universidad de guayaquilrepositorio.ug.edu.ec/bitstream/redug/11692/1/b-cint-ptg-n.28 sil… · 2....

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING

“DISEÑO DE UN MODELO DE ARQUITECTURA DE

SEGURIDAD PARA LA RED DE DATOS

DE LA UNIVERSIDAD DE

GUAYAQUIL”

PROYECTO DE TITULACIÓN

Previa a la obtención del Título de:

INGENIERO EN NETWORKING Y

TELECOMUNICACIONES

AUTOR: VÍCTOR EMILIO SILVA BAJAÑA

TUTOR: ING. EDUARDO CRUZ RAMÍREZ MSIA.

GUAYAQUIL – ECUADOR

2016

II

REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA

FICHA DE REGISTRO DE PROYECTO DE TITULACIÓN

TÍTULO: “DISEÑO DE UN MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA RED DE DATOS

DE LA UNIVERSIDAD DE GUAYAQUIL”

REVISORES: Lcdo. Wilber Ortiz, M.Sc.

Lcdo. Pablo Alarcón, M.Sc.

INSTITUCIÓN: Universidad de Guayaquil FACULTAD: Matemáticas y Físicas

CARRERA: Ingeniería en Networking y Telecomunicaciones

FECHA DE PUBLICACIÓN: 2016 N° DE PÁGS.: 115

ÁREA TEMÁTICA: Seguridades

PALABRAS CLAVES: SEGURIDADES, ARQUITECTURA DE SEGURIDAD, REDES, RED DE DATOS

RESUMEN: Para las organizaciones e instituciones en general de hoy en día la seguridad de la información se ha convertido

en un aspecto primordial en las redes datos; protegiendo de esta manera los recursos tecnológicos y la información. Es por esta

razón que, a la Universidad de Guayaquil (en su Ciudadela Salvador Allende incluyendo sus facultades) le beneficiaría tomar

en consideración el Diseño de Arquitectura de Seguridad propuesto para su red de datos que permita la correcta administración

y control de su información y recursos tecnológicos que benefician, facilitan y aportan al trabajo de los docentes y personal

administrativo, sin olvidar las bondades que traen los mismos al estudiantado. Para este proyecto se utilizó la modalidad de

investigación bibliográfica, descriptiva y exploratoria, realizando encuestas al personal administrativo de TI y a los estudiantes

de la Universidad de Guayaquil. Con esta propuesta se busca aportar al avance tecnológico en el área de las TIC's y a fortalecer

falencias en lo que a seguridad de la información se refiere, todo esto basado en estándares y lineamientos que ayudarán a

establecer controles de seguridad y a seleccionar y mantener correctamente los mecanismos de seguridad en función a las

necesidades de la institución, que a su vez, mitiga las amenazas y vulnerabilidades, brinda una solución inmediata y sistemática

a los impactos y disminuye los riesgos con lo cual resulta beneficiada la comunidad educativa de la Ciudadela Universitaria

Salvador Allende.

N° DE REGISTRO(en base de datos): N° DE CLASIFICACIÓN:

DIRECCIÓN URL (tesis en la web):

ADJUNTO PDF X

SI

NO

CONTACTO CON AUTOR: VÍCTOR EMILIO SILVA BAJAÑA Teléfono:0982200328 E-mail: [email protected]

CONTACTO DE LA INSTITUCIÓN Nombre: Ab. Juan Chávez A.

Teléfono: 042307729

III

APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de investigación, “Diseño de un modelo de

seguridad para la red de datos de la Universidad de Guayaquil“ elaborado por el

Sr. Víctor Emilio Silva Bajaña, Alumno no titulado de la Carrera de Ingeniería en

Networking, Facultad de Ciencias Matemáticas y Físicas de la Universidad de

Guayaquil, previo a la obtención del Título de Ingeniero en Networking y

Telecomunicaciones, me permito declarar que luego de haber orientado,

estudiado y revisado, la apruebo en todas sus partes.

Atentamente

ING. EDUARDO CRUZ RAMIREZ MSIA.

IV

DEDICATORIA

A Dios, mi familia, mi querida

abuela Zoila Monserrate (+) y

a mi novia Betsabeth Valverde

que fueron el principal apoyo

para el desarrollo y

culminación de este proyecto.

V

AGRADECIMIENTO

Agradezco a mi tutor y maestros

por su paciencia, credibilidad y

confianza que me brindaron

para desarrollar exitosamente

este proyecto.

VI

TRIBUNAL PROYECTO DE TITULACIÓN

Ing. Eduardo Santos Baquerizo, M.Sc. Ing. Harry Luna Aveiga, M.Sc.

….DECANO DE LA FACULTAD DIRECTOR

CIENCIAS MATEMÁTICAS Y FÍSICAS CIN

Ing. Eduardo Cruz Ramírez, MSIA. Lcdo. Wilber Ortiz Aguilar

…...DIRECTOR DEL PROYECTO PROFESOR DEL ÁREA–

DE TITULACIÓN TRIBUNAL

Lcda. Ruth Paredes Santin Ab. Juan Chávez Atocha

.PROFESOR DEL ÁREA– SECRETARIO…

….….. TRIBUNAL

VII

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de este

Proyecto de Titulación, me corresponden

exclusivamente; y el patrimonio intelectual de la

misma a la UNIVERSIDAD DE GUAYAQUIL”

VÍCTOR EMILIO SILVA BAJAÑA

VIII

.


FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS


DISEÑO DE UN MODELO DE ARQUITECTURA DE

SEGURIDAD PARA LA RED DE DATOS DE

LA UNIVERSIDAD DE

GUAYAQUIL.

Proyecto de Titulación que se presenta como requisito para optar por el título de

Ingeniero en Networking y Telecomunicaciones

Autor: VÍCTOR EMILIO SILVA BAJAÑA

C.I. 091928383-8

Tutor: ING. EDUARDO CRUZ RAMÍREZ MSIA.

GUAYAQUIL, ABRIL 2016

IX

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de

Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por el/la

estudiante VÍCTOR EMILIO SILVA BAJAÑA, como requisito previo para optar por

el título de Ingeniero en Networking cuyo problema es:

“DISEÑO DE UN MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA

RED DE DATOS DE LA UNIVERSIDAD DE GUAYAQUIL.”

Considero aprobado el trabajo en su totalidad.

Presentado por:

SILVA BAJAÑA VÍCTOR EMILIO

Cédula de ciudadanía N° 0919283838

Tutor: ING. EDUARDO CRUZ RAMÍREZ MSIA.

GUAYAQUIL, ABRIL 2016

X

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS


Autorización para Publicación del Proyecto de Titulación

en Formato Digital

1. Identificación del Proyecto de Titulación

Nombre Alumno: VÍCTOR EMILIO SILVA BAJAÑA

Dirección: CDLA. EL RECREO MZ. 507 V. 34

Teléfono: 042675101 E-mail: [email protected]

2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este Proyecto de Titulación. Publicación electrónica:

Firma Alumno:

3. Forma de envío: El texto del Proyecto de Titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.

DVDROM CDROM X

Facultad: CIENCIAS MATEMÁTICAS Y FÍSICAS

Carrera: INGENIERÍA EN NETWORKING

Título al que opta: INGENIERO EN NETWORKING Y TELECOMUNICACIONES

Profesor guía: ING. EDUARDO CRUZ RAMÍREZ MSIA.

Título del Proyecto de Titulación: “DISEÑO DE UN MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA RED DE DATOS DE LA UNIVERSIDAD DE GUAYAQUIL”

Tema del Proyecto de Titulación: DISEÑO, ARQUITECTURA, SEGURIDAD, ARQUITECTURA DE SEGURIDAD, REDES, RED DE DATOS

Inmediata X Después de 1 año

XI

INDICE GENERAL

APROBACIÓN DEL TUTOR III

DEDICATORIA IV

AGRADECIMIENTO V

DECLARACIÓN EXPRESA VII

CERTIFICADO DE ACEPTACIÓN DEL TUTOR IX

INDICE GENERAL XI

INTRODUCCIÓN 1

CAPÍTULO I 3

EL PROBLEMA 3

Planteamiento del problema 3

Ubicación del problema en un contexto 3

Situación conflicto nudos críticos 5

Causas y consecuencias del problema 5

Delimitación del problema 6

Formulación del problema 7

Evaluación del problema 7

Objetivos 8

Alcances del problema 9

Justificación e Importancia 10

CAPÍTULO II 12

MARCO TEÓRICO 12

Antecedentes del estudio 12

Fundamentación teórica 13

Seguridad de la información 13

Política, estándares y procedimientos de la seguridad de la información 16

ISO 27001:2013 18

ISO 27002:2013 20

SGSI 21

Arquitectura de seguridad 22

Objetivos de una arquitectura de seguridad 23

Estrategias a aplicar en una arquitectura de seguridad 24

Procedimientos a seguir para la aplicación de una arquitectura de seguridad 28

XII

Clasificación en niveles de seguridad 29

Métodos de ataques más comunes 29

Mecanismos de control y seguridad de la informaciÓn 32

M1: Defensa técnica 32

M2: Defensa de funcionamiento 38

M3: Defensa de gestión 39

M4: La defensa física 39

Proceso de evaluación de riesgos 40

Fundamentación legal 49

Información y datos 49

preguntas científicas a contestarse 53

Variables de la investigación 54

Definiciones conceptuales 54

CAPÍTULO III 57

METODOLOGÍA DE LA INVESTIGACIÓN 57

DISEÑO DE LA INVESTIGACIÓN 57

Modalidad de la Investigación 57

POBLACIÓN Y MUESTRA 59

Población 59

Criterios de inclusión y de exclusión 60

Muestra 61

OPERACIONALIZACIÓN DE VARIABLES 62

Instrumentos de Recolección de Datos 64

Observación 64

Encuestas y Cuestionarios 65

Procedimientos de la Investigación 66

Recolección de la Información 68

Procesamiento y análisis 68

DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES DE ENCUESTA PARA ENCARGADOS DE

CENTRO DE CÓMPUTO 71

RESULTADO Y ANÁLISIS DE LA ENCUESTA REALIZADA 79

DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES DE ENCUESTA PARA estudiantes 95

RESULTADO Y ANÁLISIS DE LA ENCUESTA REALIZADA a estudiantes 100

XIII

CAPÍTULO IV 111

RESULTADOS, CONCLUSIONES Y RECOMENDACIONES 111

RESULTADOS 111

CONCLUSIONES 111

RECOMENDACIONES 112

BIBLIOGRAFÍA 114

XIV

ABREVIATURAS ABP Aprendizaje Basado en Problemas UG Universidad de Guayaquil FTP Archivos de Transferencia g.l. Grados de Libertad http Protocolo de transferencia de Hyper Texto Ing. Ingeniero ISP Proveedor de Servicio de Internet Mtra. Maestra Msc. Máster MSIA Magister en Seguridad de la Información Aplicada URL Localizador de Fuente Uniforme www world wide web (red mundial) HTTP Hyper Text Transfer Protocol HTTPS Hyper Text Transfer Protocol Secure VPN Virtual Private Network DMZ De-Militarized Zone LDAP Lightweight Directory Access Protocol IT Information Technologies TIC Tecnologías de la Información y Comunicación Qos Quality of Service AP Access Point AAA Authentication, Authorization and Accounting ITIL Information Technology Infrastructure Library

XV

SIMBOLOGÍA

s Desviación estándar

e Error

E Espacio muestral

E(Y) Esperanza matemática de la v.a. y

s Estimador de la desviación estándar

e Exponencial

XVI

ÍNDICE DE CUADROS

Cuadro Nº 1 Causas y consecuencias 5

Cuadro Nº2 Diferencias entre Proyecto Factible y Proyecto de Investigación 58

Cuadro Nº 3 Población 59

Cuadro Nº4 Tamaño de la Muestra 62

Cuadro Nº 5 Matriz de operacionalización de variables 63

Cuadro Nº6 Codificación Variable 1 71















Cuadro Nº21 Valores Estadísticos Pregunta 1 79

Cuadro Nº22 Valores Estadística Descriptiva Pregunta 1 80



Cuadro Nº 25 Valores Estadísticos Pregunta 4 83









XVII















Cuadro Nº48 Valores Estadística Descriptiva Pregunta 1 101



Cuadro Nº 51 Valores Estadísticos Pregunta 4 104







Cuadro Nº 58 Cronograma del Proyecto 3

XVIII

ÍNDICE DE GRÁFICOS Gráfico N° 1 Pilares fundamentales de la seguridad de la información 14

Gráfico N° 2 Trazabilidad ascendente – descendente políticas, estándares y procedimientos. 16

Gráfico N° 3 Modelo PHVA aplicado a los procesos del SGSI 20

Gráfico N° 4. Componentes de una arquitectura de seguridad de la información. 22

Gráfico N° 5. Arquitectura de seguridad de la información. 23

Gráfico N° 6 Seguridad en capas. 24

Gráfico N° 7 Mecanismos de defensa de un sistema de información 32

Gráfico N° 8 Proceso de evaluación de riesgos de seguridad de la información 40

Gráfico N° 9 Tipos de control de riesgo. 47

Gráfico N°10 Valores Estadísticos Pregunta 1 79

Gráfico N° 11 Valores Estadísticos Pregunta 2 81














Gráfico N°26 Valores Estadísticos Pregunta 1 100









XIX


XX



“DISEÑO DE UN MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA RED DE DATOS DE LA

UNIVERSIDAD DE GUAYAQUIL”

Autor: Víctor Emilio Silva Bajaña

Tutor: Ing. Eduardo Cruz Ramírez MSIA.

Resumen

Para las organizaciones e instituciones en general de hoy en día la seguridad de

la información se ha convertido en un aspecto primordial en las redes datos;

protegiendo de esta manera los recursos tecnológicos y la información. Es por

esta razón que, a la Universidad de Guayaquil (en su Ciudadela Salvador Allende

incluyendo sus facultades) le beneficiaría tomar en consideración el Diseño de

Arquitectura de Seguridad propuesto para su red de datos que permita la correcta

administración y control de su información y recursos tecnológicos que benefician,

facilitan y aportan al trabajo de los docentes y personal administrativo, sin olvidar

las bondades que traen los mismos al estudiantado. Para este proyecto se utilizó

la modalidad de investigación bibliográfica, descriptiva y exploratoria, realizando

encuestas al personal administrativo de TI y a los estudiantes de la Universidad

de Guayaquil. Con esta propuesta se busca aportar al avance tecnológico en el

área de las TIC's y a fortalecer falencias en lo que a seguridad de la información

se refiere, todo esto basado en estándares y lineamientos que ayudarán a

establecer controles de seguridad y a seleccionar y mantener correctamente los

mecanismos de seguridad en función a las necesidades de la institución, que a su

vez, mitiga las amenazas y vulnerabilidades, brinda una solución inmediata y

sistemática a los impactos y disminuye los riesgos con lo cual resulta beneficiada

la comunidad educativa de la Ciudadela Universitaria Salvador Allende.

XXI



“DISEÑO DE UN MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA RED DE DATOS DE LA

UNIVERSIDAD DE GUAYAQUIL”

Autor: Víctor Emilio Silva Bajaña

Tutor: Ing. Eduardo Cruz Ramirez MSIA.

ABSTRACT

Nowadays, information has become an important concern for organizations and

institutions in general, especially when it comes into consideration data networks.

This guarantees the protection of technologic resources. Therefore, the University

of Guayaquil (inside the Salvador Allende Campus including all its faculties) should

analyze the proposal of the design of architecture security for its data network in

order to improve the management and control of information of services offered

and the technological resources. This, it would benefit and facilitate the work of

teachers and administrative staff and, of course, to students in general. For this

project the form of literature, descriptive and exploratory research is used,

conducting surveys IT administrative staff and students of the University of

Guayaquil. This proposal looks after the improvement of the use of ICT and the

strengthening of weaknesses related to the security of information based on

standards and guidelines that will help to establish security controls and select and

to correctly maintain the security mechanisms according to the needs of the

institution, which in turn mitigates threats and vulnerabilities provides immediate

and systematic impact solution and lowers risk that will benefit to all the educative

community.

1

INTRODUCCIÓN

El uso de arquitecturas de seguridad en una red de computadoras es fundamental

para el control de la información y recursos tecnológicos, por esta razón se vuelve

indispensable utilizar las últimas tendencias tecnológicas como mecanismos de

seguridad en base a políticas, normas internacionales ISO 27001:2013 e ISO

27002:2013 que contribuyen al cumplimiento de los principios de la seguridad de

la información en una organización.

A nivel mundial, las instituciones de educación superior han tenido que adaptarse

a los avances tecnológicos que mejoran la gestión administrativa, docente y

estudiantil, dentro o fuera de la universidad. Además, permite a sus investigadores

comunicarse con otras universidades alrededor del planeta para lograr la

excelencia académica deseada.

En instituciones educativas de educación superior es muy importante que se

emplee una arquitectura de seguridad diseñada y ajustada a su esquema de red.

Dicha arquitectura debe estar basada en los pilares fundamentales de la seguridad

de la información, para así proteger los datos de estudiantes, docentes y demás

áreas.

Es de mucha importancia para la Universidad de Guayaquil incorporar el diseño

de arquitectura de seguridad para la red de datos, ya que se pretende minimizar

vulnerabilidades en la infraestructura de red de la Ciudadela Salvador Allende. La

UG cuenta con 62000 estudiantes y 5018 personas entre administrativos y

docentes, cada facultad administra su infraestructura tecnológica interconectada

entre sí con la División de Centro de Cómputo.

El presente proyecto está conformado de 4 capítulos, los cuales se detallan a

continuación:

El Capítulo I EL PROBLEMA, está estructurado por el planteamiento del

problema, las causas y consecuencias, las variables del problema, la delimitación

2

del mismo, objetivo general y los objetivos específicos que hemos propuesto para

esta investigación, la utilidad así como la población a quién va dirigida.

El Capítulo II MARCO TEÓRICO, Establece una investigación bibliográfica que

sustenta este estudio, su relación entre sí, así como un amplio desarrollo de la

investigación teórica que sustenta este estudio. Se anotará también las preguntas

de investigación, las variables objeto del estudio, concluyendo con las definiciones

conceptuales y sus respectivos significados.

El Capítulo III METODOLOGÍA, DISEÑO DE LA INVESTIGACIÓN. En el tercer

capítulo se desarrollará la metodología que se aplicará en el estudio siendo la

misma de campo con planteamiento de preguntas a contestarse. Se diseñó y

aplicó como instrumento de investigación la observación directa y las encuestas a

estudiantes y al personal encargado de IT.

