de redes
y diseñar un prototipo de software utilizando a su vez el protocolo RADIUS para
gestionar un servidor AAA, de esta manera, poniendo a disposición de los
administradores de redes de PYMES, una solución alternativa de software libre
para mejorar la seguridad, administración y control interno de la red de su
empresa.
-
13
CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DE ESTUDIO
Las investigaciones basadas sobre las herramientas de software para el
monitoreo de redes, seguridad en la información y la búsqueda de sistemas que
permitan brindar mayor eficiencia en los recursos tecnológicos de las PYMES
mediante el uso de software libre, no constituye un tema nuevo. En la actualidad,
día a día aparecen nuevos productos en el mercado con mejores
funcionalidades a las ya existentes. Basados en esto, se puede concluir que todo
tiene un ciclo de vida.
Se han realizado varios estudios sobre la seguridad en las redes y protocolos de
comunicación, pero aún existen varios aspectos que carecen de una solución
óptima. El tema de investigación vinculado con el monitoreo y el control a la
seguridad de acceso a los equipos o redes en las pequeñas y medianas
empresas, es un campo el cual le falta aún desarrollarse debido al sin número de
aplicaciones que se les dan a las redes actualmente. Se desconoce de trabajos
anteriores en los que se profundice el impacto de una forma específica sobre
cuál sería la herramienta apropiada para el monitoreo de redes que puedan
utilizar las PYMES de Guayaquil, para que trabaje en conjunto con el protocolo
RADIUS y así, de esta manera poder brindar mayor control, tanto en la
seguridad como en el monitoreo permanente de la red, mejorando el rendimiento
de los recursos de la misma y de igual manera, permita notificar por correos
-
14
electrónicos al administrador de la red, fallas en los dispositivos conectados.
Para este caso, el enfoque de la investigación será la administración de la red
interna de la Empresa TODIGISA.
FUNDAMENTACIÓN TEÓRICA
Sistemas de Información
Se conoce al sistema de información como un conjunto de elementos
organizados, relacionados y coordinados entre sí, encargados de facilitar el
funcionamiento global de una empresa o de cualquier otra actividad humana
para conseguir sus objetivos (Aguilera López, 2010). Siendo estos elementos:
Recursos:
o Elementos físicos (computadores, periféricos, conexiones…).
o Elementos lógicos (aplicaciones, sistemas operativos…).
Personal (Recurso humano de la empresa u organización).
Información (Conjunto organizado de datos procesados que puede ser
almacenado en cualquier tipo de soporte).
Actividades (Técnicas de trabajo utilizadas en la Empresa u
organización).
Los sistemas de información proporcionan tres funciones principales que ayudan
a lograr el correcto funcionamiento en una empresa (Fernández Alarcón, 2010):
Facilitan la coordinación de las actividades operativas que se realicen en
toda la organización.
Permiten la identificación de las actividades que difieren de los objetivos
planteados dentro de la organización.
-
15
Simplifican la toma de decisiones al proporcionar la información
necesaria de las actividades operativas y directivas de la organización.
Los sistemas de información realizan cuatro actividades esenciales:
- Entrada de Información: Es la adquisición de los datos necesarios para
el procesamiento de la misma. Se pueden utilizar los siguientes
elementos para el ingreso de información: teclado, mouse, disquete,
cintas magnéticas, etc.
- Almacenamiento de información: La computadora se encarga de
guardar la información en archivos. Los elementos para el
almacenamiento de información son discos duros, pen drive, etc.
- Procesamiento de Información: Conjunto de operaciones que se
realizan internamente en la computadora, permitiendo que la información
sea transformada para realizar una buena toma de decisiones.
- Salida de Información: Es la capacidad de contiene un sistema de
información para mostrar la información procesada. Varios de los
elementos que permiten mostrar dicha información son las impresoras,
pantallas, la voz, etc.
Seguridad en Sistemas de Información
Se lo puede definir como todas las medidas de seguridad, conjunto de
procedimientos, dispositivos y herramientas que se encuentran implementadas
para salvaguardar los principios de disponibilidad, confidencialidad e integridad
de un sistema de información con el fin de reducir los riesgos y amenazas en
una organización. Proteger toda información y la integridad de un sistema
informático es algo fundamental para una empresa, por lo que en pérdidas
-
16
económicas y de tiempo podría suponer, sin olvidarnos del peligro que podría
acarrear el acceso al sistema de un usuario no autorizado (Alegre Ramos &
García-Cervigón Hurtado, 2011).
