PONTIFICIA UNIVERSIDAD CATLICA DEL ECUADOR

SEDE EN ESMERALDAS

ESCUELA

INGENIERA DE SISTEMAS Y COMPUTACIN

TEMA

DETERMINAR LAS VULNERABILIDADES DEL SERVIDOR WEB DE LA

EMPRESA PBLICA FLOTA PETROLERA ECUATORIANA

Autor

MARCO ALBERTO OCHOA TELLO

Asesor

FECHA:

JULIO2016
 1. Marco terico.

1.1. Antecedentes.

En la actualidad el hablar de un ambiente seguro en relacin a un aplicativo

tecnolgico no solo se basa en la capacidad de recursos que posea el servidor
donde se va a alojar o del tipo de tecnologa que esta implementada, sino tambin
de la seguridad que se puede brindar al aplicativo que funcione sobre el servidor,
mediante tcnicas que gestionen las buenas prcticas de administracin de las
tecnologas de la informacin. Mieres (2014) afirma:

Es necesario que los usuarios incorporen buenas prcticas para proteger el entorno
de informacin, y prevenir an ms la posibilidad de formar parte del conjunto que
engloba a las potenciales y eventuales vctimas de cualquiera de las amenazas, que
constantemente buscan sacar provecho de las debilidades humanas. Pero para ello
inevitablemente se deben conocer los peligros latentes, y cmo detenerlos a travs
de mecanismos de prevencin. (p.15).

En donde podemos evidenciar que las empresas se estn comenzando a preocupar

por implementar buenas prcticas de administracin de tecnologas en sus empresas
por lo cual ya existen procedimientos que se pueden aplicar a la solucin de estas
un ejemplo es la aplicacin de normativas ISO en especfico la ISO/IEC 27001 la
cual fue aplicada no solo a una empresa si no a un conjunto de empresas en
Colombia en el cual se realiz un trabajo de investigacin llevada a cabo por dos
estudiantes de la universidad de Pereira donde implementaron buenas prcticas en
un conjunto de 10 pequeas empresas de la regin, Ayala y Gmez (2012) afirman:

La conciencia en seguridad de la informacin y el uso de buenas Prcticas, las

Intrusiones o incidentes de seguridad identificados en el ao, los Tipos de fallas de
seguridad y la Identificacin de las fallas de seguridad informtica son mediciones
efectivas para el determinar la implementacin de buenas prcticas de
administracin Tecnologas de la informacin. (p.25)
 Donde para cada una se hicieron los anlisis necesarios concluyendo con la
regularizacin de procesos requeridos. Otro ejemplo se puede encontrar bajo las
normativas COBIT en un estudio de implementacin de procesos de seguridad de la
empresa ISACA en Chile en dnde. Gutirrez (2015) afirma:

La Gestin de Riesgos se basa en un proceso estructurado que comprende un

conjunto de polticas, lineamientos, procesos y procedimientos, a travs de las
cuales se pueden identificar, medir, controlar/mitigar y monitorear los diversos
riesgos a la que una Empresa puede estar expuesta. (p.4),

Esto determina que la buena identificacin de riesgos es el xito de su trabajo ya

que le permite obtener resultados medibles y cuantificables en todo el proceso. Por
otro lado en un estudio de publicado en Network Attacks: Analysis of Department
of Justice Prosecutions, Bosen (2006) afirma:

Solo el 51% de los sitios web cifran las transacciones de internet que deben ser
seguras.
Solo el 27% de las organizaciones invierten ms del 1% del presupuesto en
seguridad de la informacin.
El 43% de los ataques es realizados por allegados a la organizacin:
22% Empleados antiguos
14% Empleados actuales
7% Proveedores o clientes.
El costo medio de recuperacin a un incidente es de 1.5 Millones de Dlares.
el 33% de las web tienen software adecuado de deteccin de intrusiones.