El Capítulo IV RESULTADOS, CONCLUSIONES Y RECOMENDACIONES. En

este capítulo se expusieron las conclusiones y recomendaciones, además la

interpretación de resultados de la investigación. Se aporta con ideas para que la

problemática tratada en la investigación sea analizada y superada con la

propuesta planteada en este trabajo.

Finalmente se incluye la bibliografía y los anexos correspondientes que sustentan

la investigación realizada.

3

CAPÍTULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO

La Universidad de Guayaquil, en su afán de brindar educación de calidad, se ve

en la necesidad de equipar de tecnologías de seguridad al centro de datos, para

el beneficio de las facultades que forman parte de esta, ya sean, que estén en la

Ciudadela Salvador Allende o fuera de esta.

Entre los puntos de mayor relevancia se encuentra la infraestructura de red, sitio

desde el cual se ejecutan un sin número de servicios informáticos la cual demanda

atención para reforzar la seguridad en todo ámbito, así como el ordenamiento que

ofrecen las arquitecturas de red.

Las facultades y el Centro de Cómputo de la Ciudadela Salvador Allende han

dejado en total descuido la aplicación de una arquitectura de seguridad bajo

normativas y políticas en su red de datos, ya que, no cumplen con los

requerimientos tecnológicos mínimos para proteger sus recursos tecnológicos e

información de la UG (Universidad de Guayaquil).

Es necesario que la infraestructura de red sea administrada por personal

especializado y capacitado continuamente en criterios de seguridad de la

información, de esta manera se evitarán desastres y se reducirán los costos que

implicarían la pérdida de datos, la alteración de la misma y además, indisponer

los servicios informáticos utilizados por los estudiantes, docentes y personal

4

administrativo, incumpliendo de esta manera los pilares fundamentales de la

seguridad: disponibilidad, confidencialidad e integridad.

La problemática se enfoca en la Universidad de Guayaquil en su Ciudadela

Universitaria Salvador Allende ubicada en la Ciudad de Guayaquil que cuenta con

13 facultades: Arquitectura y Urbanismo, Ciencias Administrativas, Ciencias

Agrarias, Ciencias Económicas, Ciencias Matemáticas y Físicas, Ciencias

Médicas, Ciencias Psicológicas, Ciencias Químicas, Educación Física, Deportes

y Recreación, Filosofía, Letras y Ciencias de la Educación, Ingeniería Química,

Jurisprudencia, Ciencias Sociales y Políticas, y Odontología, las mismas que en

base a una observación directa a la situación tecnológica actual y a encuestas al

personal de TI y a los estudiantes se ha determinado que no posee una

arquitectura de seguridad en su infraestructura tecnológica y además los

mecanismos de seguridad implementados hasta la actualidad no son fiables para

el tipo de información que manipula una institución de educación superior.

En otras universidades como la UESS (Universidad de Especialidades del Espíritu

Santo) se han observado casos de violación a la integridad de la información con

o sin fines de lucro como por ejemplo:

“Los hermanos Alfredo José y Luis Alberto Aráuz Muñoz, y el estudiante de

Informática de la UEES Kléber Julio Letamendi lograron ingresar al sistema

informático de la universidad y cambiaron las notas de 70 alumnos (EL

UNIVERSO, 2013)”

Dicha información es muy importante para las instituciones de educación superior

en general, ya que mide la excelencia académica y a su vez, calidad del recurso

humano del Ecuador.

5

SITUACIÓN CONFLICTO NUDOS CRÍTICOS

Esto surge por el bajo interés en la adquisición y/o actualización de nuevos

equipos de cómputo y de comunicaciones que son necesarios en la actualidad

para las diversas gestiones que se realizan en TI.

En lo que se refiere al personal docente de TI en la actualidad, no motivan a que

los estudiantes de la UG participen en proyectos de implementación e

investigación tecnológica. Además los encargados del área de TI deben ser

capacitados y actualizar sus certificaciones continuamente cuando los fabricantes

de las marcas publiquen sus nuevos contenidos, para todo lo anterior el encargado

debe pertenecer profesionalmente al área TI.

El servicio de internet para los estudiantes de la UG es libre y en ciertas ocasiones

no hay servicio, el cual debe ser aprovechado para fines investigativos y

educativos, y no para fines de ocio. El internet es la puerta del enlace al mundo y

por ende debe de estar correctamente administrado y controlado con mecanismos

de seguridad fiables que distribuyan correctamente el servicio de internet y

protejan la información y recursos de terceros.

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

En el siguiente cuadro se detallan y enumeran las principales causas que originan

el problema de la falta de aplicación de normativas, lineamientos y criterios de

seguridad de la información y por ende las consecuencias que traería la

inexistencia de una arquitectura de seguridad para la red de datos de la UG.

Cuadro n° 1 Causas y consecuencias

No. CAUSAS CONSECUENCIAS

1 Personal TI no se ha

especializado en estándares de

seguridad.

Los recursos tecnológicos se

encuentran expuestos y

desprotegidos al acceso de personal

no autorizado.

6

2

Las autoridades no han

promovido los procesos de

actualización y capacitación

continua.

Personal TI se muestra desinteresado

en desarrollar proyectos de seguridad

para la UG.

3 Infraestructura tecnológica

obsoleta en la universidad.

Personal TI está limitado a no poder

implementar proyectos que ayuden a

asegurar la red local y externa.

4 Bajo interés en adquisición de

equipos de seguridades.

Imposibilita la aplicación de nuevos

proyectos de infraestructura y de

seguridad de la información.

5 Administración de seguridades

descentralizada en ciertas

facultades

Falencias en la administración,

soporte y gestión de recursos.

6 Terminales de trabajo y

laboratorios sin control

centralizado de acceso.

Información expuesta a personal no

autorizado y recursos no se

aprovechan a su totalidad.

7 Personal TI no proponen

proyectos tecnológicos para la

Universidad de Guayaquil.

Limitada motivación a la comunidad

estudiantil del área de computación y

redes para proponer diseños de

seguridad.

Fuente: Datos de la Investigación

Elaborado por: Víctor Emilio Silva Bajaña

DELIMITACIÓN DEL PROBLEMA

Campo: Universidad de Guayaquil Ciudadela Universitaria “Salvador Allende”

Área: Seguridad de la Información

Aspecto: Diseño de Arquitectura de Seguridad

Tema: “Diseño de un modelo de arquitectura de seguridad para la red de datos

de la Universidad de Guayaquil.”

7

FORMULACIÓN DEL PROBLEMA

¿En qué medida los mecanismos de seguridad de la información influyen

sobre la arquitectura de la red de datos de la Universidad de Guayaquil?

EVALUACIÓN DEL PROBLEMA

Los aspectos generales de evaluación son:

Delimitado: Se considera claramente circunscrito el proyecto, pues se enmarca

dentro de la Ciudadela Universitaria Salvador Allende de la Universidad de

Guayaquil.

Claro: El proyecto está desarrollado para que al momento de ser tomado en

cuenta por el especialista a cargo se le facilite la comprensión de lo investigado,

analizado y propuesto.

Relevante: Es muy importante debido a que estudios, estándares y fabricantes

avalan el cuidado de la información y acceso a la red.

Original: El proyecto, en cuanto a la metodología y modelamiento del diseño de

la arquitectura de seguridad aplicado al centro de cómputo y a las facultades de

la Ciudadela Universitaria Salvador Allende, es auténtico.

Factible: Se considera factible el estudio, ya que teniendo en cuenta los cambios

que se están efectuando en la Universidad de Guayaquil por los diversos

requisitos se debe cumplir y responder a la unidad interventora debe resguardar

su información, actualizar sus recursos físicos y lógicos de cómputo y dar solución

a sus falencias.

8

Variables:

Variable Independiente: Mecanismos de seguridad de la información.

Variable Dependiente: Diseño de la arquitectura de seguridad para la red de datos

de la Universidad de Guayaquil en la Ciudadela Universitaria Salvador Allende.

OBJETIVOS

Objetivo General

Proponer un diseño de arquitectura de seguridad a la Universidad de Guayaquil a

partir de modelos de arquitectura seguridad de la información según estándares y

lineamientos que requiere una red de datos, los mismos que están basados en las

necesidades de la institución para así fortalecer la integridad, confidencialidad y

disponibilidad de los recursos tecnológicos y la información.

Objetivos específicos

Analizar la información de los métodos de seguridad que se han aplicado

hasta la actualidad mediante una inspección previa.

Valorar los factores de riesgo aplicados a los pilares fundamentales de la

información de la red de datos de la institución.

Identificar la infraestructura, servicios y aplicaciones que se ejecutan en la

red interna y externa para definir los mecanismos y/o herramientas

recomendables.

9

Adoptar recomendaciones de ISO 27001:2013 e ISO 27002:2013 que

estén enfocados a la situación de la institución.

Determinar los mecanismos de seguridad que requiere la infraestructura

tecnológica de la Ciudadela Salvador Allende para el diseño de

arquitectura de seguridad propuesto.

ALCANCES DEL PROBLEMA

Se obtendrán los permisos y accesos para el levantamiento de información.

Se evaluarán los servicios, aplicaciones, número de usuarios simultáneos,

clasificación de la información y los riesgos que existentes de cada sitio de la

Ciudadela Universitaria Salvador Allende.

Se diseñará la arquitectura de seguridad para la red de datos de la Universidad

de Guayaquil en su Ciudadela Universitaria Salvador Allende ubicada en la

Ciudad de Guayaquil que cuenta con 13 facultades: Arquitectura y Urbanismo,

Ciencias Administrativas, Ciencias Agrarias, Ciencias Económicas, Ciencias

Matemáticas y Físicas, Ciencias Médicas, Ciencias Psicológicas, Ciencias

Químicas, Educación Física, Deportes y Recreación, Filosofía, Letras y

Ciencias de la Educación, Ingeniería Química, Jurisprudencia, Ciencias

Sociales y Políticas, y Odontología.

Se desarrollará un modelo de políticas de seguridad con el fin de fortalecer y

mantener la funcionalidad de los mecanismos de seguridad utilizados en el

diseño propuesto.

Se creará una matriz de riesgos que determine la calificación y criticidad de

cada problema, para poder mitigar los riesgos que brindará la solución

inmediata y sistemática de los problemas.

10

Se determinarán los beneficios que brinda la arquitectura de seguridad

propuesta en comparación con las seguridades actuales.

JUSTIFICACIÓN E IMPORTANCIA

Las organizaciones financieras, comerciales, administrativas, educativas entre

otras gracias a las tecnologías de la información sus actividades han mejorado

para bien. Con solo un dispositivo de cómputo y conexión a internet o con

interconexión remota un empresario puede estar en una reunión, un doctor

especialista puede hacer intervenciones quirúrgicas y un estudiante puede recibir

sus tutorías, hacer consultas y presentar sus proyectos, si alguna de las

actividades anteriormente detalladas es interrumpida por terceros no serviría de

nada la existencia de estas tecnologías, por esta razón es muy importante la

aplicación de mecanismos de seguridad tanto en empresas como en instituciones.

Las instituciones educativas del mundo se acoplan al cambio tecnológico para el

beneficio de sus estudiantes, promoviendo de esta manera la cultura científica e

investigativa. En Ecuador, se busca adoptar tecnología de vanguardia que poseen

otras universidades de primer mundo, las mismas que se interconectan entre sí

con diversos fines, dichas interconexiones sirven para que la información privada

sea transmitida de manera segura y confiable, así como la información pública sea

íntegra y veraz.

La adaptación de una arquitectura de seguridad en la red de datos de la

Universidad de Guayaquil es necesaria ya que en la actualidad no posee las

seguridades mínimas que requiere la información de una prestigiosa institución

superior en proceso de acreditación. La misma que además de la seguridad

necesita solventar los problemas que se han convertido en tradición para los

estudiantes, problemas como: generación de turnos ineficaz, inconsistencia en

períodos de matriculación, dificultad en obtener formatos de especies valoradas y

problemas con el servicio de matriculación.

11

La selección de los mecanismos de seguridad debe ser estratégica y deben ir

siempre acompañados a normas y lineamientos que estén aplicados en las leyes

ecuatorianas. Dichas normas y lineamientos deben de servir de soporte para el

desarrollo de una política de seguridad en base a las necesidades de la

Universidad de Guayaquil que, ayude a mantener en perfecto funcionamiento y

sobretodo que facilite la administración de los recursos tecnológicos y proteja la

información.

En base a (Lopez, 2007) que presentó una propuesta de arquitectura de seguridad

para la Universidad Simón Bolívar (Vargas-Venezuela), tomando en cuenta

modelos de arquitectura de seguridad, de las amenazas presentadas en aquel

entonces y sobre todo las necesidades que tiene dicha institución.

En cuanto a tecnología, al proponer una arquitectura de seguridad para una red

de datos es totalmente viable ya que actualmente contamos con fabricantes y

empresas de software que pueden suministrar herramientas y mecanismos para

cubrir la necesidad de adaptar o rediseñar un modelo de arquitectura de seguridad

en la Ciudadela Universitaria Salvador Allende de la Universidad de Guayaquil.

12

CAPÍTULO II

MARCO TEÓRICO

ANTECEDENTES DEL ESTUDIO

La Universidad de Guayaquil (UG), siendo la universidad con el mayor número de

estudiantes del Ecuador, cada día afronta nuevos riesgos y amenazas que

acompañan la implementación de nuevas tendencias tecnológicas y en el uso de

sus redes de datos que paulatinamente va cumpliendo con los requerimientos

tecnológicos para acreditarse ante el Consejo de Evaluación, Acreditación y

Aseguramiento de la Calidad de la Educación Superior (CEAACES) y elevar su

categoría en el ranking de Universidades de excelencia en el Ecuador.

Los riesgos de seguridad de información en Ecuador están en aumento, debido a

las incidencias de virus, hackers, robo, sabotaje y espionaje corporativo que están

siendo explotados con más frecuencia. Por su parte la gestión administrativa de

IT, contrarresta cada día las nuevas amenazas con un sin número de herramientas

tales como, Firewalls, IDS, IPS, Controles de Autenticación, Gestores de Archivos,

Antivirus y monitores de red y servicios y sniffers, los mismos que deberían ser

monitoreados constantemente por personal profesional calificado. Dichas

herramientas deben de ser utilizadas sistemática y estratégicamente,

conformando una arquitectura de seguridad para la red de datos de la UG que, en

conjunto de una matriz de riesgos y el plan de mitigación de los mismos aseguren

la continuidad del servicio, contrarresten las amenazas y minimicen las

vulnerabilidades.

El uso de las redes de computadoras en la Universidad de Guayaquil en las

facultades que conforman la Ciudadela Salvador Allende, proporciona una mayor

flexibilidad para el acceso y el intercambio de información y recursos tecnológicos

para el personal administrativo, docente y estudiantes. Existen muchas ventajas

13

para el uso y aplicación de las redes de computadoras, sin embargo mientras la

infraestructura crece, es probable que se pierda el control de los activos

tecnológicos y exponer información sensible a personal no autorizado. Por esta

razón es necesario la considerar una reestructuración de las estrategias de

defensa y una arquitectura de seguridad de la información adaptada a la

infraestructura de la UG para así mantener la integridad, confidencialidad y

disponibilidad de la información en la red de datos de la misma.

Ahora, la seguridad de la información es una consigna primordial de todos los que

conforman una organización, por ejemplo el área de TI de la Universidad de

Guayaquil, debería hacer conciencia desde cuando se le asigna a un estudiante,

docente o personal administrativo un computador ya sea de escritorio o portátil,

cada persona tiene la responsabilidad y el compromiso de mantener la

confidencialidad, integridad y disponibilidad de la información a la que él o ella

tiene acceso en las dependencias de la UG. Una arquitectura de seguridad de

información integrada (ISA) es el mecanismo para garantizar que todas las

personas tengan conciencia de que son responsables y que tienen que velar por

la protección de esos recursos.

FUNDAMENTACIÓN TEÓRICA

A continuación, en base a la teoría se detallan los conceptos principales para la

comprensión total del proyecto:

SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información tiene por objetivo principal, establecer los controles

y medidas para minimizar el riesgo de pérdida de información y recursos del

sistema, la corrupción de datos, la interrupción del acceso a los datos, y la

divulgación no autorizada de información.

14

Desde la consolidación de Internet como medio de interconexión global,

los incidentes de seguridad relacionados con sistemas informáticos vienen

incrementándose de manera alarmante. Este hecho, unido a la progresiva

dependencia de la mayoría de organizaciones hacia sus sistemas de

información, viene provocando una creciente necesidad de implantar

mecanismos de protección que reduzcan al mínimo los riesgos asociados

a los incidentes de seguridad. (Galdámez, pág. 4)

En base a lo mencionado por Galdámez, la seguridad de la información se logra

a través de políticas eficaces, normas, y procedimientos que garanticen la función

de los pilares fundamentales de la seguridad de la información: confidencialidad,

integridad, y disponibilidad en la información, aplicaciones, sistemas y redes sólo

para usuarios autorizados.

Gráfico N° 1

Pilares fundamentales de la seguridad de la información

Fuente: http://seguridaddelainformacionudec.blogspot.com/


15

Confidencialidad

Se refiere a la protección de la información al acceso no autorizado,

independientemente del lugar donde reside la información o la forma en que se

almacena. La información que es confidencial, debe ser protegida a través

mecanismos de control estrictos. Autenticación y autorización son

dos mecanismos utilizados para asegurar la confidencialidad de la información.

Las políticas deben estar en su lugar para identificar qué información es

confidencial y el período de tiempo que debe permanecer confidencial. Las

mismas deben ser desarrolladas para la clasificación de la información de acuerdo

a sus características y también añadir requisitos de seguridad asociados para

cada clasificación de confidencialidad.

Integridad

Es la protección de la información, aplicaciones, sistemas y redes a los cambios

intencionales, no autorizados o accidentales. También es importante proteger a

los procesos o programas utilizados para manipular los datos.

La información debe ser presentada a los propietarios y usuarios de una

manera precisa, completa y oportuna. La clave para el logro de la integridad son

la aplicación y control de las políticas que proporcionan la separación apropiada

de funciones, así como las pruebas y la validación de los cambios que se hacen a

los sistemas y procesos.

También son importantes la identificación y autenticación de todos los usuarios

cuando accedan a información, aplicaciones, sistemas y redes a través de

controles manuales y automatizados de acceso.