Toda empresa debe exigirse un mantenimiento constante de la seguridad en los
sistemas de información pues esto conlleva a su desarrollo económico,
estableciendo confianza en las transacciones que esta realice, lo cual no sería
posible si no se ha implementado una completa gestión de seguridad. (Areitio
Bertolín, 2008).
La gestión de la seguridad comprende la implementación de medidas para
salvaguardar todos los activos de información de una organización utilizando
diferentes técnicas tanto físicas como lógicas de gestión para asegurar la
confianza de los clientes, el prestigio y prolongación de las actividades de la
empresa.
El empleado encargado de gestionar la seguridad de la información en una
organización según Javier Areitio Bertolín (2008), es responsable de cumplir la
gestión de la seguridad de la información (SGSI), este sistema se encarga de
establecer diferentes políticas y procedimientos para garantizar un alto nivel de
protección y mejorar la administración y funcionamiento de la organización en
base a sus objetivos de negocio.
Objetivos Principales de la Seguridad de la Información
La información representa los datos transformados de forma significativa para la
persona que los recibe, es decir tiene un valor real o percibido para sus
decisiones y sus acciones (G.B. Davis, M.H. Olson, J. Ajenstat, J.L. Peaucelle,
1985).
Integridad
Este principio permite hacer referencia a la habilidad con la cual se protege la
información y los datos, garantizando la autenticidad y precisión de la
-
17
información sin importar el momento en que esta se solicita, es decir, una
garantía de que los datos no han sido alterados ni destruidos de modo no
autorizado. Al trabajar en una red de comunicación es necesario la
comprobación de que los datos no fueron modificados en el lapso de su
transferencia. (Aguilera López, 2010).
La corrupción de información puede ocurrir en cualquier tipo de almacenamiento
y puede originarse por errores de hardware o de errores humanos, para evitar
vulnerabilidades que afecten al principio de integridad, es necesario crear
mecanismos que prevengan y detecten fallos de la información para luego tratar
de solucionar los errores que se han descubierto.
Confidencialidad
Este principio garantiza que la información privada de los usuarios autorizados
no sea revelada a individuos no autorizados. La privacidad en las organizaciones
es de suma importancia para evitar que terceros puedan acceder, modificar o
sustraer información interna o de sus clientes para desprestigiar la empresa o
realizar actividades ilegales con diferentes motivos por lo que es necesario
establecer un sistema y políticas de seguridad de la información.
Entre sus directrices, la Organización para la Cooperación y el Desarrollo
Económico (OCDE,) define la confidencialidad como “el hecho de que los datos
o informaciones estén únicamente al alcance del conocimiento de las personas,
entidades o mecanismos autorizados, en los momentos autorizados y de una
manera autorizada” (Aguilera López, 2010).
De esta manera la confidencialidad consiste en la protección de la información
contra la lectura del personal no autorizado, así como también proteger las
piezas individuales que puedan hacer uso para la obtención de información
confidencial. La encriptación de los datos juega un papel fundamental en este
escenario. En la actualidad, los métodos de encriptación de datos han avanzado
notablemente permitiendo que los datos se mantengan de forma secreta.
-
18
Disponibilidad
La disponibilidad es el principio de seguridad de la información que tiene como
objetivo asegurar que las personas autorizadas puedan acceder a un servicio o
información requerido por los usuarios sin ningún inconveniente en cualquier
instancia de tiempo que estos deseen. Asegurar la disponibilidad en las
organizaciones permite brindar confianza a sus clientes y mejora la reputación
de la empresa.
Este principio hace referencia a que el hardware, software y la red se encuentren
disponible en todo momento, es decir pueda recuperarse de manera eficaz ante
interrupciones producidas por cualquier tipo de problemas. Además permitirá que
los usuarios autorizados puedan siempre acceder a la información en cualquier
momento cuando estos la necesiten.
El programa MAGERIT (Methodology for Information Systems Risk Analysis and
Management) define la disponibilidad como “grado en el que un dato está en el
lugar, momento y forma en que es requerido por el usuario autorizado. Situación
que se produce cuando se puede acceder a un sistema de información en un
periodo de tiempo considerado aceptable. La disponibilidad está asociada a la
fiabilidad técnica de los componentes del sistema de información” (Aguilera
López, 2010).