Ahora bien, si en pases industrializados con historial en control de la informacin

al interior de sus organizaciones y donde se puede suponer que existe una cultura
mayor en seguridad de la informacin se tienen estos resultados, en Ecuador se
convierte en un reto la aplicacin de buenas prcticas de administracin de
Tecnologas de la Informacin que garanticen un adecuado cuidado de la
informacin.
 1.2. Bases Tericas, Cientficas y legales
1.2.1 Empresa Pblica - Flota Petrolera Ecuatoriana.
1.2.1.1 Resea Histrica.

Es la nica empresa naviera ecuatoriana de trfico internacional y tiene gran

reputacin en el mercado como un operador de calidad, seguro y confiable.

En 1972 la Comandancia de Marina convoc a un concurso internacional para

seleccionar una compaa que, junto con Transnave, conformase una compaa de
economa mixta para el transporte martimo del petrleo ecuatoriano. Para esa
poca, el transporte internacional de hidrocarburos estaba totalmente centralizado
en las empresas transnacionales del petrleo que haban acaparado el crculo total
del negocio.

Dos empresas extranjeras, Gulf y Texaco, tenan como perspectiva trasladar nuestro
crudo, pero la Armada Nacional realiz grandes esfuerzos para hacerles
comprender a estas grandes compaas los objetivos nacionales y el cumplimiento
de la Ley de Reserva de Carga.

El 14 de septiembre de 1972 se firm un contrato por diez aos con Kawasaki

Kisen Kaisha, empresa ganadora de la licitacin. El 26 de marzo se establece
legalmente la compaa de economa mixta FLOTA PETROLERA
ECUATORIANA con la participacin del 55% de sus acciones a nombre de
Transnave y el 45% restante a la empresa japonesa.

Ecuador fue el ltimo pas en ingresar a la Organizacin de Pases Exportadores de

Petrleo (OPEP), pero el primero en conformar una flota nacional para la
exportacin de su crudo. FLOPEC inici sus operaciones con dos buques propios
comprados a la compaa Gulf en 1973, estos buques fueron llamados Napo y
Pastaza. Posteriormente, se unieron los buques tanques Ecuador de Transnave y el
Zamora, construido en astilleros japoneses.
 En 1978 se vendieron los buques Napo y Pastaza por haber concluido su vida til,
esto oblig a la empresa a fletar buques extranjeros para cubrir la demanda de
CEPE. La asociacin con la empresa naviera Kawasaki Kisen Kaisha otorg
experiencia al Ecuador para el manejo del transporte de hidrocarburos; en menos de
seis aos se dio paso a la nacionalizacin de la empresa a cargo de Flopec y de la
Armada Nacional.

Durante este tiempo, FLOPEC lleg a transportar el 52 % del crudo nacional con
buques propios y arrendados, entr al negocio naviero y puso a sus buques a
transportar el crudo ecuatoriano. Despus de 38 aos la FLOPEC se ha convertido
en la flota ms importante del Pacfico oriental con 7 buques tanques propios de
alta tecnologa: Zaruma, Pichincha, Cotopaxi Chimborazo, Zamora Santiago y
Aztec y 23 buques fletados segn sus necesidades.

Doscientos sesenta hombres, todos ecuatorianos (as), forman parte de la tripulacin

de los 7 buques convirtindonos en el orgullo del Ecuador en los mares del mundo.
Y en tierra, la empresa cuenta con alrededor de ciento diez funcionarios que
contribuyen da a da para engrandecer a la primera empresa naviera del pas1.

1.2.1.2. Misin.

Somos una Empresa de transporte martimo de hidrocarburos y otros recursos

naturales, estratgica para el estado ecuatoriano. Satisfacemos las necesidades
crecientes del mercado nacional e internacional, brindando a nuestros clientes
servicios diversificados de calidad a travs de personal competente, alineado a los
objetivos, valores y principios de la organizacin. Preservamos el medioambiente y
contribuimos al desarrollo del pas y del buen vivir.

1 web-master. (s.f.). Flopec ep. Obtenido de http://www.flopec.com.ec/index.php/proyecto-las-palmas/2-

uncategorised/5-historia
1.2.1.3. Visin.