Disponibilidad

Es la garantía de que la información y los recursos tecnológicos son accesibles

por usuarios autorizados, según sea necesario. Hay dos cuestiones relativas a la

16

disponibilidad:

La negación de servicios causada por la falta de controles de seguridad

(por ejemplo, la destrucción de datos o equipos a causa de virus

informáticos).

La pérdida de la información y los servicios tecnológicos debido a los

desastres naturales (por ejemplo, tormentas, inundaciones o incendios).

La pérdida de los servicios se aborda como parte del proceso de

planificación de la continuidad del negocio.

POLÍTICA, ESTÁNDARES Y PROCEDIMIENTOS DE LA SEGURIDAD

DE LA INFORMACIÓN

Gráfico N° 2 Trazabilidad ascendente – descendente políticas, estándares y procedimientos.

Fuente: http://www.ittrendsinstitute.org


17

“Las organizaciones gastan millones de dólares en firewalls y dispositivos de

seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón

más débil de la cadena de seguridad: la gente que usa y administra los

ordenadores.” (Kevin Mitnick).

En base a lo que dice Mitnick, es necesario controlar las actividades y roles del

personal de IT con Políticas, Estándares y Procedimientos de seguridad de la

información para de esta manera garantizar la continuidad de los recursos

tecnológicos y los datos.

Políticas de seguridad

Las políticas de seguridad son una forma de comunicación con el personal, ya que

las mismas constituyen un canal formal de actuación, en relación con los recursos

y servicios informáticos de la organización. Esta a su vez establece las reglas y

procedimientos que regulan la forma en que una organización previene, protege y

maneja los riesgos de diferentes daños, sin importar el origen de estos (UNIVO,

2008)

También se ocupan de las actividades de seguridad que incluye el diseño de los

controles en los sistemas de aplicación, estableciendo a los usuarios sus

privilegios de acceso, los riesgos a los que están expuestos, informar acerca de

la realización de investigaciones de delitos informáticos y además disciplinar a los

trabajadores acerca de violaciones de seguridad para la prevención de la

organización.

Estándares de seguridad

Un estándar de seguridad consiste en un conjunto específico de reglas,

procedimientos o convenciones que están acordadas entre las partes con el fin de

operar de manera más uniforme y eficaz. Por ejemplo, si cada departamento

tuviera que elegir una aplicación diferente de correo electrónico, sería muy difícil

18

comunicarse entre departamentos, porque no existe un protocolo establecido o un

acuerdo sobre cómo o qué comprar o cómo interoperar. Otro ejemplo es que si

todo el mundo en una organización escribió una carta sin ninguna orientación a la

organización, estas cartas deben ser descartadas.

Las normas establecen un nivel de expectativa que debe ser alcanzado o

superado mediante el cumplimiento de la propia obligación o responsabilidades;

también tienen un gran impacto sobre la aplicación de seguridad. Cuando las

normas no se han tomado en consideración relacionada a las implementaciones

de tecnología, puede afectar directamente al desempeño o rendimiento que es

necesario para cumplir los objetivos de seguridad de la empresa.

Procedimientos de seguridad

Son planes, procesos u operaciones que se ocupan de los detalles

de cómo hacer una acción particular. Permiten la transferencia de

conocimientos entre las personas que realizan el mismo trabajo, para cubrir al

personal durante los períodos de ausencia, o permitir un mayor conocimiento y

transición más suave durante los cambios de personal permanente. Los

procedimientos deben reflejar las mejores prácticas que se han establecido.

También deben reflejar mejoras que se han desarrollado a un proceso para

proporcionar la eficiencia en virtud de la naturaleza repetitiva de la realización de

una tarea específica. Los procedimientos son también una orientación, pero

normalmente responden a las preguntas más detalladas de dónde, cuándo y cómo

realizar las actividades propuestas.

ISO 27001:2013

La normativa ISO/IEC 27001 es la norma internacional única auditable que detalla

e indica los requerimientos mínimos para un SGSI (Sistema de Gestión de la

Seguridad de la Información). Dicha norma, se ha desarrollado con el fin de

garantizar las recomendaciones de los controles de seguridad, los mismos que

19

aseguran los activos tecnológicos y la información otorgando confianza a la

organización y a sus usuarios en general.

Es muy importante mencionar que esta norma solo hace referencia a

recomendaciones, mas no certifica. Estas recomendaciones están enlistadas en

el uso de 133 controles de seguridad totalmente diferentes que se pueden aplicar

a 11 áreas de control para la seguridad de la información. La ISO 27001 incluye

“Plan, Do, Check, Act” (PCDA) que en español seria “Planear, Hacer, Revisar y

Actuar” como método de mejora continua.

Planear: es la fase del modelamiento del SGSI, en la cual se definen los

controles adecuados de seguridad de la información como también, la

evaluación de riesgos.

Hacer: es la fase de implementación y puesta en marcha de los controles

de seguridad de la información.

Revisar: Es la fase de revisión y análisis del desempeño eficaz y eficiente

del SGSI.

Actuar: Es la fase de mejora continua en la cual se emplean modificaciones

para llevar el SGSI a su máximo rendimiento.

20

Gráfico N° 3

Modelo PHVA aplicado a los procesos del SGSI

Fuente: NTE INEN ISO/IEC 27001


ISO 27002:2013

La ISO 27002:2013 estándar de Tecnología de la Información – desarrollada para

la aplicación de Técnicas de la Seguridad - Código de Práctica para la gestión de

la Seguridad de la Información, es una guía de implementación y lineamientos de

controles, por lo que establece las directrices para iniciar, implementar, mantener

y optimizar la gestión de la Seguridad de la Información en la organización. La

misma nos presenta once principales cláusulas de control con sus respectivas

indicaciones de los objetivos de control y además varios controles por cada una

de sus cláusulas. (Normalización, Norma Técnica Ecuatoriana NTE INEN -

ISO/IEC 27000:2012, 2012)

21

SGSI

Es el conjunto de políticas fundamentales de administración y seguridad de la

información dentro de una entidad y es utilizado por la ISO/IEC 27001 para el

planeamiento, implementación y mantenimiento de un conjunto de procesos

sistemáticos para gestionar eficaz y eficientemente accesibilidad autorizada a la

información, asegurando la confidencialidad, integridad y disponibilidad de los

activos de la información minimizando los riesgos de seguridad de la información.

El SGSI como todo proceso de gestión, debe siempre funcionar eficientemente

durante un largo período de tiempo, adaptándose a los cambios de la organización

tanto internos como externos.

Ventajas de SGSI

Al implementar un SGSI en base a normas internacionales ISO 27001 trae consigo

las siguientes ventajas a la organización:

Garantiza el funcionamiento de los controles internos y cumple a cabalidad

los requisitos de gestión corporativa y continuidad del negocio.

Demuestra a los clientes la aplicación de leyes y normativas de seguridad

de la información que son de vital importancia y proporcionan de esta

manera una ventaja competitiva.

Ayuda a identificar, evaluar y mitigar los riesgos de la organización

gestionados en el tiempo, que formaliza la documentación y los

procedimientos a seguir para la protección de la información.

Denota el compromiso que existe de los directivos con la seguridad de la

información.

22

Indirectamente el proceso de evaluaciones periódicas ayuda a la

organización a supervisar el rendimiento y la mejora continua.

ARQUITECTURA DE SEGURIDAD

Es el arte sistemático de integrar y organizar mecanismos, servicios y funciones

de seguridad de la información estructurada en niveles, que establecen controles

basados en políticas, estándares y procedimientos, los mismos que ayudan a

identificar y así evitar los riesgos que aseguran la transmisión de la información y

los activos tecnológicos de una red de datos.

Gráfico N° 4 Componentes de una arquitectura de seguridad de la información.

Fuente: Killmeyer, J. (2006). Information Security Architecture. Second Edition,


23

OBJETIVOS DE UNA ARQUITECTURA DE SEGURIDAD

Proteger los datos a modificaciones no autorizadas.

Proteger a los datos frente a pérdidas.

Proteger los datos de divulgaciones.

Garantizar el acceso al emisor y receptor de los datos.

Logrando estos objetivos de una arquitectura de seguridad de la información

aseguramos correctamente transmisión de la misma.

Gráfico N° 5. Arquitectura de seguridad de la información.



24

ESTRATEGIAS A APLICAR EN UNA ARQUITECTURA DE

SEGURIDAD

Para modelar una arquitectura de seguridad es necesario considerar las

estrategias que se van a considerar en el diseño, a continuación se detallarán las

principales estrategias a aplicar en una arquitectura de seguridad para una red de

datos:

Seguridad en profundidad

Gráfico N° 6 Seguridad en capas.

Fuente: NTE INEN ISO/IEC 27001


En el diagrama podemos determinar que al tener varios niveles de defensa, si un

nivel se ve en riesgo no necesariamente implica que los otros niveles estén

25

comprometidos, pero es de vital importancia tomar en consideración que la

planificación de los procedimientos acciones o estrategias deben hacerse con la

suposición de que la seguridad de todas las capas también han sido

comprometidas.

Hay un sin número de mecanismos, tecnologías y estrategias de seguridad que

ayudan a asegurar los niveles de forma individual que previamente deben ser

analizadas para que apliquen en cualquiera de ellos.

Cabe mencionar que es muy importante tener en cuenta que cada acción de

protección que se tome tiene un costo, por lo cual se debe evaluar el valor de la

información y por consiguiente, los recursos tecnológicos a proteger y el impacto

que incide el perder información, la divulgación o alteración de la misma, para ello

se debe planificar las acciones pertinentes en un plan de mitigación de riesgos.

Se presenta a continuación un breve resumen de acciones o estrategias que

podrían aplicarse en cada capa:

Nivel de políticas, normas y concientización: Cursos y capacitaciones

de seguridad de la información a los usuarios de la organización.

Nivel de seguridad física: Acceso biométrico, bitácoras de acceso,

guardias de seguridad, video vigilancia.

Nivel seguridad perimetral: Seguridad en granja de servidores físicos y

de ambiente virtualizado tanto locales como DMZ.

Nivel de acceso a Internet: Tecnologías proxy HTTP, HTTPS, VPN, IDS

e IPS y políticas a nivel de jerarquía de usuarios.

Nivel de control de estaciones de trabajo: Auditoría constante de

configuraciones, utilización de gestores de archivos, autenticación y

control de usuarios por LDAP o Active Directory.

Nivel de control de aplicación: Prácticas de refuerzo de aplicaciones y

el software antivirus.

Nivel de control de datos: Mecanismos de autenticación, listas de control

de acceso (ACL) y cifrado.

26

Simplicidad

Mientras más grande y complejo sea una infraestructura de red tendrá más

errores, la administración se complicara y el tiempo en mitigar problemas será

impactante y probablemente posea brechas de seguridad no conocidas para el

administrador que un atacante puede explotar.

Es por ello, que la simplicidad de los sistemas de seguridad de la información es

muy importante para la defensa de una red de datos.

Control de acceso

Evita el uso de los recursos tecnológicos y la información de una organización a

personas no autorizadas, de esta manera, se controla quien puede tener acceso

a la información y recursos y bajo qué condiciones.

Principio de mínimo privilegio

Esta estrategia es una de las más importantes de la seguridad, consiste en

conceder a cada objeto sea usuario, programa o sistema, tenga privilegios o

permisos exclusivos para sus tareas o gestiones que se programaron para su rol

según la jerarquía organizacional de una entidad.

Así se evitarán los ataques y limitar las modificaciones en los datos. La principio

de mínimo privilegio está basado en la razón de que todos los servicios

informáticos de una organización están pensados para ser utilizados por algún

perfil de usuario con privilegios específicos, de esta forma se utiliza y se gestionan

de mejor manera las aplicaciones y servicios.

Para cada servicio es importante establecer cuidadosamente el objeto y los

privilegios que se le asignarán.

27

Escalabilidad

Es una característica de un sistema, modelo o función que describe su capacidad

para hacer frente y llevar a cabo en virtud de un aumento o ampliación de carga

de servicios informáticos. Un sistema que funciona bien será capaz de mantener

o incluso incrementar su nivel de rendimiento o eficiencia cuando se prueba por

las demandas operativas más grandes.

Aun asi una granja de servidores de una organización corriendo 24/7 con

disipadores de refrigeración, gabinetes cerrados e incluso la habilitación de

seguridad física, no brinda total tranquilidad al administrador de redes y queda el

temor constante de que la red y los datos podrían estar en peligro si el tiempo

equivocado o la persona equivocada se apoderaran de sus instalaciones.

Pero eso es sólo el comienzo, antes de una implementación de equipos de

cómputo en una infraestructura totalmente nueva o ya existente, debe

cuestionarse lo siguiente: ¿Cuándo su negocio crezca, está dispuesto a comprar

más servidores? ¿Serán compatibles con la infraestructura existente? ¿Cuál será

el costo de las unidades y la instalación? ¿Tiene espacio para ellos?

Es por ello que en el centro de datos se debe considerar siempre espacio para

crecimiento, que probablemente tenga la empresa en aumentar y actualizar su

infraestructura tecnológica.

Redundancia

La redundancia es un diseño de sistema en el que un componente se duplica por

lo que si se produce un error habrá una copia de seguridad o en pocas palabras

puede ser una salvaguardia. Los volúmenes de datos a menudo contienen

bloques de almacenamiento redundantes. Un proceso de duplicación podrá

eliminar estos bloques redundantes para reducir el consumo de almacenamiento

dentro del volumen o para minimizar el volumen de datos que deben ser

respaldados.

28

Muchas organizaciones pueden crear intencionalmente copias redundantes de

datos para minimizar el riesgo de pérdida de datos. Esta redundancia puede existir

como Máquinas Virtuales (VM) o volúmenes de almacenamiento, o como fuera del

sitio.

PROCEDIMIENTOS A SEGUIR PARA LA APLICACIÓN DE UNA


Al momento de implementar una arquitectura de seguridad en una red de datos

de una organización, podemos definir los siguientes pasos a seguir:

Inicialmente se debe definir el alcance que va a tener la arquitectura

analizando los requisitos u objetivos de seguridad que necesita la organización

en su red de datos en base a sus vulnerabilidades y amenazas de seguridad,

es decir, se definirá una política de seguridad.

Ya con la información levantada de los requisitos de seguridad se deben definir

los mecanismos de seguridad a utilizar para garantizar estos requisitos. La

puesta en marcha de estos mecanismos puede que se dificulte según la

tecnología de la red de datos, es decir, se debe tener en cuenta los tiempos

de retardo que le toma a uno de estos mecanismos, retransmisiones etc. Que

son costes que a la final garantizan el funcionamiento óptimo de una

arquitectura de seguridad.

Con los mecanismos de seguridad definidos para su posterior implementación

se debería definir la ubicación. Este punto es muy importante ya que por una

parte se debe analizar en qué lugar físico de la red de datos se van a situar y

por otro lado en qué lugar de la estructura de una arquitectura de

comunicaciones se situarían estos mecanismos.

29

CLASIFICACIÓN EN NIVELES DE SEGURIDAD

A continuación se especificarán las características de cuatro niveles de seguridad

con las siguientes denominaciones: Nivel A, Nivel B, Nivel C y Nivel D:

Nivel D es el sistema que tiene la más mínima protección o nula por lo que

no pasan los requerimientos mínimos de seguridad. Windows 3.1 y MS-

DOS se enlistan en este nivel puesto que fueron diseñados bajo un sistema

mono proceso y mono usuario y no proveen ningún tipo de control de

acceso ni de gestión de recursos.

Nivel C depende del acceso concedido que se le otorga a un usuario para

la gestión de recursos, estos mecanismos en otras palabras depende de

los privilegios que posea cada usuario en particular. Esto quiere decir que

un objeto o recurso puede estar disponible para lectura, escritura y/o

ejecución.

Nivel B representa el control de acceso estrictamente obligatorio, quiere

decir que los controles de acceso no se dejan a libertad de los usuarios o

dueños de los recursos tecnológicos, que obligatoriamente deben de

existir.

Nivel A es el Sistema de seguridad que garantiza el acceso a este nivel,

las políticas como los mecanismos de seguridad deben ser analizados,

verificados y certificados por un ente autorizado.

MÉTODOS DE ATAQUES MÁS COMUNES

Métodos de los ataques de internet comunes están divididos en categorías.

Algunos ataques se dedican al conocimiento o descubrimiento, información

personal, como espionaje y el phishing. Los ataques también pueden interferir con

la función prevista del sistema, tales como virus, gusanos y troyanos. La otra forma

30

de ataque es cuando los recursos del sistema son utilizados inútilmente, estos

pueden ser causados por la negación de servicio (DoS).

También existen intrusiones, tales como ataques smurf y ataques de lágrima.

Estos ataques son no tan conocidos como ataques de denegación de servicio,

pero son utilizados en una forma u otra.

Espionaje

La interceptación de comunicaciones de un ente no autorizado se llama

espionaje. El espionaje pasivo es cuando la persona única en secreto escucha los

mensajes en red. Por otro lado, la escucha activa es cuando el intruso escucha e

inserta algo en el flujo de comunicación. Esto puede conducir a los mensajes

distorsionados.

Malware

Los malware son programas de auto-replicación que utilizan archivos para infectar

y propagarse. Una vez que se abre un archivo, el virus se activará dentro del

sistema.

Worms

Un gusano es similar a un virus, ya que ambos son auto-replicante, pero el gusano

no requiere presentarse o ser descubierto para permitir su propagación. Hay dos

principales tipos de gusanos, gusanos de correo masivo y gusanos de red.

Gusanos de correo masivo utilizan el correo electrónico como medio para infectar

otros ordenadores. Los gusanos de red son un problema importante para la

Internet. Los gusanos de red seleccionan un objetivo y una vez que el gusano

accede al host de destino, puede infectar por medio de un troyano o de otro tipo.

31

Phishing

El phishing es un intento de obtener información confidencial de un individuo,

grupo u organización. Los usuarios de phishing denominados “phishers” revelan

datos personales, como números de tarjetas de crédito, en línea banca

credenciales, y otra sensible información

Ataques IP Spoofing

Spoofing significa tener la dirección del equipo que refleja la dirección de un equipo

de confianza con el fin de obtener acceso a otros ordenadores. La identidad del

intruso está oculta esto significa que es resulta difícil la detección y prevención.

Con la tecnología actual protocolo IP, los paquetes IP falsificados no pueden ser

eliminados.