Políticas de Seguridad
Las políticas de seguridad son definidas como un sinnúmero de requerimientos
descritos por el personal directo o indirecto de un sistema, por el cual se
comunica al personal de una organización, la importancia y sensibilidad que
posee la información, las reglas o directrices que estos deben acatar para
mantener segura la información con relación a los recursos y servicios
informáticos que permitan a la empresa su crecimiento y mantenerse en
competencia.
-
19
Las políticas de seguridad son una forma de comunicación entre los usuarios y
son creadas para reducir las vulnerabilidades generadas de manera interna en
una organización para que, de esta forma, se pueda prevenir amenazas que
atenten contra los objetivos generales de seguridad. Es necesario considerar las
siguientes políticas para un esquema basado en seguridad informática (Daltabuit
Godás & Hernandez Audelo, 2007):
Políticas de conexión a la red: Define las condiciones para cuando se
instalen nuevos dispositivos a la red de la empresa.
Políticas de cuentas de usuario: Especifica los privilegios y vigencias
que tienen las cuentas de usuarios.
Políticas de uso aceptable: Define las políticas de buen uso de los
recursos de la organización.
Políticas de configuración del cortafuego: Define las reglas y cambios
en la configuración del firewall.
Políticas de protección de la información: Establece políticas contra
amenazas que vulneren los principios de integridad y confidencialidad.
Políticas de acceso remoto: Establece métodos y condiciones
aceptables para poder ingresar al sistema de manera remota.
Seguridad Física
La seguridad Física es la encargada de la protección o implementación de
mecanismos de control o barreras físicas con la finalidad de prevenir y
contrarrestar las amenazas causadas por el hombre o la naturaleza en un
sistema informático.
-
20
Existen amenazas físicas que pueden ser provocadas voluntariamente o
accidentalmente por el hombre, por ejemplo, el borrado accidental de
información, olvido o robo de clave, entre otros, así como también existen
amenazas físicas que pueden ser producidas por la naturaleza como por
ejemplo, inundaciones, incendios, entre otros.
La seguridad física no suele tener la misma importancia con respecto a la
seguridad lógica en la mayoría de organizaciones porque estiman una
probabilidad muy baja de que estos sucedan. En ciertos casos esto motiva a que
los atacantes, busquen primero maneras de vulnerar la seguridad física de una
organización antes que la lógica (Villalón Huerta, 2002).
Seguridad Lógica
Seguridad encargada de implementar mecanismos y técnicas de seguridad para
prevenir, proteger y contrarrestar las amenazas que afecten al software y
resguarden el acceso a los datos de un sistema informático con la finalidad de
acceder a los datos o información de la organización.
Los objetivos que seguridad lógica plantea son:
- Restricción de acceso a los programas y archivos
- Que toda transferencia de información realizada llegue a su destino con
el mismo peso.
- Asegurar que los programas, datos y archivos sean los correctos.
- Asegurar que los operadores no realicen modificaciones en los datos o
programas.
- Deben existir medios alternativos para la transmisión de datos entre los
diferentes puntos.
-
21
Además, este tipo de seguridad tiene como enfoque la parte de software que
administra el acceso al sistema informático, permitiendo que los usuarios, según
los permisos asignados a estos, puedan acceder a los recursos del sistema
informático (Alegre Ramos & García-Cervigón Hurtado, 2011).
Redes LAN
Una red LAN (Local Área Network) se la conoce como una red de área local,
como su nombre lo indica redes de tamaño reducido que son usadas conectadas
a puertos Ethernet de las computadoras en pequeñas y medianas empresas,
casas, en centros, para poder brindar sus servicios a los usuarios. Este tipo de
red opera en velocidades de 10 y 100 Mbps, y pueden ser visualizadas más en
un ámbito doméstico. (Heredero, 2004)
Las características que definen una red LAN son las siguientes:
- Su operación se realiza en un área geográfica limitada
- Mediante la administración local permite controlar la red de forma privada
- Permite la conexión de dispositivos físicamente adyacentes
- Permite la conectividad a servicios locales de la empresa
Es necesario de una correcta implementación de la topología de red en una
organización para lograr un funcionamiento eficaz y eficiente de los servicios que
se utilizaran por sus empleados y aquellos que se brindaran a sus clientes. Los
principales medios de comunicación utilizadas en las redes LAN en la actualidad
son por medio de cableado UTP y la fibra óptica, lo cual permite hacer posible
que se reduzcan la tasa de errores y que la transmisión de datos se realice en
altas velocidades.