EP FLOPEC, lder en servicios de transporte martimo de hidrocarburos en la costa

americana del Pacfico. Cuenta con infraestructura ptima para cubrir la demanda
nacional y los requerimientos del mercado regional.

Para lo cual se basa en los siguientes factores claves:

Cultura organizacional focalizada en el servicio al cliente y mejoramiento

continuo
Compromiso con la proteccin del medioambiente
Enfoque en la seguridad integral del equipo humano y de los recursos
materiales.
Equipo humano motivado, competente y comprometido.
Acuerdos a largo plazo con clientes, proveedores y relacionados del negocio.
Diversificacin de servicios complementarios y otras lneas de negocio
relacionadas con el transporte martimo.

1.2.1.4. Valores

Trabajo en Equipo.- Integrar la comunicacin y la participacin de los equipos de

trabajo con las diferentes reas de la empresa a fin de obtener los objetivos
deseados.

Responsabilidad.- Involucrar al personal en el cumplimiento de sus funciones.

Proactividad.- Realizar acciones favorables ante posibles eventos que puedan

influir en el cumplimiento de los objetivos de la Empresa.

Respeto.- Observar los derechos de las personas y del medio ambiente.

Lealtad.- Fiel cumplimiento de la normativa legal y los valores de la institucin

bajo principios de legalidad, verdad y honorabilidad.2

2 web-master. (s.f.). flopec ep. Obtenido de http://www.flopec.com.ec/index.php/sobre-flopec/quienes-

somos
1.2.1.5. Estructura orgnica.

Vulnerabilidades en servidores Web.

Procesos y calidad
Buenas Prcticas de administracin de TI.
Cobit y administracin de procesos TI o ISO y administracin de procesos de TI
hetical hacking
Levantamiento de procesos
1.3. Problemtica y formulacin del problema

Hoy en da no se puede concebir una organizacin aislada totalmente de la red,

Siempre se estn compartiendo datos en redes internas o a travs de la gran red
Internet, permitiendo a los usuarios disposicin de informacin en todo lugar y en
todo momento. Los avances tecnolgicos que vienen en constante evolucin, las
telecomunicaciones que se han convertido en una herramienta muy importante para
las organizaciones y el crecimiento organizacional se han encargado de propiciar
vulnerabilidades para las mismas.

Las organizaciones dependen de los datos almacenados en sus sistemas de

informacin y es all donde la seguridad de la informacin se convierte en un factor
necesario en los procesos que se desarrollan al interior y exterior de la misma. Es
muy importante considerar adems, que en el desarrollo organizacional se
involucran factores como recursos humanos, procesos y tecnologa; factores que
propician vulnerabilidades con respecto a la seguridad de la informacin.

La carencia de estrategias para una administracin segura de la informacin, est

acompaada de la falta de conocimiento sobre los estndares internacionales y de
las normas que mediante su aplicacin ayudan a establecer mejores prcticas en
procesos de gestin de TI y de esta forma prevenir prdidas de informacin y a
evitar la existencia de procesos vulnerables. Las normativas internacionales cobit
establecen un grado de seguridad en sus cuatro dominios los que ayudan a
fortalecer y generar un ambiente de trabajo ms adecuado en este caso al servidor
web, el cual sufre de carencias de seguridad bastante evidentes dentro de los
procesos que intervienen en su administracin y cuidado, lo que nos aleja de
manera considerable a las mejores prcticas de administracin del mismo.

Ya que la inexistencia de parmetros que rijan el buen funcionamiento como el

determinar mtodos de respaldos o back up entre otros, hace visible que no se
encuentran identificados todas las necesidades que se tienen en relacin a la
seguridad y los procesos que intervendran en estos. Adems tambin podemos
hacer referencia a las normativas ISO en donde se establecen lineamientos que
fortalecen la gestin de TI y sus riesgos en proteccin a lo referente a seguridad de
informacin mediante la utilizacin de procesos de apoyo a la organizacin.