Denegación de Servicio

Denegación de servicio es un ataque cuando el sistema que reciben demasiadas

peticiones no puede regresar la comunicación con los solicitantes. El sistema,

entonces consume recursos en espera del apretón de manos para completar.

Finalmente, el sistema no puede responder a más peticiones de representación

es decir se queda sin servicio.

32

MECANISMOS DE CONTROL Y SEGURIDAD DE LA INFORMACIÓN

Gráfico N° 7

Mecanismos de defensa de un sistema de información.

Fuente: International Journal of Network Security & Its Applications (IJNSA), IJNSA), Vol.5, No.5, September 2013


M1: DEFENSA TÉCNICA

La defensa técnica implica defensas que se utilizan en los ordenadores y redes

técnicamente, puede ser cifrado, cortafuegos, antimalware, y detección de

intrusiones.

33

Encriptación

La encriptación ofrece confidencialidad para el intercambio de información. La idea

básica de cifrado está transfiriendo el texto sin formato en texto cifrado para ocultar

la información de una persona no autorizada.

Por lo tanto, cifrado se considera como defensas técnicas que hacen que el

intercambio de información invisible para un atacante. Si la organización cuenta

con cortafuegos, anti virus, anti spyware y políticas de seguridad fuertes

intercambio de información no se asegura simplemente la información se

intercambia en texto. Por lo tanto, el cifrado ofrece confidencialidad.

Hay dos tipos de cifrado:

El primer tipo es el cifrado simétrico, conocido como cifrado convencional, o de

una sola clave de cifrado implica el uso de una llave entre las partes que se

comunican. Cuando dos entidades o partidos quieren comunicar que primero

deben ponerse de acuerdo sobre el uso de una clave a continuación, utilizando

esta clave para el cifrado y descifrado.

El segundo tipo de cifrado es el cifrado asimétrico, implica el uso de dos llaves

diferentes uno es una clave pública y el otro es una clave privada. Cuando dos

entidades o partidos quieren comunicar que primero deben cambiar su clave

pública y mantener sus claves privadas seguras. Por ejemplo, cuando una entidad

A quiere comunicarse de forma segura con otra entidad B, que cifrar un mensaje

con la clave pública de B luego enviarlo B, B descifra el mensaje con su clave

privada.

Hay muchos software y hardware en el mercado que admite ambos cifrados

simétricos y cifrados simétricos. Las organizaciones deben utilizar el cifrado para

garantizar la confidencialidad de los datos.

34

Firewall

Los firewalls son necesarios para asegurar el sistema de información de la

computadora. Hoy en día el servicio de Internet es necesario para las

organizaciones; que permite a los empleados contactar a personas de otras

organizaciones, búsqueda de información y gestionar sus labores.

Los Firewalls se consideran como primera línea de defensa para los sistemas de

información. La idea básica del firewall es proteger el sistema de información

contra el exterior y el interior de los ataques, por lo que trabaja mediante el filtrado

de paquetes de entrada y salida. En general, la mayoría de los servidores de

seguridad tienen dos políticas predeterminadas.

El primero es de descarte; significa que si un conjunto de paquetes que llega no

coincide con ninguna regla en iptables, se deberán descartar dichos paquetes.

El segundo es permitir; significa que si un paquete que llega coincide con alguna

regla en iptables va permitir que pase a la red interna. Por otra parte, hay dos tipos

de cortafuegos, firewall basada en paquetes y firewall basados en paquetes

statefull. - firewall basado también llamados filtrado de paquetes, funciona

mediante la inspección o control del IP presentada de cada paquete, entonces va

tomar una decisión sobre si se permite que el paquete a pasar o bien lo niegan

basándose en la dirección IP de la fuente, la dirección IP de la destino, el número

de puerto de origen ya sea TCP o UDP y el puerto de destino.

El iptables es un conjunto de reglas que han sido establecidas por el administrador

de red. Por ejemplo, el administrador de la red puede establecer una regla de

negar cualquier paquete viene formulario 192.168.1.10 con número de puerto 80.

Cuando este paquete llega al firewall, comprobará en las iptables para tomar la

decisión. El Firewall de paquetes es fácil de instalar, y complejo a la vez, porque

es necesario establecer reglas. El Statefull firewall proporciona futuro más relajado

por hacer el seguimiento de una conexión determinada; funciona en la capa de

transporte y las capas de aplicación.

35

El Statefull firewall inspecciona un paquete como el firewall de paquetes, pero

hace un seguimiento de la conexión TCP. Cuando un paquete llega comprueba el

paquete presentado, si el paquete coincide con la política que pasa, lo va a

agregar como una entidad a la iptables y realizara un seguimiento de la secuencia

TCP para proteger la sesión de los ataques.

Hay muchos de software y hardware de cortafuegos en el mercado hoy en día, y

como las golosinas, las empresas de seguridad que nunca dejarán de desarrollar

herramientas de seguridad. Los firewalls son uno de los instrumentos más

impotentes. Vale la pena mencionar que el firewall puede ser una característica

que se agrega al sistema de la operación, los routers y los puntos de acceso. Por

ejemplo, la mayoría de los sistemas operativos han integrado su propio firewall,

pero los usuarios pueden activarlo como desactivarlo.

Anti-malware

Proporcionan protección para los sistemas operativos contra el software malicioso.

Lucha contra el malware puede ser anti-virus o anti-spyware. El malware puede

ser encontrado en los archivos, programas ejecutables, y el sistema de operación.

Por lo tanto, los sistemas de información de computadoras deben tener efectos

anti malware.

Tipos de Malware

Existen varios tipos de malware que amenazan la estabilidad de nuestro sistema

operativo y a su vez ponen en riesgo a la información que contengan nuestros

sistemas informáticos, a continuación se enlistan los más relevantes:

Virus clásicos. Son programas que infectan a otros programas y muchas veces

documentos que por añadir su código para tomar el control sobre los mismos

después de su ejecución tienen como resultado a archivos infectados. El objetivo

de un virus es infectar y por consecuente causar daño al propietario del

computador o sistema informático.

36

Gusanos de red. Este tipo de malware utiliza los recursos de red para distribuirse

en ella. Su nombre se debe a que pueden penetrar de un equipo a otro como un

simple gusano. Se puede propagar por medio de correo electrónico, sistemas de

mensajes instantáneos, red de archivos compartidos (P2P), canales IRC, redes

locales, redes globales, etc. Su velocidad de propagación es demasiado alta.

Al violar la seguridad de un equipo, el gusano obtiene las direcciones de otros

equipos en la red para empezar a replicarse. También suelen usar los datos del

libro de contactos del cliente de correo electrónico para propagarse por este

medio. La mayoría de los gusanos se propagan en forma de archivos pero existe

una pequeña cantidad de gusanos que se propagan en forma de paquetes de red

y penetran directamente la memoria RAM del equipo víctima, donde a

continuación ejecutan su código restándole rendimiento al mismo.

Caballos de Troya, troyanos. Este tipo de programas maliciosos incluyen una

variedad de programas que realizan acciones sin que el usuario se dé cuenta y

sin su consentimiento: recolectan datos y los envían a los criminales; destruyen o

alteran datos con intenciones netamente delictivas, causando desperfectos en el

funcionamiento del computador o usan los recursos del mismo para fines

criminales, como hacer envíos masivos de correo no solicitado entre otros.

Cabe mencionar que no son virus clásicos porque no infectan otros programas o

datos. Los troyanos no pueden penetrar a los equipos por sí mismo, sino se

propagan por los criminales enmascarados como programas fiables. Son capaz

de causar mucho más daño que los virus clásicos.

Spyware. Este tipo de software que permite colectar la información sobre un

usuario u organización de forma no autorizada. Su presencia puede ser

completamente invisible para el usuario e casi indetectable para el administrador

de red. Pueden recolectar los datos sobre las acciones del usuario, el contenido

del disco duro, software instalado, calidad y velocidad de la conexión, etc.

Pero esta no es su única función. Son también conocidos por lo menos dos

programas (Gator y eZula) los mismos que permiten también controlar el equipo.

Otro ejemplo de programas espías son los programas que instalan su código el

37

navegador de Internet para re direccionar el tráfico. Posiblemente haya visto cómo

funcionan, cuando en cambio de la página web solicitada se abre una otra.

Adware. Son aquellos que muestran publicidad al usuario. La mayoría de

programas Adware son instalados a software distribuido gratis sin que el usuario

se dé cuenta. La publicidad aparece en la interfaz. A veces pueden recolectar y

enviar los datos personales del usuario.

Riskware. No son considerados programas maliciosos pero contienen una

amenaza potencial. En muchas ocasiones ponen sus datos a peligro. Incluyen

programas de administración remota, marcadores, etc.

Rootkits. Es una colección de programas usados por un hacker para evitar ser

detectado mientras busca obtener acceso no autorizado a un computador. Esto

se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o

instalando un módulo de kernel. Luego instala el rootkit después, obteniendo un

acceso similar al del usuario local: por lo general, alterando una contraseña o

explotando una vulnerabilidad, lo que permite usar otras credenciales hasta

conseguir el acceso de raíz o administrador.

Sistemas Detectores de Intrusos (IDS)

Detección de intrusiones proporciona advertencias en tiempo real para el sistema

de información de la computadora mediante el monitoreo y análisis de los intentos

de acceso a cualquier sistema. Detección de intrusiones se disparará una alarma

cuando los atacantes tratan de explotar las vulnerabilidades de software para la

apertura de una puerta trasera en el mismo.

En general, detección de intrusiones se puede clasificar en la detección de

intrusiones basado en host y detección de intrusiones basado en red. Detección

de intrusiones basado en host agrega una capa adicional de seguridad para un

host. Se utiliza la información del sistema operativo para determinar ataques como

usuario inicia sesión y la actividad de software.

38

Detección de intrusiones basado en red (NID) está monitoreando el tráfico de red

en algún lugar en una red. Se comprueba cada paquete para detectar el tráfico

ilegítimo. El NID puede monitorear la actividad de la red en su capa de transporte.

Por lo general, el NID tiene sensores y uno o más servidores para en una red, los

sensores se utilizan para controlar el tráfico en una ubicación diferente en la red y

los servidores se utiliza para gestionar los sensores.

En general, hay dos técnicas para la detección de intrusiones, detección de

anomalías y la detección de la firma. La detección de anomalías está reuniendo

información relacionada con el comportamiento de los usuarios a continuación, el

análisis que determine si el comportamiento es legítimo o no. El segundo enfoque

es la detección de la firma, que intenta establecer normas o patrones de ataque

para determinar si es legítimo o no. Por lo tanto, los sistemas de información de

computadoras deben tener uno o más de detección de intrusiones.

M2: DEFENSA DE FUNCIONAMIENTO

La defensa operacional tiene un papel importante en la gestión de la seguridad de

los sistemas informáticos de información. Por lo tanto, incluso si las

organizaciones han aplicado técnicas de seguridad a su sistema de información

de la computadora como el cifrado, firewalls y detección de intrusos, que necesitan

para establecer políticas de seguridad para el sistema. Por lo general, las

defensas de operación incluyen dos enfoques. El primer enfoque es la creación

de políticas de seguridad para el sistema de información de la computadora.

La política de seguridad tiene un papel importante en términos de gestión de

seguridad de la información para la implementación del sistema de información de

la computadora.

La política de seguridad se compone de documentos que no proporcionan detalles

técnicos y de ejecución. Sólo proporciona normas de gestión para el sistema de

información de la computadora. El segundo enfoque es la capacitación del

personal interno.

39

M3: DEFENSA DE GESTIÓN

Implica poner normas para la contratación de personas. Por ejemplo, una amplia

verificación de antecedentes y una extensa revisión de antecedentes de

seguridad. La importancia de la verificación de antecedentes vienen desde el

siguiente ejemplo, si una organización contrata a una persona inadecuada a la

sarna del sistema de información de la computadora, él o ella puede hacer mal

uso de la configuración y la puesta en práctica que conlleve a abrir agujeros o

puertas traseras en CBIS como resultado esta persona se convierten en una

amenaza para el sistema. (Balaguer, 2012)

También, la verificación de antecedentes de seguridad es muy impotente porque

si una organización contrata a una persona no ética, él o ella pueden vender la

información de la organización a otra organización.

M4: LA DEFENSA FÍSICA

Involucra a las defensas de los activos físicos. La defensa física es importante por

dos razones. Primera razón, el equipo físico es muy expansivo. La segunda razón,

cualquier daño para el equipo puede causar la pérdida de datos. Además, la

defensa física proporciona protección a los sistemas informáticos de información

contra los desastres naturales, fallas técnicas, y humanas. Los desastres

naturales son una de las amenazas más peligrosas para el sistema de información

del ordenador, por ejemplo, el huracán puede causar daños físicos a los equipos

por el viento fuerte y objetos voladores. Otro ejemplo, el terremoto también causa

daños a los equipos físicos.

Por lo tanto, una organización puede utilizar fuera de material de obra. Fallas

técnicas tales como sobretensión eléctrica, baja tensión eléctrica, y la interrupción

eléctrica se consideran como amenazas para el sistema de información del

ordenador. Cuando el ordenador y los sistemas de información reciben menos

tensión de lo que necesitan para trabajar normalmente. Sobretensión eléctrica

40

ocurre cuando los sistemas de información informáticos reciben alta tensión de lo

que necesitan para trabajar.

Para ello una organización puede utilizar soporte por los generadores. Un humano

puede causar amenazas inusuales e impredecibles en los sistemas de información

de la computadora.

La amenaza humana se puede clasificar en tres categorías; acceso físico no

autorizado, robo y mal uso. La primera categoría es el acceso físico no autorizado,

se produce cuando una persona no autorizada tiene acceso a las áreas

restringidas para la copia de los datos o uso indebido. La segunda categoría es el

robo, lo que significa el robo de equipos y documentos oficiales. Por lo tanto, la

organización debería haber restringido reglas para acceder a los lugares

deseados. Y como tercera categoría tenemos el mal uso de la información de

personas u organizaciones.

PROCESO DE EVALUACIÓN DE RIESGOS

Gráfico N° 8

Proceso de evaluación de riesgos de seguridad de la información

Fuente: www.sigea.es


41

Durante una evaluación del riesgo es esencial establecer el negocio y el contexto

técnico del sistema de información que se está revisando. Establecer el contexto

asegura que los objetivos de las empresas son capturados y que se consideran

los factores internos y externos que influyen en los riesgos. También establece el

ámbito de aplicación para el resto del proceso.

Contexto de negocios

Reunirse con el propietario de la empresa del sistema de información para

establecer el contexto empresarial.

Durante la reunión, el propietario de la empresa es responsable de identificar y

definir los siguientes aspectos:

• Información Clasificación - La información oficial almacenada, procesada y / o

transmitida por el sistema de información debe asignar una clasificación oficial.

• Procesos de negocio soportados – Son los procesos y objetivos de negocio

con el apoyo del sistema de información. Esto debe incluir cualquier secundaria,

dependientes o el apoyo a los procesos.

• Los usuarios del sistema - Los diferentes tipos de usuarios del sistema de

información. Esta debe incluir el nivel de privilegios que necesitan para realizar

sus funciones o utilizar el sistema. Los usuarios pueden incluir los usuarios de

negocio, personal de operaciones y externa usuarios de los servicios, tales como

los miembros del público o el personal de otra agencia.

• Seguridad y Cumplimiento de Requisitos - La confidencialidad, integridad,

disponibilidad y de privacidad requisitos del sistema, junto con todas las leyes

pertinentes y / o regulaciones que deben ser satisfechas por ella.

• Prioridades de protección de la información - La priorización del dueño del

negocio de la confidencialidad, integridad y disponibilidad de la información

almacenada, procesada o transmitida por el sistema de información.

42

Contexto técnico

Establecer el contexto técnico de proporcionar un conocimiento básico de la

postura de seguridad del sistema de información. Una evaluación de riesgos se

puede realizar para un sistema de información que ya está en producción o como

parte del ciclo de vida de desarrollo de un nuevo sistema de información.

A continuación se proporciona orientación sobre quién debe participar en el

establecimiento del contexto técnico:

• Propietario uso - dueño del servicio (o su delegado designado) es responsable

de la identificación de los componentes y la definición de los límites de un sistema

de información que es el alcance de la evaluación de riesgos.

• Arquitecto de soluciones tecnológicas - El arquitecto es responsable de la

identificación de los componentes y que definen los límites de un sistema de

información que está dentro del alcance de la evaluación de riesgos.

• Expertos en la materia – Las operaciones de TIC del personal responsable del

apoyo continuo y el mantenimiento del sistema de información que está dentro del

alcance del riesgo evaluación.

Las discusiones de contexto técnicos deben centrarse en la identificación de los

siguientes atributos del sistema de información para proporcionar una

comprensión del perfil de seguridad global del sistema:

• Arquitectura lógica - Una vista a nivel de sistema y de los componentes de la

lógica arquitectónica del sistema de información. Esto debe incluir los dominios de

seguridad donde se encuentran los componentes del sistema, las interfaces de

sistemas y flujos de información (es decir, dónde y cómo se almacenan los datos,

transmitida y procesada).

• Componentes del sistema - Se deben incluir todos los componentes directos e

43

indirectos incluyendo servidores, switches, firewalls, sistemas operativos,

aplicaciones y bases de datos.

Identificación de riesgos

La fase de identificación de riesgos busca crear una lista completa de eventos que

pueden impedir, degradar o retrasar la consecución de los objetivos de una

organización. La identificación completa de riesgos es fundamental porque el

riesgo que no se identifica en esta etapa no se incluirá en la fase de análisis de

riesgos.

Aunque hay numerosas herramientas y técnicas que se pueden utilizar para

facilitar la identificación y el análisis de riesgos.

Con el fin de gestionar el riesgo, las posibles amenazas a los sistemas de

información deben ser identificadas. Esto se consigue mediante la definición de

escenarios de riesgo. Los escenarios de riesgo son métodos para determinar si

existen riesgos que podrían adversamente afectar la confidencialidad, integridad

o disponibilidad del sistema de información y por lo tanto afectar a los objetivos de

negocio. Generalmente se trata de una amenaza a explotar una vulnerabilidad que

resulta en un resultado no deseado.

A continuación se ofrece una visión general de las técnicas que se deben utilizar

para garantizar que las listas completas de los riesgos relevantes se identifican:

Las personas con los conocimientos adecuados deben participar en la

identificación de riesgos. Las discusiones deben incluir el dueño del

negocio y sub-expertos en la materia, que pueden proporcionar

información pertinente y actualizada información durante el proceso; y

Debates y talleres en grupo para facilitar la identificación y análisis de los

riesgos que puedan afectar a los objetivos de las empresas.