-
22
Redes WLAN
Una red WLAN (Wireless Local Área Network) es una red de área local
inalámbrica. Descrita también como una red de alcance de manera local, para la
transmisión de señales por medio de ondas de frecuencias permitiendo la
comunicación entre diferentes dispositivos como PC’s, impresoras, servidores,
entre otros. Este tipo de red permite flexibilidad en la comunicación ya que
podría ser implementada como extensión o solo ser una red cableada de tamaño
reducido. (Sallent Roig, Valenzuela González, & Agustí Comes, 2003)
Existen diferentes tipos de tecnologías para la implementación de redes
inalámbricas, siendo la más utilizadas de las pequeñas y medianas empresas la
tecnología Wi-Fi. Este mecanismo permite la conexión inalámbrica entre
diferentes dispositivos informáticos en un rango aproximado de veinte metros en
lugares cerrados y de mayor alcance en lugares abiertos. Wi-Fi utiliza el
estándar IEEE 802.11 para la transmisión de información en redes inalámbricas
de área local, siendo los estándares IEEE 802.11b, IEEE 802.11g y IEEE
802.11n los más utilizados a nivel internacional trabajando en la banda de
2.4GHz con velocidades de transmisión hasta 11Mbit/s, 54Mbit/s y 300Mbit/s
respectivamente (Carballar Falcón, 2010).
Las redes WLAN son comúnmente utilizadas como alternativas de la red LAN.
Las ventajas que presentan las redes WLAN se describen a continuación:
- Movilidad y mayor productividad: Los usuarios pueden acceder a la
información de manera rápida desde cualquier lugar de la empresa, esta
movilidad es lo que permite un aumento de productividad.
- Flexibilidad: Permite que los usuarios de las empresas puedan trabajar
desde diversos lugares.
- Escalabilidad: Cambiar la topología de la red resultaría sencillo,
permitiendo la reducción o aumento de equipos con gran facilidad.
-
23
- Reducción de costes: La instalación de una WLAN permite reducir
costes dependiendo la superficie que se desee cubrir. Los costes a
reducir son la gestión de red que se encuentren relacionados con el
movimiento, cambio de ubicación o ampliación. (Izaskun Pellejero, 2006)
Controles de Acceso
Establecen políticas para resguardar la seguridad del sistema informático,
evitando el uso, modificación o eliminación de la información contenida en este
de personal no autorizado, implementando restricciones en el número de
usuarios y procesos con acceso permitido (Borghello, 2009).
Los controles de acceso se encargan de administrar los permisos de acceso a
los datos o recursos del sistema informático para los usuarios o grupos de la
organización. Para lograr este objetivo, el control de acceso utiliza mecanismos
de Identificación, Autenticación y Autorización:
Identificación: Es el medio por el cual un usuario ingresa en el sistema
informático. Ej. Nombres de usuario o tarjetas de identificación.
Autenticación: Es el proceso mediante el cual se verifica la identidad del
usuario antes de ser autorizado para acceder al sistema. Existen varias técnicas
que hacen posible comprobar la autenticidad de un usuario:
Algo que solo conoce el usuario: Solo pueden asegurar que la
contraseña es válida mas no si el usuario es uno autorizado, por eso es
necesario que el usuario autorizado mantenga en secreto la contraseña
que le ha sido asignada. Ej.: Password, PIN.
Algo que posee el usuario: Son aquellos que hacen uso de diferentes
objetos en los cuales se almacenan contraseñas y certificados digitales
-
24
para realizar el proceso de validación del usuario. Ej.: Tarjetas de acceso,
tokens.
Algo que es e identifica unívocamente al usuario: Son aquellos en los
que se autentica al usuario por medio de sus rasgos físicos o de
conducta, logrando que estos sean más complicados de falsificar que los
anteriores métodos de autenticación. Ej.: Biometría.
Autorización: Es el paso a seguir del proceso de autenticación del usuario, el
cual permite el acceso al sistema informático de acuerdo al cargo o permisos
que se hayan asignado al usuario dentro de la organización.
Control de Acceso Externo
Dispositivos de Control de Puertos
Los dispositivos de control de puertos permiten la autorización del acceso a un
puerto determinado sea en un switch, hub o router pudiendo estar separados
físicamente.
Firewalls o Puertas de Seguridad
Los firewalls son equipos de comunicaciones que permiten bloquear o filtrar el
acceso entre dos redes. Cumplen la función de permitir que los usuarios internos
de una empresa puedan conectarse a la red exterior al mismo tiempo,
previniendo el ingreso de atacantes o virus a los sistemas informáticos de la
empresa.
