Sei sulla pagina 1di 9

UNIVERSIDAD POLITCNICA SALESIANA

SEDE CUENCA

FACULTAD DE INGENIERAS
Escuela de Ingeniera de Sistemas

Tesis previa a la obtencin del Ttulo de:


Ingeniero en Sistemas

Anlisis y Diseo de Polticas de Seguridad aplicables en PYMES


Caso de estudio: Cooperativa de Ahorro y Crdito
Jardn Azuayo

AUTORES:
Marco Antonio Bermeo lvarez
Juan Carlos Chaca Alvarado

DIRECTORA:
Ing. Bertha Tacuri Capelo

Cuenca, Febrero de 2007

Los conceptos desarrollados, anlisis realizados y las conclusiones del presente


trabajo son de exclusiva responsabilidad de los autores.

Cuenca, 15, de Febrero de 2007

Marco Antonio Bermeo .

Juan Carlos Chaca A.

DEDICATORIA

Dedico este trabajo a m familia, y a m mismo


por el esfuerzo de haber vuelto a estudiar de nuevo
a pesar de estar en condiciones no tan favorables. Al final se dio.
Marco.

Dedico este trabajo ntegramente a mi familia,


especialmente a mis viejos, por haber confiado en m,
y haberme apoyado en los buenos y en los malos momentos.
Juan Carlos.

AGRADECIMIENTOS

Queremos expresar nuestro agradecimiento


a nuestra familia por su apoyo incondicional
durante todos estos aos de estudio.

De igual manera queremos agradecer a las siguientes personas:


Ing. Bertha Tacuri, tutora de nuestra tesis,
Ing. Guillermo Marro, profesor del mdulo de Seguridad Informtica
y de igual manera, un agradecimiento especial al
Ing. Carlos Gilberto Delgado Beltrn,
quien nos brind su apoyo durante el desarrollo de nuestro tema.

Asimismo nuestro agradecimiento a:


Eco. Juan Carlos Urgils, Gerente de
la Cooperativa de Ahorro y Crdito Jardn Azuayo
y al Sr. Jos David vila e Ing. Guillermo Cabrera,
encargados del rea de Comunicaciones del Dpto. de Sistemas,
por ayudarnos en la realizacin de nuestro trabajo prctico

Anlisis y Diseo de Polticas de Seguridad


aplicables en PYMES Caso de estudio:
Cooperativa de Ahorro y Crdito
Jardn Azuayo

NDICE DE CONTENIDOS
NDICE DE CONTENIDOS ............................................................................................................... 6
CAPTULO 1...................................................................................................................................... 10
INTRODUCCIN A LA SEGURIDAD INFORMTICA ............................................................ 11
SEGURIDAD INFORMTICA ............................................................................................................... 13
SEGURIDAD FSICA Y SEGURIDAD LGICA EN LAS TECNOLOGAS DE LA INFORMACIN .................. 14
Seguridad Fsica en las TI .......................................................................................................... 14
Seguridad Lgica en las TI ......................................................................................................... 14
Alcance ....................................................................................................................................... 15
PREMISAS BSICAS DE SEGURIDAD .................................................................................................. 16
Confidencialidad ........................................................................................................................ 16
Integridad ................................................................................................................................... 17
Disponibilidad ............................................................................................................................ 17
POLTICAS Y MECANISMOS DE SEGURIDAD INFORMTICA ................................................................ 20
Poltica de Seguridad ................................................................................................................. 20
Mecanismo de seguridad ............................................................................................................ 20
Documentacin formal de la seguridad informtica .................................................................. 22
BREVE HISTORIA DE LOS CONTROLES DE INFORMACIN .................................................................. 23
CAPTULO 2...................................................................................................................................... 25
SEGURIDAD FSICA ....................................................................................................................... 26
AMENAZAS CONTRA LA SEGURIDAD FSICA ..................................................................................... 26
Naturales .................................................................................................................................... 26
Artificiales .................................................................................................................................. 27
RIESGOS Y CONTROLES EN LA SEGURIDAD FSICA............................................................................ 28
Riesgos........................................................................................................................................ 28
Controles de seguridad de acceso .............................................................................................. 29
RECOMENDACIONES ......................................................................................................................... 31
SEGURIDAD LGICA..................................................................................................................... 32
FUNDAMENTOS ................................................................................................................................ 32
Riesgos, Amenazas y Ataques ..................................................................................................... 32
Amenazas: Taxonomas .............................................................................................................. 32
Sistema Seguro ........................................................................................................................... 33
Clasificacin de Mecanismos ..................................................................................................... 33
Hiptesis de Confianza ............................................................................................................... 34
Confianza en Todas las Etapas................................................................................................... 34
PRINCIPIOS UNIVERSALES DE LA SEGURIDAD ................................................................................... 36
CICLO DE LA SEGURIDAD.................................................................................................................. 38
MODELADO DE ADVERSARIOS .......................................................................................................... 39
MODELOS DE CONTROL DE ACCESO (AAA) .................................................................................... 40
Autenticacin .............................................................................................................................. 40
Autorizacin ............................................................................................................................... 47
Accounting .................................................................................................................................. 53
PARADIGMAS DE ATAQUES INFORMTICOS ...................................................................................... 55
Ataques: Tendencias ................................................................................................................... 56
Denegacin de Servicios (Denial of Service DoS).................................................................... 56
Intrusin ..................................................................................................................................... 57
Intrusin: Rootkits ...................................................................................................................... 57
Man in the Middle MITM (Hombre en la mitad) ..................................................................... 58
Buffer Overflow (BOF) ............................................................................................................... 59
Format Strings ............................................................................................................................ 59
Malware...................................................................................................................................... 60