Cuando la identificación de riesgos, es importante describir claramente

para que pueda ser evaluado.

44

Por ejemplo:

Un pirata informático obtiene acceso no autorizado a la información

almacenada en el sistema mediante la realización de un ataque de fuerza

bruta adivinar la contraseña. Ellos usan la información para cometer fraude

de identidad que lleva a una investigación por el Administrador se

Seguridades, y daños a la reputación de la organización. El ataque tiene

éxito porque el sistema no hace cumplir las contraseñas fuertes o cuenta

las políticas de bloqueo y no registra los intentos fallidos de inicio de

sesión.

La pérdida de un ordenador portátil lleva a que se revele la información

oficial a un tercero no autorizado, y daño a la reputación de personas

internas ya la organización.

Una vez que la descripción del riesgo se ha definido y documentado consideración

se debe dar a los conductores de riesgo. La captura de los conductores de riesgo

es útil en la identificación y selección de controles para manejar el riesgo.

El negocio y el contexto técnico normalmente informan a los conductores de

riesgo, por ejemplo, un riesgo solamente puede existir debido a que el sistema de

información está orientada a Internet. Es importante tener en cuenta también que

puede haber varios controladores de riesgo relacionados con un riesgo.

A continuación se enlistan los principales factores de riesgo:

Ambientales: son todos los desastres naturales o fenómenos externos tales como

lluvias, terremotos, rayos, tormentas, suciedad, la humedad, el calor entre otros.

Tecnológicos: son las fallas de software y/o harware, fallas en el sistema de

climatización, falla en el servicio eléctrico, infección de sistemas y servicios

tecnológicos por virus informáticos, etc.

45

Humanos: sabotaje, robo, fraude, adulteración. Modificación. Revelación, pérdida

y alteración de la información y divulgación de contraseñas,

Análisis de riesgos

Una vez que los riesgos relevantes se han identificado la probabilidad y el impacto

de ellos eventualmente deben ser evaluados y valorados. Normalmente, la

probabilidad y el impacto de un riesgo eventual son calificados en una escala

cualitativa

Evaluación de impacto

Evaluar el impacto del riesgo ocasional sin controles establecidos. Esto informará

la calificación bruta de riesgos y permite que la eficacia de los controles actuales

reduzca el impacto de un evento de riesgo que se produce a evaluar.

Aunque puede haber múltiples declaraciones de impacto documentados para un

riesgo, solo un impacto puede ser asignado al riesgo. Como resultado, la

declaración de impacto más alta puntuación se debe utilizar para determinar la

calificación de impacto de un riesgo.

Posibilidad de riesgo

Evaluar la posibilidad de que el riesgo este en ocasiones sin controles en el lugar,

esto informará la calificación bruta de riesgos y permitirá que la eficacia de los

controles actuales que reducen la probabilidad de un evento de riesgo ocurra y

debe ser evaluada la frecuencia de ocurrencia de un incidente información que

debe ser usado para ayudar a determinar la probabilidad del riesgo ocasional. Sin

embargo, hay que señalar que la ausencia de tal información no significa

necesariamente que la probabilidad de que el riesgo ocurra, es bajo. Puede que

simplemente indican que no hay controles para detectar que se ha producido.

46

Calificación de riesgo

La calificación de riesgo se evalúa utilizando una matriz de riesgos que se puede

utilizar para asignar la probabilidad con la calificación del impacto, la valoración

global del riesgo de ser el punto donde se cruzan las dos clasificaciones.

Por ejemplo:

• Un riesgo con probabilidad de casi nunca, y la calificación de impacto moderado

daría lugar a una calificación de riesgo global de 6.

•Un riesgo con una calificación de riesgo de posibles, y una calificación de impacto

severo daría lugar a una calificación de riesgo global de 22.

• Un riesgo con una calificación de riesgo de casi seguro y una calificación de

impacto de menor, daría lugar a una calificación de riesgo global de 16.

La calificación de riesgo y sin ningún tipo de control en el lugar se llama el riesgo

grave. Normalmente los riesgos que se evalúan como 1 a 3 en la escala de

calificación y sin ningún tipo de control en el lugar, se consideran aceptables para

el negocio y pueden no requerir la implementación de controles para su gestión.

Sin embargo, debido a los riesgos rara vez es estática que deben añadirse a

registro de riesgos de la agencia para que puedan ser monitoreados y re-

evaluados con regularidad para asegurarse de que la probabilidad y / o el impacto

no cambian.

Controles de Identificación y Evaluación

Independientemente de si se está realizando la evaluación del riesgo de un

sistema de información que hay en la producción o como parte del proceso de

ciclo de vida desarrolle un nuevo sistema de información que servirá de control

para reducir la probabilidad y / o el impacto de algunos de los riesgos que han sido

identificados.

47

Un control puede reducir el riesgo mediante la reducción de la probabilidad de un

evento, el impacto o ambos. Evaluar el efecto de que el control tiene sobre el

riesgo global lleva a la determinación de la calificación de riesgo residual.

Normalmente los controles preventivos reducen la probabilidad de un riesgo

ocasional mientras que los controles correctivos reducen el impacto en caso de

que se ocasione.

A continuación se ofrece una breve descripción y algunos ejemplos para cada tipo

de control se destacan en el Grafico No 9:

Gráfico No. 9

Tipos de control de riesgo.



• Controles disuasorios - están destinados a desalentar a un potencial atacante.

Por ejemplo, el establecimiento de una política de seguridad de la información, un

mensaje de advertencia en la pantalla de inicio de sesión o cámaras de seguridad.

• Controles preventivos - están destinados a minimizar la probabilidad de que se

48

produzca un incidente. Por ejemplo, un proceso de gestión de cuentas de usuario,

servidor de restricción de acceso a la sitios no autorizado, la configuración de

reglas adecuadas en un servidor de seguridad o la implementación de una lista de

control de acceso en un recurso compartido de archivos.

• Controles de detectives - pretenden identificar cuando se ha producido un

incidente. Por ejemplo, la revisión de servidor de seguridad o firewall troncos o

Intrusion Detection System (IDS) de alertas.

• Controles correctivos - están destinados a fijar los componentes del sistema de

información después de que se ha producido un incidente. Por ejemplo, las copias

de seguridad de datos, envío de registro de transacciones de SQL o continuidad

del negocio y los planes de recuperación de desastres.

Evaluación de riesgos

Una vez que el análisis de riesgos se ha completado los riesgos residuales pueden

ser evaluados contra los niveles de tolerancia al riesgo de la agencia. Evaluación

de riesgos busca ayudar al propietario de la empresa en la toma de decisiones

sobre el tratamiento de riesgos y la prioridad para la implementación de una

respuesta a los riesgos.

Los riesgos residuales en una escala de calificaciones se consideran en general

que presente un nivel aceptable de riesgo para el negocio y no requieren ninguna

evaluación adicional. Sin embargo, porque el riesgo es raramente estática que

deben añadirse a registro de riesgos de la agencia para que puedan ser

supervisados y evaluados con regularidad para asegurarse de que la probabilidad

y el impacto no cambian.

Todos los riesgos residuales que se evalúan en la escala de calificación deben ser

evaluados y priorizados. Normalmente cuanto mayor sea la calificación de riesgo,

mayor es su criticidad.

49

Sin embargo, puede haber dos o más riesgos con la misma calificación de riesgo.

Si no está claro qué riesgos tiene una mayor prioridad de las prioridades de

protección de información definidos por el propietario de la empresa al establecer

el contexto de negocios para el sistema debe ser utilizado para determinar la

prioridad para la implementación de controles adicionales.

Matriz de riesgo

La Matriz de Riesgo es también popularmente conocida como la Matriz de

Probabilidad e Impacto. Se utiliza durante la evaluación de riesgos y nace durante

el Análisis Cualitativo de Riesgos en el proceso de Gestión de Riesgos. Es una

herramienta muy eficaz que se podría utilizar con éxito con la Alta Dirección para

crear conciencia y aumentar la visibilidad de los riesgos para que las decisiones

de sonido en ciertos riesgos se pueden hacer en su contexto.

FUNDAMENTACIÓN LEGAL

INFORMACIÓN Y DATOS.

Ley de protección de datos personales

En cuanto a lo establecido en la Base Constitucional en el Art. 66 de la

Constitución de la República del Ecuador, en su parte pertinente dispone lo

siguiente:

“….Se reconoce y garantizará a las personas: El derecho a la protección de datos

de índole personal, que incluye la concesión del acceso y la decisión sobre

información y datos de este carácter, así como su resguardo.

La recolección, de archivo, de procesamiento, de distribución o de difusión de

estos datos de información necesitan de la autorización del titular y también del

mandato de la ley”,

50

Ley de comercio electrónico, firmas electrónicas y

mensajes de datos.

Establece la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de

Datos, en el Capítulo I DE LOS MENSAJES DE DATOS.

En su Art. 5 en su parte pertinente dispone:

“Confidencialidad y reserva.- Se denota el principio de confidencialidad y reserva

para los mensajes de datos, cualquiera sea su medio, forma o intención. Todo

sabotaje a estos principios, en especial aquellos referidos a la intrusión

electrónica, transferencia ilegal de mensajes de datos o violación del secreto

profesional, será severamente sancionada conforme a lo dispuesto en esta Ley y

demás normas vigentes”.

El Art. 9 en la parte pertinente indica:

“Protección de datos.- Para la utilización, modificación y transferencia de una base

de datos obtenida ya sea directa o indirectamente necesita la debida autorización

del titular del mismo quien decidirá qué información comparte con terceros;

información que puede ser total o parcial

El uso y recopilación de los datos personales responde a los derechos de

privacidad, confidencialidad e intimidad que son garantizados por la Constitución

Política de la República del Ecuador y esta ley, denota que información podrá ser

utilizada o transferida solo con la autorización del titular o autoridad competente”

Lo establecido en el Reglamento a la Ley de Comercio Electrónico, Firmas

Electrónicas y Mensajes de Datos.

En el Art. 20 en su parte pertinente indica:

“Información al usuario.- La información de accesos o uso de los programas o

equipos que se requieren para acceder a los servicios o aplicaciones deberá ser

51

previamente proporcionados mediante medios de comunicación electrónica o

algún material físico, en el caso de que sea material físico deberá ser confirmada

la recepción de dicha información por el usuario”

En el Art. 21 en su parte pertinente dispone:

“De la seguridad de la información en la prestación de servicios electrónicos.- La

prestación y/o alquiler de servicios electrónicos que se inmiscuya el envío por

parte del usuario de información confidencial, necesita la aplicación de sistemas

de seguridad de la información durante la prestación del servicio. Es obligación

del responsable de la prestación de servicios, el informar en detalle a los usuarios

sobre el tipo de seguridad de la información que utiliza, sus alcances y las

limitaciones, así como sobre los requisitos de seguridad exigidos legalmente y si

el sistema puesto a disposición del usuario cumple con los mismos. En el caso de

no contar con mecanismos de seguridades o aplicación de criterios de los mismos

se deberá de informar a los usuarios de la institución de este hecho de forma clara

y anticipada de los posibles riesgos los cuales puede incurrir por falta de

seguridades”.

Ley de propiedad intelectual

En base a la Ley de Propiedad Intelectual, En el Art. 183 en su parte pertinente

indica:

“…Se asegura la información que no está divulgada pero si relacionada a) La

información será confidencial entendiendo que como conjunto o en la composición

precisa de sus elementos y en configuración no sea conocida en general ni

accesible a las personas integrantes del circulo que normalmente gestionan el tipo

de información que se trate ;”

Está planteado como protección de información el conocimiento tecnológico

conformado por los procedimientos de fabricación y producción general.

52

En su Art. 190 en su parte pertinente dispone:

“Todas las personas que con el motivo de su trabajo, empleo, puesto y

rendimiento, tenga acceso a una información no divulgada, deberá de abstenerse

de utilizarla a su conveniencia aun cuando sus funciones hayan cesado”.

NTE INEN - ISO/IEC 27000: 2013.

Basándonos según la Norma Técnica Ecuatoriana NTE INEN - ISO/IEC

27000:2013.

“La información digital es considerado un activo, al igual que los activos

importantes del negocio como lo es la infraestructura tecnológica, es esencial para

el negocio que la misma este protegida apropiadamente. La información puede

ser almacenada de muchas maneras incluyendo: en forma digital (por ejemplo,

archivos de datos almacenados en medios electrónicos u ópticos), en forma

material (por ejemplo, sobre papel), al igual que información sin representación

como el conocimiento de los empleados. La información puede ser transmitida por

diversos medios como correo electrónico o gestores de archivos. Sea cual sea el

tipo de información que contenga una organización debe de estar protegida.

Estas tecnologías son esenciales en toda organización y ayudan a facilitar la

creación, el procesamiento, el almacenamiento, la transmisión, la protección y la

destrucción de la información. Cuando una empresa u organización crece en

cuanto a clientes y el negocio se amplía, de igual manera es la necesidad de

proteger la información, por ende está ahora desprotegida a una variedad más

amplia de amenazas y vulnerabilidades”.

Seguridad de la información

Según la Norma Técnica Ecuatoriana NTE INEN - ISO/IEC 27000:2013, mayor

información se encontrará en:

53

“La seguridad de la información está conformada por tres pilares fundamentales:

confidencialidad, disponibilidad e integridad. Con el propósito de asegurar la

operación y su continuidad del negocio, y para minimizar los impactos y

catástrofes, la seguridad de la información implica la aplicación y gestión de

medidas de seguridad y administración apropiadas para una red de computadores

que involucran la consideración de una gama de amenazas.

La seguridad de la información se cumple mediante la aplicación de contarles,

seleccionados a través de una matriz de riesgo previamente analizada y gestando

un SGSI basado en políticas, lineamiento, procedimientos y hardware y software

para así proteger los activos identificados. Estos controles deben ser identificados,

implementados, monitoreados frecuentemente, revisados y mejorados donde y

cuando sea necesario, para así asegurar que los objetivos de la seguridad de

cumplan a cabalidad.

PREGUNTAS CIENTÍFICAS A CONTESTARSE

¿Constituye la propuesta de un modelo de arquitectura de seguridad la solución a

las falencias de seguridad de la Universidad de Guayaquil en su Ciudadela

Universitaria Salvador Allende?

¿Cómo incide la aplicación de un modelo de arquitectura de seguridad integrada

en la red de datos de la Universidad de Guayaquil?

¿El modelo de arquitectura de seguridad propuesto, facilitará la gestión

administrativa a los encargados de las redes de datos?

54

VARIABLES DE LA INVESTIGACIÓN

Las variables a utilizar en este proyecto son las siguientes:

Variable Independiente: Mecanismos de seguridad de la información.

Se seleccionará los mecanismos de seguridad en base a casos de estudios

similares, normas internacionales que sustenten la investigación, políticas de

seguridad y criterios de seguridad de la información.

Variable Dependiente: Diseño de la arquitectura de seguridad para la red de

datos de la Universidad de Guayaquil en la Ciudadela Universitaria Salvador

Allende.

Se modelará el diseño propuesto de arquitectura de seguridad con el fin de

proteger los activos tecnológicos, asegurando la información y garantizando la

disponibilidad de los mismos.

DEFINICIONES CONCEPTUALES

Control: Un tratamiento de riesgos implementado para reducir la probabilidad y /

o impacto de un riesgo.

Impacto: Consecuencia de una causa previa.

Probabilidad: La posibilidad de que ocurra un evento.

Riesgo: El efecto de la incertidumbre en los objetivos de negocio. El efecto

puede ser positivo o negativo. Sin embargo, en el contexto de

seguridad de la información por lo general es negativa.

Amenaza: La posible causa de un riesgo.

55

Vulnerabilidad: Una debilidad en un sistema de información o servicio que puede

ser explotado por una amenaza.

Ataque informático: Es el método por el cual un individuo estabiliza, toma el

control, hurta o daña un recurso o sistema informático.

Autorización: Es una parte del sistema operativo que asegura los recursos del

sistema permitiendo que solo lo usen las personas que se les ha otorgado el

privilegio de acceder al mismo.

Control de acceso: Consiste en la verificación de identidad de una entidad

autorizada como por ejemplo un usuario o un ordenador.

Contingencia: En informática, consiste en mitigar el riesgo que imposibilita la

continuidad de las operaciones por un lapso de tiempo que no está considerado

como normal.

Hacker: Es la persona que descubre las vulnerabilidades o debilidades de un

computador o una red de computadoras con o sin fines de lucro.

ISO: International Organization for Standarization, es una organización

internacional que se compone de varios estándares internacionales.

Sistemas de Información: Es el conjunto de elementos que están orientados a

la gestión administrativa de los datos e información previamente organizados y

que están listos para ser utilizados con el fin de cubrir una necesidad u objetivo.

Virus: Los virus o malware tiene como objetivo la alteración del funcionamiento

de un ordenador personal o distribuido, sin el permiso y sin conocimiento previo

del usuario o administrador de sistemas

Accesos Autorizados: Son los privilegios que se otorgado a un usuario según su

rol en una organización.

56

Activo: Son aquellos recursos de hardware o software con los que cuenta una

empresa u organización.

OSI: (en inglés, Open System Internconnection), es un modelo que sirve de

referencia para los protocolos de red en una arquitectura en capas.

57

CAPÍTULO III

METODOLOGÍA DE LA INVESTIGACIÓN

DISEÑO DE LA INVESTIGACIÓN

MODALIDAD DE LA INVESTIGACIÓN

Todos los seres humanos hacemos investigación frecuentemente, dice

Hernández Sampieri, Fernández y Baptista (2010). Mediante la investigación y

acceso continuo a la información, el personal de IT se actualiza y se informa de

las últimas tendencias tecnológicas del mundo para así poder mejorar sus

estrategias y fortalecer sus conocimientos en el área que desempeñen, en este

caso, el área de la seguridad de la información.

Por lo anteriormente mencionado, es importante la consulta y recolección de

información logrando de esta forma una investigación bibliográfica que permite

utilizar la información consultada, registrada y almacenada, la cual fundamenta la

propuesta del diseño de arquitectura de seguridad.

58

Cuadro Nº2 Diferencias entre Proyecto Factible y Proyecto de Investigación

Fuente: El Proyecto Factible: Una modalidad de investigación (2002).

Elaborado por: Víctor Emilio Silva Bajaña.