Acceso de Personal Contratado o Consultores
El personal contratado debe tomar en consideración cada una de las políticas
establecidas por la empresa y administrar sus perfiles de acceso.
-
25
Accesos Públicos
Se debe tener en cuenta medidas de seguridad para el control de los sistemas
de información que son consultados diariamente por el público, por ejemplo
consultas, envío y recepción de información mediante el correo electrónico, ya
que el riesgo puede ir en aumento y de esta manera se dificulta su
administración.
Control de acceso Interno
Palabras Claves (Password)
Las claves son indispensables a la hora de proteger los datos o aplicaciones,
son utilizadas para la autenticación al ingreso de los mismos. La robustez de las
claves es un factor fundamental para acceder a diversos sistemas y deben estar
compuesto por letras, números y símbolos para prevenir su hackeo.
Sincronización de claves: Permite que un usuario tenga el permiso de acceder
con una clave a distintos sistemas interrelacionados y que se actualizase de
forma automática en todos ellos en caso que la misma sea modificada.
No es recomendable el uso de esta sincronización debido a que, si alguna
persona obtiene la clave de un usuario, brindan la posibilidad de acceder a todos
los sistemas donde la clave se encuentre configurada.
Caducidad de claves: Se define como un lapso de tiempo en que los usuarios
deben cambiar su clave como manera preventiva, es recomendable el cambio de
la misma cada tres meses.
Listas de Control de Accesos a los recursos
Son los registros que contienen los nombres de usuarios permitidos o
autorizados al ingreso a un sistema. Dependiendo de la cantidad de usuarios
que obtengan soliciten el acceso, el registro varía en su capacidad.
-
26
Limitaciones en la Interfaz de Usuario
Son un conjunto de listas las cuales controlan y restringen el acceso a ciertas
funciones específicas de un sistema a los usuarios, como por ejemplo: los
menús, vistas sobre la base de datos y límites físicos sobre la interfaces de
usuario
PYMES
Las PYMES están conformadas por pequeñas y medianas empresas que
realizan diferentes actividades económicas y que presentan ciertas dimensiones
en la magnitud de sus ventas, capital social, producción y número de empleados.
La mayoría de estas empresas se dedica a la producción de bienes y servicios,
generando oferta y demanda convirtiéndose en un factor fundamental para el
desarrollo social del país (Seguro de Rentas Internas, s.f.).
“Se conoce como PYME a las siglas que significa “Pequeña y Mediana
Empresa” que existen en el mercado de un país. Las pymes son siglas que se
usan para clasificar a una empresa en relación al número de trabajadores según
su sector de actividad, y en algunos países por sus ingresos netos”. ("PYME",
s.f.)
Las principales ventajas de las PYMES son su capacidad para adaptarse debido
al tamaño de su estructura y su capacidad de lograr especializarse en un área
específica para poder brindar una atención más personalizada. Mientras que los
avances tecnológicos pueden brindar mejoras a una PYME de poseer los
recursos para lograr su implementación, estas también pueden convertirse en
amenazas con respecto a su competencia dado que el mercado en que se
desenvuelven estas empresas es muy competitivo y no lograr adaptarse a los
tiempos actuales en que la tecnología forma parte de casi todo aspecto
supondría una gran desventaja (Grupo Enroke, s.f.).
-
27
Las TICs en las PYMES
(TELEFÓNICA, 2016), en su portal indica que las nuevas tecnologías
actualmente también pueden ser aplicadas en las pequeñas y medianas
empresas con la finalidad de generar procesos de manera eficaz mediante la
automatización de procesos.
Se define a las TIC como aquellos sistemas informáticos (Hardware y Software)
que permitirá el procesamiento, transmisión y almacenamiento de información.
Existen muchas TIC que las personas usan diariamente como los Smartphone y
las redes sociales, y existen TICs más complejos que son implementados en las
empresas, como ERP y CRM aumentando su productividad y disminuyendo el
costo de los procesos. En la actualidad, las TICs permiten a las PYMES competir
con empresas micro multinacionales.
Ventajas del uso de las TICs en las PYMES
Facilita la toma de decisiones: las TICs permiten tener acceso y por ende
analizar la información obtenida por medio de sistemas empresariales o redes
sociales, se podrá detectar información clave para evaluar la situación actual de
las empresas, detectar tendencias y proporcionar una mejor visión para la
correcta toma de decisiones.