Phishing (Pesca) ......................................................................................................................... 65


Hoaxes (Bromas) ........................................................................................................................ 68
Inyecciones de SQL (SQL Injections) ........................................................................................ 68
Cross Site Scripting (XSS) .......................................................................................................... 70
Spoofing (engao)....................................................................................................................... 72
Correo No Solicitado (SPAM) .................................................................................................... 72
Esteganografa............................................................................................................................ 73
Canales Encubiertos (Covert Channels) .................................................................................... 74
Ingeniera Social......................................................................................................................... 75
INFRAESTRUCTURA DE DEFENSA ...................................................................................................... 76
Evolucin en Modelos de Seguridad .......................................................................................... 76
Dispositivos de Defensa .............................................................................................................. 78
CAPTULO 3...................................................................................................................................... 91
GUA PARA LA ELABORACIN Y CREACIN DE POLTICAS DE SEGURIDAD.......... 92
GUA PARA LA ELABORACIN DE POLTICAS DE SEGURIDAD ........................................................... 92
Por qu tener polticas escritas. ................................................................................................. 92
Definicin de Poltica ................................................................................................................. 94
Poltica ................................................................................................................................... 95
Estndar ................................................................................................................................. 95
Mejor Prctica ........................................................................................................................ 95
Gua........................................................................................................................................ 96
Procedimiento ........................................................................................................................ 96
Elementos claves de una poltica ................................................................................................ 98
Etapas en el desarrollo de una poltica ...................................................................................... 99
Fase de Desarrollo Creacin ............................................................................................. 100
Fase de Desarrollo Revisin ............................................................................................. 101
Fase de Desarrollo Aprobacin ......................................................................................... 102
Fase de Implementacin Comunicacin ........................................................................... 102
Fase de Implementacin Cumplimiento............................................................................ 103
Fase de Implementacin Excepciones .............................................................................. 103
Fase de Mantenimiento Concienciacin ........................................................................... 104
Fase de Mantenimiento Monitoreo ................................................................................... 104
Fase de Mantenimiento Garanta de cumplimiento........................................................... 105
Fase de Mantenimiento Mantenimiento ............................................................................ 105
Fase de Mantenimiento Retiro .......................................................................................... 106
Prcticas recomendadas para escribir una poltica ................................................................. 107
Aspectos importantes para definir responsabilidades en el desarrollo de polticas................. 108
Separacin de tareas............................................................................................................. 109
Eficiencia ............................................................................................................................. 109
Alcance del control .............................................................................................................. 110
Autoridad ............................................................................................................................. 110
Conocimiento ....................................................................................................................... 110
Aplicabilidad ........................................................................................................................ 111
Responsabilidades en el modelo de ciclo de vida de la poltica ............................................... 111
CREACIN DE POLTICAS DE SEGURIDAD ....................................................................................... 119
Polticas de seguridad para ambientes fsicos.......................................................................... 119
El edificio............................................................................................................................. 119
Los suministros de energa del edificio ........................................................................... 119
Los enlaces de comunicaciones del edificio.................................................................... 121
Los accesos fsicos al edificio ......................................................................................... 123
El acceso al centro de computacin ................................................................................ 124
La seguridad contra incendios y otros desastres.............................................................. 125
Planes de evacuacin del personal .................................................................................. 126
Seguridad fsica de los respaldos .................................................................................... 126
Sistemas de redundancia de servidores y almacenamiento de datos ............................... 127
Control de marcado de edificios y Warchalking ............................................................. 128
El entorno fsico del hardware ............................................................................................. 129
Comunicaciones: Interconexin de redes y sistemas ...................................................... 130
Acceso fsico al hardware ............................................................................................... 132

Localizacin fsica del hardware ..................................................................................... 134