Tipo de investigación

En este proyecto de titulación se ha realizado una investigación de tipo descriptiva

y exploratoria. Decimos que es descriptiva, en base a lo expuesto por Hernández

Sampieri, quien indica que una investigación descriptiva es “una serie de

cuestiones y se mide cada una de ellas independientemente, para así describir lo

que se investiga”; ya que se ha realizado el análisis del estado y rendimiento actual

de las seguridades de la infraestructura de red de la Universidad de Guayaquil.

Se estudió un modelo de arquitectura de seguridad que no se ha aplicado hasta

ahora en la infraestructura de la institución lo cual constituye a esta investigación

exploratoria tal como lo indican Hernández Sampieri, Fernández y Baptista es la

que “se efectúa, normalmente, cuando el objetivo es examinar un tema o problema

de investigación poco estudiado o que no ha sido abordado antes”.

59

POBLACIÓN Y MUESTRA

POBLACIÓN:

Según (Sáez Castillo, 2012), “Se denomina población a un conjunto de individuos

o casos, objetivo de nuestro interés”. En esta investigación, la población está

conformada por los encargados de los centros de cómputo y estudiantes de las

facultades ubicadas en la ciudadela universitaria así como el responsable técnico

del centro de cómputo principal de la Universidad de Guayaquil.

Cuadro Nº 3 Población

INTEGRANTES TAMAÑO

Personal Encargado de Centros de Cómputo 14

Estudiantes – Ciudadela Universitaria 41.015

TOTAL 41.019

Fuente: Planificación Universitaria UG


Se realizaron encuestas al personal de IT. En el siguiente cuadro se detalla el

número de personal de IT de cada facultad que se han considerado como la

población para obtener la muestra y para realizar encuestas.

60

CRITERIOS DE INCLUSIÓN Y DE EXCLUSIÓN

Criterios de inclusión

Dentro de los criterios de inclusión para esta investigación se consideró al

Personal técnico de los Centros de Cómputo y estudiantes de las siguientes

unidades académicas:

Matemáticas y Físicas

Economía

Medicina

Psicología

Agrarias

Recreación y Educación Física

Ciencias Químicas

Administración

Jurisprudencia

Ingeniería Química

Filosofía

Arquitectura y Urbanismo

Odontología

División de Centro de Computo

Ya que la información con la que pueden aportar es relevante y útil para el

desarrollo de este proyecto.

Criterios de exclusión

Se excluye de la investigación al personal perteneciente a la Biblioteca

Universitaria, Almacén Universitario, Editorial, Laboratorios, etc. y demás

localidades donde no exista personal IT a cargo, ya que no se puede obtener

información de utilidad para este proyecto.

61

MUESTRA:

Tamaño de la Muestra para Estudiantes

Donde:

Reemplazando:

nm

e m

2 1 1( )

m= Tamaño de la población

(41015)

E= error de estimación (5%)

n = Tamaño de la muestra ?

‘?

396

54.103

41015

154.102

41015

1)41014)(0025.0(

41015

1)141015()05.0(

410152

n

n

n

n

n

62

Una vez calculado el valor de la fracción muestral, se calcula la muestra para el

grupo de estudiantes, multiplicando el total por el valor de la muestra, como se

indica a continuación:

Muestra= 41015* 0.010 = 410

Cuadro Nº4 Tamaño de la Muestra

POBLACIÓN CANTIDAD MUESTRA

ESTUDIANTES 41015 410

TOTAL 41015 410

OPERACIONALIZACIÓN DE VARIABLES

Variable Independiente:

Mecanismos de Seguridad de la Información

Variable Dependiente:

Diseño de la arquitectura de seguridad para la red de datos de la Universidad de

Guayaquil en la Ciudadela

Cálculo de la fracción muestral:

010.041015

396

N

nf

63

Cuadro no. 5 Matriz de operacionalización de variables


Fuente: Víctor Emilio Silva Bajaña

Variables Dimensiones Indicadores Técnicas y/o

Instrumentos

VARIABLE

INDEPENDIENTE

Mecanismos de

Seguridad de la

Información

Identificar

Firewall, IDS/IPS,

Directorio Activo,

Antivirus, Proxies,,

Sistemas de Archivo en

Red. Sistemas de

Respaldo de Información.

Monitor de Red /

Notificaciones y Alertas.

-Observación Directa

(Appliance o

Distribuciones de

Linux).

-Checklist de

levantamiento de

informacion(Anexo

4)

Administrar

-Continuidad del Servicio Informe de Servicio

Control y Mejoras

-Aplicación de Políticas de

Seguridad a Servicios.

-Modelo de Políticas

de Seguridad (Anexo

6)

Identificación, Evaluación

y Mitigación de Riesgos

Modelo deMatriz de

Riesgos (Anexo 7)

VARIABLE

DEPENDIENTE

Diseño de la

arquitectura de

seguridad para la

red de datos de la

Universidad de

Guayaquil en la

Ciudadela

Universitaria

Salvador Allende.

Diseño de la

arquitectura de

seguridad

Comparación de la

infraestructura actual con

la propuesta demostrando

falencias.

Propuesta del

Diseño de

Arquitectura de

Seguridad (Anexo 2).

Demostración del

funcionamiento de los

principios de la seguridad

de la información en el

diseño propuesto.

64

INSTRUMENTOS DE RECOLECCIÓN DE DATOS

Para tener un acercamiento con el fenómeno de estudio y poder extraer

información del mismo que sirvió para el desarrollo de este proyecto, se utilizan

técnicas de campo, a continuación se detallan las técnicas utilizadas:

Observación Directa.

Encuestas a Estudiantes y Personal de TI de la UG.

OBSERVACIÓN

Achaerandio para definir la observación indica que:

Investigación por observación significa aquella investigación en la que se

recogen directamente los datos, mediante técnicas adecuadas y sin

manipulación de las variables. En la investigación por observación se usan

diversas técnicas, para recolectar directamente los datos: la observación

libre, la observación participada, la encuesta, el cuestionario, la entrevista,

etc.” (Achaerandio, 2010, p.21).

Para el desarrollo de este proyecto, una de las técnicas que se utilizo fue la

observación directa, que se aplicó en la infraestructura de red de cada facultad y

de la división del centro de cómputo estableciendo de esta forma la situación

actual de las seguridades de la Universidad de Guayaquil, se fijaron límites y

alcances de este estudio.

65

ENCUESTAS Y CUESTIONARIOS

En cuanto a las encuestas y cuestionarios, Achaerandio indica que:

Para evaluar actitudes se emplean preferentemente cuestionarios de diversos

tipos; en todos hay que tener en cuenta la calidad y clase de preguntas a plantear.

EI cuestionario es una técnica de investigación por observación, cuya ventaja

principal es que, en poco tiempo, se puede obtener la reacción de numerosos

individuos. Como todos reciben las mismas preguntas o cuestiones, es más fácil

ordenar los datos de las respuestas conseguidas. (Achaerandio, 2010, p.148).

En base a lo anterior, se escogió por realizar como instrumento recolector de

información a la encuesta y cuestionarios, para poder obtener de una manera

precisa y concisa información con respecto al tema de estudio, para la formulación

de las preguntas se tomó en cuenta los criterios que describió Achaerandio en su

obra “Iniciación a la práctica de la investigación” donde recomienda la calidad que

deben tener las preguntas a contestarse:

Deben ser interesantes, deben de tener relación con el objetivo y no hace

falta que sean interesantes en sí mismas.

Deben de formularse preguntas necesarias y no se debe preguntar 10 que

ya se sabe por otras fuentes, o es irrelevante.

Tabulables, es decir, hay que tener en cuenta de alguna manera como se

van a organizar las respuestas para examinarlas.

Precisas, se deben evitar preguntas que den respuestas vagas, no

exactas.

Fáciles, no deben requerir mucho esfuerzo exponerlas.

Y sobre todo deben ser breves, claras, directas, a no ser que se trate de

un cuestionario proyectivo.

Para este proyecto, se realizaron dos modelos de encuestas, una dirigida para el

personal de IT y otra dirigida a las autoridades de la UG.

66

PROCEDIMIENTOS DE LA INVESTIGACIÓN

EL PROBLEMA:

Ubicación del problema en un contexto

Situación conflicto

Causa del problema, consecuencia

Delimitación del problema

Planteamiento

Evaluación del problema

Objetivo de la investigación

Justificación e importancia de la investigación

MARCO TEÓRICO:

Fundamentación teórica

Antecedentes del estudio

Exposición fundamentada en la consulta bibliográfica

Documental actualizado

Orientación filosófica y educativa de la investigación.

METODOLOGÍA:

Diseño de la investigación

Modalidad de la investigación

Tipo de investigación

Población y muestra

Operacionalización de las variables

Instrumentos de recolección de datos

Procesamiento de la investigación

Recolección de la información

Procesamiento y análisis

67

RESULTADOS CONCLUSIONES Y RECOMENDACIONES:

Resultados

Conclusiones

Recomendaciones

BIBLIOGRAFÍA

ANEXOS

68

RECOLECCIÓN DE LA INFORMACIÓN

Durante el levantamiento de la información se emplearon como instrumento la

observación y la encuesta, los cuales permitieron la obtención de datos necesarios

para el desarrollo y fortalecimiento del diseño de arquitectura de seguridad de la

información propuesto. Dichas encuestas fueron realizadas al personal de IT la

cual, se encuentra en el Anexo 3 y a los estudiantes, este modelo de encuesta se

encuentra en el Anexo 4.

PROCESAMIENTO Y ANÁLISIS

Una vez realizadas las encuestas, los datos obtenidos de las mismas son

procesadas para posteriormente ser tabulados, el resultado de los mismos se

representan en cuadros y gráficos estadísticos por cada pregunta del cuestionario,

de esta forma permite la clara comprensión.

Posteriormente en el análisis de las preguntas, existe una relacionada con la edad

del personal de IT de la institución, la misma que es una variable cuantitativa y por

ello se consideró los siguientes valores estadísticos descriptivos:

Media

Moda

Mediana

Varianza

Desviación estándar

Rango

Cuartiles

Coeficiente de asimetría

Curtosis

Media: La media aritmética es una medida de tendencia central y es la que se

utiliza con mayor frecuencia. La media aritmética se calcula sumando todas las

69

observaciones de un conjunto de datos, dividiendo después ese total entre el

número total de elementos involucrados. La media también es denominada

promedio. (Estuardo A, 2012, p. 35)

Mediana: La mediana es el valor que se encuentra en el centro de una secuencia

ordenada de datos. La mediana no se ve afectada por observaciones extremas en

un conjunto de datos. Por ello, cuando se presenta alguna información extrema,

resulta apropiado utilizar la mediana, y no la media, para describir el conjunto de

datos. (Estuardo A, 2012, p. 39)

Moda: La moda es el valor de un conjunto de datos que aparece con mayor

frecuencia. Se le obtiene fácilmente a partir de un arreglo ordenado. A diferencia

de la media aritmética, la moda no se afecta ante la ocurrencia de valores

extremos. Sin embargo, sólo se utiliza la moda para propósitos descriptivos

porque es más variable, para distintas muestras, que las demás medidas de

tendencia central. Un conjunto de datos puede tener más de una moda o ninguna.

(Estuardo A, 2012, p. 41)

Rango: Es la diferencia entre el máximo y el mínimo valor de un conjunto de datos.

(Estuardo A, 2012, p. 46)

Varianza: La varianza se define como el promedio aritmético de las diferencias

entre cada uno de los valores del conjunto de datos y la media aritmética del

conjunto elevadas al cuadrado. (Estuardo A, 2012, p. 48)

70

Desviación estándar: Es la raíz cuadrada positiva de la varianza. La desviación

estándar indica el promedio en que se desvía cada una de las observaciones de

la media aritmética. (Estuardo A, 2012, p. 51)

Coeficiente de variación: Constituye la dispersión relativa por la proporción que

existe entre la varianza y la media.

Cuartiles: En un conjunto de datos en el que éstos se hallan ordenados de

acuerdo con su magnitud, el valor de en medio (o la media aritmética de los dos

valores de en medio), que divide al conjunto en dos partes iguales, es la mediana.

Continuando con esta idea se puede pensar en aquellos valores que dividen al

conjunto de datos en cuatro partes iguales. Estos valores, denotados Q1, Q2 y Q3

son el primero, segundo y tercer cuartiles, respectivamente; el valor Q2 coincide

con la mediana. (Spiegel M.,Stephens L., 2009, p. 66)

Curtosis: La curtosis indica qué tan puntiaguda es una distribución; esto por lo

regular es en relación con la distribución normal. A una distribución que tiene un

pico relativamente alto se le llama leptocúrtica, en tanto que si es relativamente

aplastada se dice platicúrtica. Una distribución normal, que no es ni puntiaguda ni

muy aplastada se llama mesocúrtica. (Spiegel M., Stephens L., 2009, p. 126).

71

DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES DE

ENCUESTA PARA ENCARGADOS DE CENTRO DE CÓMPUTO

Variable 1

Edad: Se determina la cantidad de encuestados pertenecientes a cada rango de

edad.

Cuadro Nº6 Codificación Variable 1

Fuente: Víctor Emilio Silva Bajaña.


Variable 2

Sexo: Se determina el número de personas según el sexo.




Edad Código

18-24 1

25-34 2

35-44 3

45-54 4

55 – en adelante 5

Sexo Código

Masculino 1

Femenino 2

72

Variable 3

Capacitación y certificación continua en criterios de seguridad de la

información: Se busca conocer si los encuestados consideran importante la

capacitación y certificación continua en criterios de seguridad de la información

que debe brindarle la institución para robustecer las falencias de seguridad.




Variable 4

Promover proyectos de tecnologías de seguridad de la información Con esta

variable se busca determinar si el encuestado está de acuerdo con que se

promuevan proyectos de seguridad de la información para luego analizar si es

factible la implementación en la infraestructura de la institución.




Selección Código

Totalmente de acuerdo 5

De acuerdo 4

Indiferente 3

En desacuerdo 2

Totalmente en desacuerdo 1

Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


73

Variable 5

Administración centralizada en División Centro de Cómputo: Se requiere

conocer si los administradores o encargados de la infraestructura de red de cada

facultad están de acuerdo con la administración centralizada en División de Centro

de Computo.




Variable 6

Acceso confiable y seguro a los sistemas de la UG: Con esta variable se

determinará si los encuestados consideran si es seguro ingresar sesión en los

sistemas de la institución y si es confiable el almacenamiento de la información

ante cualquier pérdida, la continuidad del servicio tecnológico y la protección ante

la alteración de la información.




Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


74

Variable 7

Impacto ante pérdida, robo, sabotaje y alteración de la información: Los

encuestados indicaran la importancia ante los impactos que inciden la ausencia

de mecanismos de seguridad de la información que fortalezcan y protejan su red

interna.




Variable 8

Disponibilidad de los servicios tecnológicos: El objetivo de esta variable es

conocer si los encuestados consideran que la disponibilidad de sus servicios

tecnológicos es vital.




Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


75

Variable 9

Arquitectura de Seguridad en la red de datos de la UG Con esta variable se

determinará si los encuestados consideran la importancia de la aplicación e

implementación de mecanismos de seguridad en base a normativas y

lineamientos que proporcionaran un mejor desempeño y rendimiento en las

seguridades de la institución.




Variable 10

Evaluación de Riesgos en la Infraestructura, Servicios y Aplicaciones de la

UG: El fin de esta variable es determinar si los encuestados creen que la

evaluación de riesgos en la red de datos (infraestructura, servicios y aplicaciones)

les resulta de gran utilidad antes de solventarlos, asi se evitaran improvisaciones

y se disminuirán los tiempos de respuesta.




Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


76

Variable 11

Mecanismos de Control de riesgo Con esta variable se determinará si los

encuestados consideran la importancia de la aplicación e implementación de

mecanismos de seguridad en base a normativas y lineamientos que

proporcionaran un mejor desempeño y rendimiento en las seguridades de la

institución.




Variable 12

Actualización de equipo tecnológico Con esta variable se constatara por parte

de los encuestados cada que tiempo se actualiza o se adquiere un equipo de

cómputo.




Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


Selección Código

Cada 3 años 4

Cada 5 años 3

Cada 10 años 2

11 años en adelante 1

77

Variable 13

Medidas de Seguridad Con esta variable se determinará si los encuestados

recomiendan algún mecanismo de seguridad para su área a cargo.




Variable 14

Años de Ejercicio en IT del encuestado Con esta variable se determinará la

experiencia de los encargados de IT.




Selección Código

Firewall 5

Uso de certificados digitales 4

Control de la Autenticación de usuarios 3

Soluciones AntiMalware 2

Soluciones de Respaldo de Información 1

Selección Código

1- 10 años 5

11-20 años 4

21-30años 3

31-40 años 2

41- en adelante 1

78

Variable 15

Título del Encuestado Con esta variable se determinará el nivel de instrucción

de los encuestados.




Selección Código

Ingeniero (a) Sistemas / Computación / Estadística Informática 6

Licenciado (a) Sistemas / Computación / Estadística Informática 5

Ingeniero (a) Otras especialidades 4

Grado de Maestría 3

Doctor (a) 2

Otro 1

79

RESULTADO Y ANÁLISIS DE LA ENCUESTA REALIZADA

Pregunta Nº1

Edad del Encuestado:

Cuadro Nº21 Valores Estadísticos Pregunta 1



Gráfico N°10 Valores Estadísticos Pregunta 1



Análisis:

Como se puede ver en el gráfico 10 el 78.60% representa a personas de entre 35

a 44 años mientras que el 14.30% representa a personas entre 45 a 54 años y el

7.10% a personas de entre 25 a 34 años de edad.

Selección Frecuencia

Absoluta

Frecuencia

Relativa

Porcentajes

18-24 0 0 0%

25-34 1 0.0714 7.1%

35-44 11 0.7857 78.6%

45-54 2 0.1429 14%3

55- en adelante 0 0 0%

TOTAL 14 1 100%

0,00% 7,10%

78,60%

14,30%0,00%

18-24

25-34

35-44

45-54

55- en adelante

80

Cuadro Nº22 Valores Estadística Descriptiva Pregunta 1



El valor de la media, mediana y moda se muestra de manera clara en la tabla. La

desviación estándar es 4.57, lo que indica que la dispersión de los datos

relacionados a la media es de 40.21+- 4.57 años con lo cual tenemos un intervalo

de [35.64–44.78]. La dispersión es asimétrica hacia la derecha y como

consecuencia los datos se encuentran en su gran mayoría acumulados hacia la

izquierda, esto debido a que el coeficiente de asimetría es 0.28.