Mejora la comunicación: mejora tanto de manera interna como externa la
comunicación en las empresas por diversos medios como telefonía móvil, e-mail,
redes sociales, entre otros. Mejorando la comunicación tanto con los clientes,
proveedores, trabajadores, etc.
Aumenta la satisfacción de los clientes: mediante las TICs se puede conocer
información de los clientes, tales como hábitos, gustos, necesidades, etc., que
permitirá a la empresa tener un enfoque para brindar un buen servicio al cliente.
-
28
Mejora la imagen de la empresa: el uso de páginas web proporciona a las
compañías credibilidad además de que en la actualidad muchos usuarios
adquieren productos o servicios mediante sitios web.
Ampliación de negocio: el uso de redes sociales y sitios web aumenta la
posibilidad de dar a conocer el negocio en nuevas fronteras.
Apoya la gestión de procesos: las Tics han disminuido tiempo de los procesos
ya que se eliminan algunos que se realizan de forma manual brindando óptimos
resultados para las empresas.
Desventajas del uso de las TICs
Dentro de las principales desventajas de las Tics se puede nombrar que en
ciertas zonas rurales no existe conexión a Internet. Además, otras desventajas
son la dependencia de terceros y el temor de las empresas por la seguridad de
información.
Riesgos
Los riesgos se conocen como acontecimientos que dificultan el cumplimiento de
un objetivo y según la ISO (Organización Internacional por la Normalización)
define el concepto de riesgo tecnológico como “La probabilidad de que una
amenaza se materialice, utilizando vulnerabilidades existentes de un(os)
grupo(os) de activo(s), generándole daños o pérdidas”.
Todo problema que perjudique completamente el funcionamiento de la empresa
debe ser considerado como amenaza o riesgo para la compañía.
Riesgos informáticos
Según lo indicado por (Serrahima, 2009), en la actualidad un gran porcentaje de
las PYMES se han incorporado al uso de la tecnología informática para mejorar
-
29
sus procesos de negocios. Pero, así como la tecnología brinda ayuda a las
organizaciones siendo más eficiente también proporciona amenazas y riesgos
que la pueden afectar.
Dentro de los riesgos del uso de la tecnología en las PYMES se pueden
encontrar la perdida de información y el Uso de infraestructura del negocio para
delitos.
Pérdida de información
Ocurre cuando de forma parcial o total se ha extraviado información del negocio.
Tener una copia de seguridad es importante pero muchas veces cuando llega el
momento de usarlo se encuentran varios fallos como por ejemplo información
desactualizada, entre otros.
Dentro de la pérdida de información existen las siguientes causas:
Errores humanos al momento de manipular la tecnología
Ocurre cuando intencionalmente se ha eliminado información, este caso ocurre
frecuentemente dentro de las PYMES, pero su daño es muy leve dependiendo el
archivo omitido. El hecho de trabajar en grupo ha aumentado el índice de
perdida de información al momento de manipular la tecnología, ya que cuando
se trabaja de esta manera en un proyecto los archivos son compartidos y
sobrescritos.
También existe el caso de borrar intencionalmente una carpeta entera,
afortunadamente en los sistemas operativos actuales se los puede recuperar
mediante la papelera de reciclaje, pero también este medio no es una garantía
ya que tiene un límite de capacidad preestablecido.
-
30
Siniestros
Esto se da en caso de escape de agua del sistema antiincendios o cuando una
bebida se riega encima de una computadora, el aumento de tensión de energía
eléctrica, incendios y golpes a los ordenadores, etc.
Dentro de este grupo también se puede denominar siniestro al robo y
vandalismo, y aunque el seguro pague las indemnizaciones los datos no son
devueltos. El robo de una computadora portátil es común dentro de las
organizaciones motivo por el cual es recomendable usar a este tipo de
ordenadores como herramienta de trabajo y no como unidad de
almacenamiento.
Virus
Este el medio más conocido y el que proporciona menos miedo por el hecho de
al instalarle un antivirus al ordenador se es inmune a este ataque, pero no quiere
decir que hay que bajar la guardia, porque siempre aparecen nuevos tipos de
virus, con comportamientos diferentes y diferente forma de propagación.
Se conoce que los virus alteran el funcionamiento de los ordenadores sin previa
autorización de los usuarios causando daños al sistema. Existen dos medios de
infección:
Online: e-mails y páginas web infectadas.