Control de acceso al hardware. Control de acceso del personal ...................................... 134
Sistemas de control del hardware y su integridad ........................................................... 136
Planes de evacuacin de hardware y equipos .................................................................. 137
El entorno de trabajo del personal y su interaccin con el hardware .............................. 138
Planificacin de espacio para hardware y dispositivos. Montaje en racks ...................... 140
Control de la temperatura y la humedad del entorno. Monitorizacin ............................ 141
Mquinas y dispositivos de escritorio ............................................................................. 142
Servidores y dispositivos concentradores, enrutadores y pasarelas................................. 142
Cableado elctrico ........................................................................................................... 143
Cableado telefnico ......................................................................................................... 144
Cableado de redes ........................................................................................................... 144
Llaves, cerraduras y armarios.......................................................................................... 145
Cmaras de seguridad y su monitorizacin ..................................................................... 146
Control de ventanas y visibilidad desde el exterior ......................................................... 147
Control de desechos y basura .......................................................................................... 147
Polticas de seguridad para ambientes lgicos ........................................................................ 148
Seguridad de la red .............................................................................................................. 149
Chequeo del trfico de la red........................................................................................... 150
Monitoreo de los volmenes de correo ........................................................................... 150
Monitoreo de conexiones activas .................................................................................... 150
Verificacin de las mquinas de los usuarios .................................................................. 151
Monitoreo de los puertos en la red .................................................................................. 151
Seguridad del sistema .......................................................................................................... 151
Modificacin de archivos ................................................................................................ 152
Resguardo de copias de seguridad .................................................................................. 152
Seguridad del usuario........................................................................................................... 152
Alta de cuenta de usuario ................................................................................................ 153
Baja de cuenta de usuario ................................................................................................ 154
Programas de seguridad ....................................................................................................... 155
Programa para determinar buenas contraseas................................................................ 155
Sistema de verificacin de accesos ................................................................................. 156
Cmo dar a publicidad las nuevas normas de seguridad ...................................................... 156
Recomendaciones para establecer el nivel mnimo de seguridad necesario para una PYMES 157
Estructura de seguridad en niveles ....................................................................................... 157
Identificacin de amenazas ataques tanto de INSIDERS como OUTSIDERS ................. 158
Infraestructura de defensa bsica propuesta ......................................................................... 159
CONCLUSIONES .............................................................................................................................. 161
CAPTULO 4.................................................................................................................................... 163
CASO DE ESTUDIO: COOPERATIVA DE AHORRO Y CRDITO JARDN AZUAYO 164
OBJETIVO GENERAL ....................................................................................................................... 164
ANTECEDENTES ............................................................................................................................. 165
Breve historia de la Cooperativa de Ahorro y Crdito Jardn Azuayo ................................ 165
Misin ....................................................................................................................................... 166
Visin ........................................................................................................................................ 166
Estructura Organizacional ....................................................................................................... 167
ALCANCE ....................................................................................................................................... 168
EVALUACIN DE RIESGOS .............................................................................................................. 169
Etapa 1 Evaluacin de riesgos .............................................................................................. 169
1.
Identificacin de activos de la empresa ...................................................................... 169
2.
Tasacin de activos. Filtracin de los activos ms importantes ................................. 171
3.
Identificacin de amenazas que pueden afectar a la empresa ..................................... 173
4.
Posibilidad de ocurrencia de amenazas ...................................................................... 185
5.
Identificacin de vulnerabilidades .............................................................................. 197
6.
Posible explotacin de vulnerabilidades..................................................................... 206
7.
Estimacin del valor de los activos en riesgo ............................................................. 219
8.
Posibilidad de ocurrencia del riesgo ........................................................................... 220
9.
Valor del riesgo de los activos.................................................................................... 234
POLTICAS DE SEGURIDAD PARA LA COOPERATIVA DE AHORRO Y CRDITO JARDN AZUAYO ... 235

Etapa 2 Polticas de seguridad, conclusiones y recomendaciones ........................................ 235


1.
Elaboracin de polticas de seguridad, estableciendo un nivel mnimo de seguridad 235
Nivel de Datos................................................................................................................. 235
Nivel de Aplicacin......................................................................................................... 236
Nivel de Host .................................................................................................................. 236
Nivel de Red.................................................................................................................... 237
Nivel de Permetro .......................................................................................................... 237
Nivel de Seguridad Fsica ............................................................................................... 238
Directivas, Procedimientos y Concienciacin ................................................................. 238
CONCLUSIONES Y RECOMENDACIONES ........................................................................................... 240
Etapa 3 Conclusiones y recomendaciones ............................................................................. 240
1.
Conclusiones .............................................................................................................. 240
2.
Recomendaciones ....................................................................................................... 241
BIBLIOGRAFA .............................................................................................................................. 242