Media 40.21

Mediana 39.91

Moda 39.74

Desviación Estándar 4.57

Varianza 20.92

Curtosis 4.59

Coeficiente de asimetría 0.28

Rango 39

Cuartil 1 37.05

Cuartil 2 39.91

Cuartil 3 35.86

81

Pregunta Nº2

Sexo del Encuestado:




Gráfico N° 11 Valores Estadísticos Pregunta 2



Análisis:

Del total de datos recolectados y tabulados se obtuvo como resultado que el

78.60% de los encuestados pertenecen al sexo masculino y el 21.40%

pertenecen al sexo femenino.


Absoluta

Frecuencia

Relativa

Porcentajes

Masculino 11 0.7857 78.6%

Femenino 3 0.2143 21.4%

TOTAL 14 1 100%

78,60%

21,40%

Masculino

Femenino

82

Pregunta Nº3

¿Considera Ud. que es necesaria la capacitación y certificación continúa en

criterios de seguridad de la información de los directores y/o encargados de los

departamentos de cómputo de cada una de las facultades de la UG?




Gráfico N° 12

Valores Estadísticos Pregunta 3



Análisis:

Como podemos analizar en el gráfico 12 el 42.90% del personal de IT está

totalmente de acuerdo con la capacitación y certificación continua en criterios de

seguridad de la información pero un 42.90% muestra menos interés estando solo

de acuerdo mientras que un 14.30% le es indiferente el tema.


Absoluta

Frecuencia Relativa Porcentajes

Totalmente de acuerdo 6 0.4286 42.9%

De acuerdo 6 0.4286 42.9%

Indiferente 2 0.1429 14.3%

En desacuerdo 0 0 0%

Totalmente en desacuerdo 0 0 0%

TOTAL 14 1 100%

42,90%

42,90%

14,30%0,00% 0,00%

Totalmente de acuerdo

De acuerdo

Indiferente

En desacuerdo

Totalmente en desacuerdo

83

Pregunta Nº4

¿Cree Ud. que los docentes del área IT deban promover proyectos de tecnologías

de seguridad de la información para fortalecer la infraestructura de la UG?

Cuadro Nº 25 Valores Estadísticos Pregunta 4






Análisis:

Según los datos recolectados el 42.90% del personal de IT está totalmente de

acuerdo con que se promuevan proyectos de tecnología de seguridad de la

información por parte de los docentes también un 28.60% está de acuerdo pero a

un 21.40% le es indiferente mientras que a un 7.10% está en desacuerdo.


Absoluta

Frecuencia

Relativa

Porcentajes

Totalmente de acuerdo 6 0.42.85 42.9%

De acuerdo 4 0.2857 28.6%


En desacuerdo 1 0.0714 7.1%

Totalmente en desacuerdo 0 0 0

TOTAL 14 1 100%

42,90%

28,60%

21,40%

7,10% 0,00%


De acuerdo

Indiferente

En desacuerdo


84

Pregunta Nº5

¿Cree Ud. que es de vital importancia que la administración de las seguridades

sea totalmente centralizada en la División Centro de Cómputo de la UG?







Análisis:

Del total de datos recolectados y tabulados en el gráfico 14 se puede determinar

que el 42.90% considera que está totalmente de acuerdo con la administración

centralizada en división centro de cómputo, mientras que un 14.30% solo está de

acuerdo y otro 14.30% le es indiferente al tema, el 7.1 % de los encuestados no

está de acuerdo y un 21.4% está totalmente en desacuerdo.


Absoluta

Frecuencia

Relativa

Porcentajes


De acuerdo 2 0.1429 14.3%



Totalmente en desacuerdo 3 0.2143 21.4%

TOTAL 14 1 100%

42,90%

14,30%

14,30%

7,10%

21,40%


De acuerdo

Indiferente

En desacuerdo


85

Pregunta Nº6

6. ¿Considera Ud. que es totalmente confiable y seguro el acceso a los sistemas

de la UG?







Análisis:

Según lo recolectado podemos ver en el gráfico 15 que solo el 35.7% del personal

de IT está totalmente de acuerdo con la confiabilidad y seguridad del acceso a los

sistemas de la UG, mientras un 64.3% dudan en esta afirmación en sus distintas

respuestas.


Absoluta

Frecuencia

Relativa

Porcentajes


De acuerdo 3 0.2142 21.4%



Totalmente en desacuerdo 1 0.0714 7.1%

TOTAL 14 1 100%

35,70%

21,40%

7,10%

28,60%

7,10%


De acuerdo

Indiferente

En desacuerdo


86

Pregunta Nº7

¿Cree Ud. que la pérdida, robo, sabotaje y alteración de la información tiene un

impacto muy grave sino se aplican criterios de seguridad de la información en la

UG?







Análisis:

Según lo recolectado podemos determinar que el 71.40% del personal de IT está

totalmente de acuerdo con la gravedad de la falta de aplicación de criterios de

seguridad de la información y un 28.60% solo están de acuerdo.


Absoluta

Frecuencia

Relativa

Porcentajes


De acuerdo 4 0.2857 28.6%

Indiferente 0 0 0%



TOTAL 14 1 100%

71,40%

28,60%

0,00% 0,00% 0,00%


De acuerdo

Indiferente

En desacuerdo


87

Pregunta Nº8

8. ¿Considera Ud. de los servicios tecnológicos y la información deben estar

siempre disponibles?







Análisis: Según lo recolectado y tabulado podemos ver que el 78.60% del

personal de IT está totalmente de acuerdo que la disponibilidad en los servicios

tecnológicos y en la información es importante y un 21.40% solo están de acuerdo.


Absoluta

Frecuencia

Relativa

Porcentajes

Totalmente de

acuerdo

11 0.7857 78.6%

De acuerdo 3 0.2143 21.4%

Indiferente 0 0 0%


Totalmente en

desacuerdo

0 0 0%

TOTAL 14 1 100%

78,60%

21,40%

0,00%0,00%

0,00%


De acuerdo

Indiferente

En desacuerdo


88

Pregunta Nº9

9. ¿Considera Ud. que la Universidad de Guayaquil debería tener una arquitectura

de seguridad de la información en su red de datos?







Análisis:


acuerdo para que la UG tenga una arquitectura de seguridad en su red de datos

también un 21.40% está de acuerdo pero a un 7.10% le es indiferente.


Absoluta

Frecuencia

Relativa

Porcentajes

Totalmente de

acuerdo

10 0.7143 71.4%

De acuerdo 3 0.2143 21.4%



Totalmente en

desacuerdo

0 0 0%

TOTAL 14 1 100%

71,40%

21,40%

7,10% 0,00% 0,00%


De acuerdo

Indiferente

En desacuerdo


89

Pregunta Nº10

10. ¿Cree Ud. que es necesaria la evaluación de los riesgos en la infraestructura,

servicios y aplicaciones de la Universidad de Guayaquil?







Análisis:


acuerdo con lo necesario que es la evaluación de riesgos en una red de datos



Absoluta



De acuerdo 1 0.0714 7.1%




TOTAL 14 1 100%

71,40%

7,10%

21,40%

0,00% 0,00%


De acuerdo

Indiferente

En desacuerdo


90

Pregunta Nº11

11. ¿Considera Ud. que es importante la aplicación de medidas de control de

riesgo ante problemas de continuidad del servicio tecnológico o ante problemas

de robo/perdida de la información?







Análisis:


acuerdo para que la UG tenga una arquitectura de seguridad en su red de datos



Absoluta

Frecuencia

Relativa

Porcentajes


De acuerdo 2 0.1429 14.3%




TOTAL 14 1 100%

71,40%

14,30%

14,30%

0,00% 0,00%


De acuerdo

Indiferente

En desacuerdo


91

Pregunta Nº12

12. ¿Cada cuánto tiempo se actualiza o se adquiere equipamiento tecnológico?







Análisis:

Según los datos recopilados y tabulados el 85.71% del personal de IT comenta

que existe la probabilidad de actualizar o adquirir un equipo de cómputo al menos

cada 5 años y un 14.29% indica que esto se realiza aproximadamente cada 10

años.


Absoluta

Frecuencia

Relativa

Porcentajes

Cada 3 años 0 0 0%

Cada 5 años 12 0.8571 85.71%

Cada 10 años 2 0.1429 14.29%

11 años en adelante 0 0 0

TOTAL 14 1 100%

0,00%

85,71%

14,29%

0,00%

Cada 3 años

Cada 5 años

Cada 10 años

11 años en adelante

92

Pregunta Nº13

13. Indique los mecanismos de seguridad de la información que recomendaría

para su área a cargo.







Análisis:

En base a la información levantada los encargados de IT recomiendan que se

implemente en la UG: con un 71.4% Soluciones de Respaldo de Información y

ambos con un 64.3% Soluciones de Antimalware y el Uso de Certificados digitales.

0,00% 10,00%20,00%30,00%40,00%50,00%60,00%70,00%80,00%

Firewall

Certificados Digitales

Autenticacion de Usuarios

Antimalware

Soluciones de Respaldo de Información

Mecanismos de Seguridad

Mecanismos de Seguridad

Respuestas Porcentaje de

Casos

Cantidad Porcentaje

Mecanismos de

Seguridad

Recomendados por

el Encuestado

Firewall 5 0.13% 35.7%

Uso de certificados digitales 9 0.23% 64.3%

Control de la Autenticación de usuarios 7 0.18% 50%

Soluciones AntiMalware 9 0.23% 64.3%

Soluciones de Respaldo de Información 10 0.25% 71.4%

TOTAL 40 100% 285.70%

93

Pregunta Nº14

14. Años de ejercicio en IT del encuestado







Análisis:

Esta información nos demuestra que el 21.4% del personal de IT encuestado tiene

de 1 a 10 años ejerciendo su profesión y un 78.6% tienen de 11 a 20 años de

experiencia en TI.

Selección Frecuencia Absoluta Frecuencia Relativa Porcentajes

1- 10 años 3 0.2143 21.4%

11-20 años 11 0.7857 78.60%

21-30años 0 0 0%

31-40 años 0 0 0%

41- en adelante 0 0 0%

TOTAL 14 1 100%

21,40%

78,60%

0,00% 0,00% 0,00%

1- 10 años

11-20 años

21-30años

31-40 años

41- en adelante

94

Pregunta Nº15

15. Título del encuestado







Análisis:

Según lo tabulado el 57.10% tiene un Grado de Maestría, un 35.7% son Ingenieros

en el área de IT y un 7.1% son de otras áreas.


Absoluta

Frecuencia

Relativa

Porcentajes

Ingeniero (a) Sistemas / Computación /

Estadística Informática

5 0.3571 35.7%

Licenciado (a) Sistemas / Computación

/ Estadística Informática

0 0 0%

Ingeniero (a) Otras especialidades 0 0 0%

Grado de Maestría 8 0.5714 57.1%

Doctor (a) 0 0 0%

Otro 1 0.0714 7.1%

TOTAL 14 1 100%

35,70%

0,00%

0,00%

57,10%

0,00%7,10%

Ingeniero (a) Sistemas / Computación /Estadística Informática

Licenciado (a) Sistemas / Computación /Estadística Informática

Ingeniero (a) Otras especialidades

Grado de Maestría

Doctor (a)

Otro

95

DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES DE

ENCUESTA PARA ESTUDIANTES

Variable 1

Edad: Se determina la cantidad de encuestados pertenecientes a cada rango de

edad.




Variable 2

Sexo: Se determina el número de personas según el sexo.




Edad Código

18-20 1

21-25 2

26-30 3

31-35 4

36 – 50 5

Sexo Código

Masculino 1

Femenino 2

96

Variable 3

Accesos a los sistemas de la UG: Se busca conocer si los encuestados

consideran seguro y confiable a los distintos sistemas en la Universidad de

Guayaquil.




Variable 4

Servicios tecnológicos e información en la UG: Con esta variable se busca

determinar si el encuestado considera que los servicios de información y

tecnología deben estar siempre disponibles.




Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


97

Variable 5

Protección de la Información de sistemas en UG: Se requiere conocer si los

estudiantes consideran que debe protegerse la información que se maneja en los

procesos de matriculación, sistemas académicos, financieros, etc.




Variable 6

Administración de servicios tecnológicos: Con esta variable se determinará si

los encuestados consideran que los servicios tecnología y sistemas deben ser

administrados por personal especializado y capacitado.




Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


98

Variable 7

Servicio de Internet: Los encuestados indicaran su opinión acerca de si los

servicios de internet que se provee en la universidad debe ser solo para

actividades académicas.




Variable 8

Control de usuarios: Esta variable busca determinar si los encuestados creen

importante el establecimiento de controles en docente, personal administrativo y

estudiantes para que no se modifiquen datos en los sistemas sin autorización.




Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


99

Variable 9

Mecanismos de seguridad en sistemas de la UG: El objetivo de esta variable

es conocer si los encuestados consideran si los mecanismos de seguridad

implementados en los sistemas son eficaces para la protección de datos y

continuidad del servicio.




Variable 10

Arquitectura de Seguridad en la red de datos de la UG Con esta variable se

determinará si los encuestados consideran si la implementación de una

arquitectura de seguridad solvente las falencias en la disponibilidad de servicios

tecnológicos y mitigue vulnerabilidades.




Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


Selección Código


De acuerdo 4

Indiferente 3

En desacuerdo 2


100

RESULTADO Y ANÁLISIS DE LA ENCUESTA REALIZADA A

ESTUDIANTES

Pregunta Nº1

Edad del Encuestado:




Gráfico N°26 Valores Estadísticos Pregunta 1



Análisis:

Como se puede ver en el gráfico 26 el 74.87% representa a personas de entre 18

y 25 años mientras que el 23.41% representa a personas entre 26 y 35 años y el

1.70% a personas de entre 36 y 50 años.

Selección Frecuencia Absoluta Frecuencia Relativa Porcentajes

18-20 68 0.1659 16.59%

21-25 239 0.5829 58.29%

26-30 52 0.1268 12.68%

31-35 44 0.1073 10.73%

36- 50 7 0.017 1.70%

TOTAL 410 1 100%

16,58%

58,29%

12,68%

10,73% 1,70%

18-24

25-34

35-44

45-54

55- en adelante

101

Cuadro Nº48 Valores Estadística Descriptiva Pregunta 1



El valor de la media, mediana y moda se muestra de manera clara en la tabla. La

desviación estándar es 4.63, lo que indica que la dispersión de los datos

relacionados a la media es de 24.39 +- 4.63 años con lo cual tenemos un intervalo

de [19.76 – 29.02]. La dispersión es asimétrica hacia la derecha y como

consecuencia los datos se encuentran en su gran mayoría acumulados hacia la

izquierda, esto debido a que el coeficiente de asimetría es 1.58.

Media 24.39

Mediana 24.41

Moda 23

Desviación Estándar 4.63

Varianza 21.47

Curtosis 6.1

Coeficiente de asimetría 1.58

Rango 32

Cuartil 1 22.70

Cuartil 2 24.41

Cuartil 3 26.13

102

Pregunta Nº2

Sexo del Encuestado:







Análisis:

Del total de datos recolectados y tabulados se obtuvo como resultado que el 69%

de los encuestados pertenecen al sexo masculino y el 31% pertenecen al sexo

femenino.


Absoluta

Frecuencia

Relativa

Porcentajes

Masculino 283 0.6903 69%

Femenino 127 0.3097 31%

TOTAL 410 1 100%

69,00%

31,00%Masculino

Femenino

103

Pregunta Nº3

¿Considera Ud. que es totalmente confiable y seguro el acceso a los sistemas

de la UG?




Gráfico N° 29

Valores Estadísticos Pregunta 3



Análisis:

Como podemos analizar en el gráfico 29, el 29% de los estudiantes consideran

que es totalmente confiable y seguro el acceso a los distintos sistemas de la UG,

el 25.4% es indiferente y el 45.6% piensa que no es confiable el acceso a los

sistemas.


Absoluta

Frecuencia

Relativa

Porcentajes

Totalmente de acuerdo 37 0.0902 9%

De acuerdo 82 0.2 20%

Indiferente 104 0.2537 25.4%


Totalmente en desacuerdo 45 10.98 11%

TOTAL 410 1 100%

9,00%

20,00%

25,40%

34,60%

11,00%


De acuerdo

Indiferente

En desacuerdo


104

Pregunta Nº4

¿Cree Ud. que los servicios tecnológicos y la información de la UG deben estar

siempre disponibles?

Cuadro Nº 51 Valores Estadísticos Pregunta 4






Análisis:

El 80.4% de los encuestados considera que los servicios de información deben

estar siempre disponibles. Al 7.6% de los encuestados les parece indiferente y el

2% considera que no deberían estar disponibles 24/7.


Absoluta



De acuerdo 67 0.163 16.3%




TOTAL 410 1 100%

74,10%

16,30%

7,60%0,00% 2,00%


De acuerdo

Indiferente

En desacuerdo


105

Pregunta Nº5

¿Cree Ud. que es de vital importancia la protección de la información de los

sistemas de la UG como los de matriculación, sistemas académicos, financieros,

etc.?







Análisis:

Del total de datos recolectados y tabulados se pudo determinar que el 100% de

los encuestados considera de vital importancia la protección de la información que

se maneja en los diversos sistemas que existen en la UG.


Absoluta

Frecuencia

Relativa

Porcentajes


De acuerdo 60 0.1463 14.6%

Indiferente 0 0 0%



TOTAL 410 1 100%

85,40%

14,60%

0,00% 0,00% 0,00%


De acuerdo

Indiferente

En desacuerdo


106

Pregunta Nº6

6. ¿Considera Ud. que los servicios tecnológicos de la UG deben ser

administrados por personal especializado y constantemente capacitado?







Análisis:

Según lo recolectado podemos ver que el 98% de los encuestados considera que

los sistemas deben ser administrados por personal con sólidos conocimientos en

IT. El 2% restante fue indiferente a esta interrogante.


Absoluta

Frecuencia

Relativa

Porcentajes


De acuerdo 53 0.1293 13%

Indiferente 7 0.017 2%



TOTAL 410 1 100%

85,00%

13,00%

2,00% 0,00% 0,00%


De acuerdo

Indiferente

En desacuerdo


107

Pregunta Nº7

¿Cree Ud. que el servicio de internet que provee la UG a los estudiantes y

docentes debe ser exclusivo para actividades académicas?