Soportes externos: medios de almacenamientos (CD, discos duros
externos, memoria flash, etc.).
Los virus que pueden afectar la información almacenada son conocidos como
virus latentes, puesto que estos incuban a escondidas dentro del sistema y son
activados cuando el pc esta hibernando y para cuando ya sea encendida el pc
estará infectado.
-
31
Hacker
El Hacker o pirata informática es un delincuente que usa las herramientas
tecnológicas para extraer información de manera ilegal aprovechando las
debilidades de los sistemas operativos.
La forma de operar del hacker es introduciéndose en las redes de las empresas
buscando información para ser manipulada o instalando softwares fraudulentos.
Cuando un exfuncionario de la empresa o cualquier persona que tiene acceso a
la información de la organización y busca extraer datos son denominados como
pirata interno por eso es recomendable instalar sistemas que permitan limitar el
acceso de información por usuario.
Uso de infraestructura del negocio para delitos.
El uso del internet también ha ocasionado que esta se convierta en herramienta
para cometer de manera anónima delitos. Los riegos ocasionados por el mal uso
de la infraestructura se dividen en do segmentos:
Riesgos ocasionados desde el interior
Se ocasiona un riesgo legal para el gerente de una empresa cuando los
empleados dan un mal uso de las herramientas informáticas, ya que el gerente
se convierte en responsable por ser cabezas de la organización.
Es importante concientizar a los empleados de sus acciones para evitar
problemas, un ejemplo de las malas actividades que realicen los empleados es
la siguiente: cuando un empleado descarga películas ilegalmente en una
computadora de la empresa.
Riesgos ocasionados desde el exterior
Los delincuentes utilizan una dirección IP de cualquier empresa para cometer
delitos, por lo que el gerente de la empresa dueña de la IP seria el responsable.
-
32
Los delincuentes muchas veces eligen empresas en las que el ingreso a sus
redes informáticas es de fácil acceso, motivo por el cual es recomendable
instalar firewall en los sistemas.
Ataques
Se define como una técnica que se usa para explotar una vulnerabilidad. Según
varias fuentes bibliográficas, catalogan en tres generaciones de ataques a la
seguridad en redes informáticas, las cuales se nombran a continuación:
En la Primera generación se encuentran los ataques físicos, los cuales pueden
ser generados por equipos electrónicos como, dispositivos de red o cables. En la
actualidad se puede reducir el riesgo de estos ataques con el uso de protocolos
distribuidos y de redundancia para que de esta manera se consiga una
aceptable tolerancia a fallos.
En la segunda generación, existen los ataques sintácticos, los cuales atentan
lógicamente con la operación de las redes y ordenadores aprovechándose de las
vulnerabilidades que contengan en el software, protocolos y algoritmos de
cifrado.
En la tercera generación están los ataques sistemáticos, estos se benefician de
la confianza de los usuarios en la información que pueden ir desde la ubicación
falsa de información en archivos, correos o documentos, hasta la modificación de
datos sensibles, como, por ejemplo, manipulación de información de la base de
datos, entre otras. (Herrera Joancomartí, García Alfaro, & Perramón Tornil, 2007)
Los ataques pueden ser clasificados de manera cómo se abusa los canales de
comunicación (Martínez, 2001)
Suplantar: Es la acción de generar mensajes utilizando la identidad de la
persona cometiendo acciones indebidas.
-
33
Fisgar: Es aquella actividad que atribuye la copia de información sin una
previa autorización del autor o propietario de la misma.
Alteración de Mensajes: Consiste en capturar un mensaje para ser
modificado previo a la entrega a su destinatario.
Denegación de Servicios (DoS): Método de ataque cuyo objetivo es
inhabilitar el acceso a los recursos o servicios de una entidad en un
periodo de tiempo indefinido. Normalmente este ataque va dirigido a los
servidores de las empresas, para que no puedan realizar consultas o ser
utilizados.
Vulnerabilidades
Se conocen como las debilidades de cualquier tipo, comprometiendo a los
sistemas o redes. Las causas pueden basarse mediante un mal diseño,
implementación y uso de los mismos y también pueden ser explotadas.
Vulnerabilidades de los sistemas informáticos
Según lo estipulado por (CARPENTIER, 2016), existen tres grupos que engloban
las vulnerabilidades que sufren los equipos informáticos:
Vulnerabilidades físicas
Mala estrategia para la protección de los datos
Acceso a salas informáticas que no son seguras.
Falta de equipo óptimo
-
34
Vulnerabilidades organizativas
Falta de personal capacitado
Falta de comunicación de personal
Falta de controles que se realizan periódicamente a los sistemas
Falta de procedimientos de las actividades que se hacen dentro de la
empresa.
Vulnerabilidades tecnológicas
Fallos en los sistemas y base de datos
Desactualización del sistema operativo
Falta de firewall y antivirus
Redes desorganizadas, complejas y sin protección
Amenazas
Es un factor de origen natural o mal intencionado que puede causar la
posibilidad de interrumpir la operación de un sistema o disponibilidad de la red
en el ambiente de las TICs. Es importante recordar que las amenazas no pueden
ser eliminadas sino mitigadas. Las amenazas pueden dividirse en:
- Amenazas Humanas: Son aquellos actos que son realizados por el
hombre de las cuales pueden clasificarse como maliciosas y no
maliciosas.
-
35
- Amenazas Maliciosas: Amenazas a realizar con el fin de causar daño
alguno a la entidad.
- Amenazas Internas: Aquella originada por usuarios que tienen cierto
nivel de acceso a una red, conocen su funcionamiento y arquitectura,
además los firewalls e IPS son dispositivos no efectivos para este tipo de
amenaza, por ende, se tornan más peligrosas que las externas ya que los
mecanismos de seguridad pueden ser deshabilitados con facilidad.
- Amenazas Externas: Son originadas en los exteriores de la red, dado a
que los atacantes, al no poseer información segura de la misma, podrían
realizar cualquier tipo de acción con el fin averiguar qué es lo que posee
la red para proceder a atacarla. Para este tipo de amenaza existe una
ventaja muy primordial, los administradores de la red podrían prevenir
dichos ataques por medio de equipos y software que cumplas ciertas
funciones de preventivas.
- Amenazas No maliciosas: Son amenazas causadas por equivocación o
error humano, ya sea por falta de conocimiento o no cuenta con la
capacitación adecuada para ejercer alguna actividad o tarea dentro de la
organización.
- Amenazas por desastres Naturales: Amenazas poco frecuentes que no
se pueden predecir ya que son originadas por la naturaleza.
- Otras amenazas: Amenazas en las que el hombre las ve fuera de su
alcance, estas pueden ser falla de los equipos ya sea por cortes de
energía eléctrica o que los mismos no se encuentren en el ambiente
apropiado para su funcionamiento, este tipo de amenaza se la
responsabiliza de carácter humano.
-
36
Desde otra perspectiva se puede analizar que las amenazas por naturaleza
humana pueden ser originadas por el personal interno de la empresa, los cuales
tienen acceso a la red y conocen su infraestructura además de tener permisos
para que puedan manipularla, mientras que los atacantes o personal externo
necesitan ingresar a los sistemas de defensa que posea la organización, ya sea
firewall o software de bloqueos para luego obtener los privilegios necesarios de
administración del sistema y los ataques terroristas son producidos por un grupo
de individuos que buscan hacer daño a la integridad de los datos o sistemas
pertenecientes a la organización. (Pagani, 2008)
Plan de Contingencia
El objetivo del plan de contingencia es brindar requerimientos para la
recuperación de una organización ante posibles desastres. Los niveles
ejecutivos de la entidad, el técnico de los procesos, así como el personal usuario
deben ser partícipes de este. Es necesario de un documento que incluya el
contenido del plan de contingencias en una empresa para de esta manera poder
difundir todos los temas importantes que este comprende a sus empleados.
Contenido del Plan de Contingencia
Al elaborar un Plan de Contingencia debemos de asegurarnos que sea eficaz y
eficiente para que, en casos de desastres, este se active y la entidad pueda
establecer sus operaciones. Teniendo en claro su concepto, este plan debe
contener:
El tamaño de las instalaciones con las que cuenta la organización.
Se debe identificar el grado de los riesgos a la que se expone la
empresa.
El análisis de los procesos críticos que puedan ocurrir en la organización.
Las medidas de seguridad que se establecen, acorde al grado del riesgo.
-
37
Al implementar las medidas de seguridad se debe justificar el costo.
Etapas que componen el Plan de Contingencia
El plan de Contingencia se compone de las siguientes etapas:
Análisis del Impacto: Se deben identificar aquellos procesos que
puedan verse afectados y sus posibles riesgos al no estar en
funcionamiento.
Solución de Estrategia: Se debe enlistar medidas pr