Análisis:

Según lo recolectado podemos ver que el 59% de los encuestados consideran que

el internet debe ser exclusivo para actividades académicas mientras que al 29%

le es indiferente la situación. El 12% de los encuestados considera que el internet

debería ser utilizado para otras actividades también.


Absoluta

Frecuencia

Relativa

Porcentajes


De acuerdo 74 0.1804 18%


En desacuerdo 28 0.0682 7%


TOTAL 410 1 100%

41,00%

18,00%

29,00%

7,00%5,00%


De acuerdo

Indiferente

En desacuerdo


108

Pregunta Nº8

8. ¿Considera Ud. que se deben de establecer controles para que los usuarios

(docentes, personal administrativo y estudiantes) no modifiquen datos de los

sistemas de la UG en general de un modo no autorizado)?







Análisis:

Según lo recolectado y tabulado podemos ver que el 90% de los estudiantes

encuestados están de acuerdo que se deben establecer controles para el manejo

de la información. El 2% es indiferente y el 6% está en desacuerdo.


Absoluta

Frecuencia

Relativa

Porcentajes


De acuerdo 89 0.2170 21%




TOTAL 410 1 100%

69,00%

21,00%

6,00%4,00% 0,00%


De acuerdo

Indiferente

En desacuerdo


109

Pregunta Nº9

9. ¿Considera Ud. que los mecanismos de seguridad de la información

implementados actualmente en la UG son eficaces y eficientes para la protección

de los datos y garantizan la continuidad del servicio?







Análisis:

Según los datos recolectados el 30% considera que los mecanismos de seguridad

hasta el momento implementados son eficientes, el 24% es indiferente y el 46%

no está de acuerdo con la seguridad en los sistemas de la UG.


Absoluta

Frecuencia

Relativa

Porcentajes


De acuerdo 67 0.1634 16%




TOTAL 410 1 100%

14,00%

16,00%

24,00%

35,00%

11,00%


De acuerdo

Indiferente

En desacuerdo


110

Pregunta Nº10

10. ¿Cree Ud. que la implementación de una arquitectura de seguridad para la red

de daos de la Cdla. Salvador Allende solvente las falencias de disponibilidad de

sus servicios tecnológicos, mitigue las vulnerabilidades y proteja la información de

la UG de terceros?







Análisis:

Según los datos recolectados el 64% de encuestados considera que la

implementación de una arquitectura de seguridad para la red de datos es una

opción para proteger la información y solventar falencias actualmente presentes,

el 27% es indiferente y el 9% no está de acuerdo.


Absoluta



De acuerdo 105 0.2561 26%




TOTAL 410 1 100%

38,00%

26,00%

27,00%

4,00% 5,00%


De acuerdo

Indiferente

En desacuerdo


111

CAPÍTULO IV

RESULTADOS, CONCLUSIONES Y RECOMENDACIONES

RESULTADOS

Los resultados que se obtuvieron durante el modelamiento del diseño de

arquitectura de seguridad se detallan a continuación:

Se analizó el diseño de red de datos actual de la Universidad de Guayaquil

en su Ciudadela Universitaria Salvador Allende para el posterior

modelamiento del diseño.

Se determinó por observación directa y por las encuestas realizadas a el

personal encargado de IT de las facultades y de División de Centro de

Computo que no existen políticas de seguridad establecidas y tampoco un

diseño de arquitectura de seguridad al cual se rija la infraestructura

tecnológica de la UG.

Se realizó el modelamiento del diseño de arquitectura de seguridad para

la red de datos de la Universidad de Guayaquil en base a modelos de

arquitecturas de seguridad similares que aportaron al desarrollo del mismo.

CONCLUSIONES

Una vez diseñada la arquitectura de seguridad, para la implementación de esta

propuesta para la red de datos de la Universidad de Guayaquil se debe contar con

el apoyo total de la rectoría y autoridades competentes para que sea reconocido

y aprobado económicamente.

112

También es necesario que todo el personal que esté a cargo de las dependencias

tecnológicas, estén capacitados y certificados en criterios de seguridad de la

información para que administren de forma correcta y tengan un mejor control

sobre la red de datos de la UG.

Además este estudio demuestra que es necesaria la actualización continua de los

mecanismos de seguridad en base a las necesidades de la institución y a los

avances tecnológicos ya que sin ellos es imposible garantizar el correcto

funcionamiento de los sistemas y servicios informáticos que se ejecutan en la red

y mucho menos la aplicación de seguridades.

Los estudiantes de la Universidad de Guayaquil concluyen que el criterio de

disponibilidad de los servicios informáticos no se cumple a cabalidad y afirman

que los mismos deben estar siempre disponibles como los sistemas de

matriculación y sistemas académicos como ya lo han experimentado en los

últimos procesos de matriculación, hacen hincapié según las encuestas que los

administradores o encargados de IT sean personas especializadas para que así

la información y sistemas de la UG estén siempre protegidos, por ende, denotan

que la aplicación de un diseño de arquitectura de seguridad robustezca las

falencias de disponibilidad de sus servicios tecnológicos, mitigue las

vulnerabilidades y amenazas, y proteja la información de la Universidad de

Guayaquil de terceras personas.

RECOMENDACIONES

En base a lo estudiado en este proyecto, se han considerado las siguientes

recomendaciones para fortalecer el modelo de arquitectura de seguridad

propuesto

Capacitar al área encargada de IT en temas de seguridad de la información

o en su defecto crear este rol o área la cual efectuará el proceso de mejora

continua con el fin de no descuidar la administración y control de los

mecanismos de información.

113

Crear campañas de concientización en base a normativas como ITIL al

personal administrativo, docente y estudiantes para que todos trabajen

para el bien común y protección de los activos tecnológicos e información

de la universidad de Guayaquil.

Considerar que el diseño del proyecto de arquitectura de seguridad

incluyendo sus políticas de seguridad, deberán basarse exclusivamente en

las necesidades de la institución, es decir, se debe evitar cualquier

descuido administrativo y facilismos que al final generen vulnerabilidades.

Actualizar constantemente los firmwares y parches que publican los

fabricantes de los dispositivos de comunicación, mecanismos de

seguridad, sistemas operativos de servidores y terminales de trabajo.

Revisar paulatinamente el tiempo de vida útil de los equipos de cómputo

para posteriormente considerar la depreciación de hardware obsoleto

como servidores, Appliance y terminales de trabajo.

Considerar al momento de adquirir un nuevo equipo la compra de garantías

extendidas o “care packs” que ofrecen los fabricantes de equipos de

cómputo en el caso de cualquier imprevisto o daño en el hardware de los

equipos.

114

BIBLIOGRAFÍA

Achaerandio, L. (2010). Iniciación a la práctica de la investigación. Ciudad de

Guatemala, Guatemala: Universidad Rafael Landivar.

Balaguer, I. M. (2012). La nueva versión ISO 27001:2013 Un cambio en la

integración de los sistemas de gestión.

Daya, B. (2009). Network Security: History, Importance, and Future.

EL UNIVERSO. (7 de Marzo de 2013). Obtenido de Investigan Hackeo del Sistema

de la UESS: http://www.eluniverso.com/2013/03/07/1/1528/investigan-

hackeo-sistema-uees.html

Estuardo, A. (2012). Estadistica y probabilidades. Chile: Universidad Católica de

la Santisima Concepcion.

Galdámez, P. (s.f.). Seguridad Informatica. España.

Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, P. (2010).

Metodologia de la Investigacion. Naucalpan de Júarez, Mexico: McGraw-

Hill.

Institute, S. (2006). Introduction to Information System Risk Management.

Killmeyer, J. (2006). Information Security Architecture. Second Edition, 424. Boca

Raton, Florida, United States of America: Auerbach Publications.

Lee, J.-K. (September de 2013). International Journal of Network Security & Its

Applications.

Lopez, M. M. (2007). Propuesta de Arquitectura de Seguridad de la Red Datos

para la Universidad Simón Bolívar Sede del Litoral. Vargas, Venezuela.

Moya, R. D. (2002). El Proyecto Factible: una modalidad de investigacion.

Caracas, Venezuela.

Normalización, I. E. (2011). Norma Técnica Ecuatoriana NTE INEN - ISO/IEC

27001:2013. Primera Edicion. Quito, Pichincha, Ecuador.

Normalización, I. E. (2012). Norma Técnica Ecuatoriana NTE INEN - ISO/IEC

27000:2012. Primera Edicion. Quito, Pichincha, Ecuador.

Sáez Castillo, A. J. (2012). Apuntes de Estadìstica para Ingenieros. España:

Universidad de Jaén.

Stephens, L., & Spiegel, M. (2009). Estadistica Schaum Cuarta Edición. Mexico:

Mc Graw Hill.

115

UNIVO, U. d. (2008). Manual de Normas de Politicas de Seguridad Informatica.

San Miguel, El Salvador.

Young, E. &. (2011). Seguridad de la Informacion en un mundo sin fronteras.

ANEXOS

ANEXO N° 1 – CRONOGRAMA DEL

PROYECTO

Cuadro Nº 58 Cronograma del Proyecto

Nombre de tarea Duración Comienzo Fin

ELABORACIÓN DEL CAPÍTULO I - EL PROBLEMA

12 días mar 1/9/15 mié 16/9/15

REDACCIÓN DEL PLANTEAMIENTO DEL PROBLEMA, CAUSAS-CONSECUENCIAS, DELIMITACIÓN, EVALUACIÓN

5 días mar 1/9/15 lun 7/9/15

REDACCIÓN DE OBJETIVOS, ALCANCES Y JUSTIFICACIÓN.

5 días mar 8/9/15 lun 14/9/15

MODIFICACIONES DE ACUERDO A FORMATO ESTABLECIDO.

2 días mar 15/9/15 mié 16/9/15

ELABORACIÓN DEL CAPÍTULO II - MARCO TEÓRICO

25 días jue 17/9/15 mié 21/10/15

REDACCIÓN DE ANTECEDENTES DEL ESTUDIO.

2 días jue 17/9/15 vie 18/9/15

BÚSQUEDA Y RECOPILACIÓN DE INFORMACIÓN PARA FUNDAMENTACIÓN TEÓRICA

8 días sáb 19/9/15 mié 30/9/15

REDACCIÓN DE FUNDAMENTACIÓN TEÓRICA

8 días jue 1/10/15 lun 12/10/15

RECOPILACIÓN DE INFORMACIÓN Y REDACCIÓN DE LA FUNDAMENTACIÓN LEGAL.

3 días mar 13/10/15 jue 15/10/15

REDACCIÓN DE PREGUNTAS A CONTESTARSE.

2 días vie 16/10/15 lun 19/10/15

REDACCION DE DEFINICIONES CONCEPTUALES

2 días mar 20/10/15 mié 21/10/15

LEVANTAMIENTO DE INFORMACIÓN 9 días jue 22/10/15 mar 3/11/15

ELABORACIÓN DE CHECKLIST PARA LEVANTAMIENTO DE INFORMACIÓN EN CENTROS DE CÓMPUTO.

1 día jue 22/10/15 jue 22/10/15

VISITA A LOS CENTROS DE CÓMPUTO DE LAS FACULTADES UBICADAS EN LA CIUDADELA UNIVERSITARIA.

3 días vie 23/10/15 mar 27/10/15

VISITA AL CENTRO DE CÓMPUTO PRINCIPAL - UG

1 día mié 28/10/15 mié 28/10/15

PROCESAMIENTO DE INFORMACIÓN RECOLECTADA.

4 días jue 29/10/15 mar 3/11/15

ELABORACIÓN DEL CAPÍTULO III - METODOLOGIA

16 días mar 3/11/15 mar 24/11/15

REDACCIÓN DEL DISEÑO, MODALIDAD Y TIPO DE LA INVESTIGACIÓN

3 días mar 3/11/15 jue 5/11/15

POBLACIÓN, ELABORACIÓN DE ENCUESTAS Y GUIÓN DE ENTREVISTAS.

3 días jue 5/11/15 lun 9/11/15

APLICACIÓN DE INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN.

5 días mar 10/11/15 lun 16/11/15

OPERACIONALIZACIÓN DE VARIABLES 1 día mar 17/11/15 mar 17/11/15

PROCESAMIENTO Y ANÁLISIS DE DATOS OBTENIDOS.

5 días mié 18/11/15 mar 24/11/15

ELABORACIÓN DEL CAPÍTULO IV - RESULTADOS, CONCLUSIONES Y RECOMENDACIONES.

4 días jue 26/11/15 mar 1/12/15

REVISION DEL DOCUMENTO DE ACUERDO AL FORMATO ESTABLECIDO.

5 días vie 4/12/15 jue 10/12/15



Gráfico N° 37 Diagrama de Gantt



Gráfico N° 38 Diagrama de Gantt



ANEXO N° 2 – DISEÑO PROPUESTO DE


MODELO DE ARQUITECTURA DE SEGURIDAD PARA LA RED DE DATOS

DE LA UNIVERSIDAD DE GUAYAQUIL

Introducción

Hoy en día las organizaciones están expuestas a situaciones de alto riesgo, el

mismo que puede venir fuera o dentro de ellas generando incertidumbre y hasta

en muchas ocasiones temor al perder la continuidad del negocio.

La información para cada organización tiene un alto precio al momento de manejar

el negocio y direccionar sus metas, la misma que se convierte en una herramienta

vital y estratégica que permite la estabilidad de la organización.

Es por esto la importancia de la gestión de la información en todos sus niveles de

la organización en sus diversas acciones de tipo, gerencial, administrativo y

tecnológico que garanticen la integridad, disponibilidad y confidencialidad.

La Universidad de Guayaquil, como institución de nivel superior, por su gestión

administrativa, docente y sobretodo su compromiso con los estudiantes tiene

información valiosa, la cual debe estar salvaguardada por una arquitectura segura

y confiable.

Objetivo del proyecto

Proponer un diseño de arquitectura de seguridad a la Universidad de Guayaquil a

partir de modelos de arquitectura seguridad de la información según estándares y

lineamientos que requiere una red de datos, los mismos que están basados en las

necesidades de la institución para así fortalecer la integridad, confidencialidad y

disponibilidad de los recursos y la información.

Alcance del Proyecto

Universidad de Guayaquil en su Ciudadela Universitaria “Salvador Allende”

Esquema de Red Actual Cdla. Salvador Allende

Análisis del Esquema de Red Actual Cdla. Salvador Allende

La red actual de la Cdla. Salvador Allende no cuenta con los mecanismos para

brindar la seguridad de la misma, es necesario fortalecer y robustecer la seguridad

de la información y los recursos tecnológicos además de blindar la infraestructura

de la UG se contribuiría enormemente con el desarrollo y ascenso de categoría

de la misma ya que al parecer se descuida este gran aspecto.

La solución definitiva para este problema es analizar la adaptación de un diseño

de arquitectura de seguridad conformada por la agregación de mecanismos de

seguridad a la infraestructura actual, políticas de seguridad basadas en

estándares y lineamientos internacionales, documentación organizada y

actualizada, concientización de los usuarios en general y un plan de mejora

continua; los mismos que aseguran la disponibilidad, integridad y confidencialidad

de los recursos de la UG.

Diseño de la arquitectura de seguridad

La presente arquitectura de seguridad está ajustada a las necesidades de la

Universidad de Guayaquil, ya que la misma no cuenta con los mecanismos

necesarios para las funciones de la institución, por ello se conforma en las

siguientes fases:

Niveles de Seguridad/Evaluación de Riesgos

Se establecen los mecanismos de seguridad que posteriormente conformarán el

esquema de red, dichos mecanismos se ubicarán según el rol que vayan a cumplir

todo esto en función a la seguridad en profundidad. Para aplicar la seguridad en

profundidad antes se deben haber analizado los posibles riesgos que pueda

afrontar una organización, en este caso la Universidad de Guayaquil.

Por esta razón se evalúa sistemáticamente todos los acontecimientos, los mismos

que son clasificados y codificados según su nivel de impacto y a su vez se definen

las soluciones inmediatas a los mismos.

Para esto se han clasificado por capas:

Datos: Se debe proteger todo el contenido de los datos que conforman la

información de la institución en general.

Aplicación: Las aplicaciones y programas que diariamente utilizan los

usuarios para realizar sus labores, aquí se debe tener mucho cuidado ya

que interactúa directamente con los datos de una organización.

Host: Cada terminal de trabajo cuenta con un rol y un privilegio distinto en

una organización, por esto se deben aplicar las configuraciones correctas

con los aplicativos y herramientas adecuadas para el buen uso de este

bien tecnológico.

Red Interna: En la red interna es donde más cuidado se debe tener, por lo

cual se implementan mecanismos interconectados en la red local con el fin

de controlar y gobernar las actividades que se realizan en ella.

Perímetro: Aquí se integran los elementos y sistemas de seguridad de la

información para la protección de la red interna, para evitar intrusiones de

personas no autorizadas y prevenir cualquier amenaza externa.

Seguridad Física: en este nivel se establecen medidas para proteger a la

infraestructura civil de la red de datos y por ende la información que se

encuentre en ella.

Para el esquema de red de la arquitectura de seguridad las capas se las incluyo

en 3 grupos:

Infraestructura (Hosts, Red Interna, Perímetro y Seguridad Física)

Aplicación

Servicios (Datos)

Estas capas o niveles son controlados por políticas, estándares y procedimientos

que velan por la mejora continua y dan las directrices para el correcto uso y

funcionamiento de los servicio de la Universidad de Guayaquil, todo esto va de la

mano con la capacitación constante y campañas internas sobre seguridad de la

información al personal que labora en la institución para concientizar lo valioso

que es la información en una organización.

Infraestructura Organizada

Para una correcta administración, es importante tener documentación actualizada

de la infraestructura de red, servicios y aplicaciones. Todos los sucesos, logs y

eventos deben de estar registrados y los mismos deben ser constantemente

auditados.

Se debe contar con un registro o documento del nivel de escalamiento el cual,

ayudara a mitigar y solventar los problemas de mejor manera. El mismo que debe

de contar con los nombres del colaborador de cada nivel, cargo, área o

aplicaciones de las cuales es responsable.

Políticas, Estándares y Procedimientos

Como institución, la Universidad de Guayaquil debe de contar con políticas de

seguridad basadas en estándares internacionales las cuales deben de ser

ajustadas a sus necesidades, aquí se indicaran todos los lineamientos que

deberán seguir el personal que confirma la institución. Dichas Políticas de

seguridad se irán aplicando según los procedimientos que tomen los encargados

de IT o como recomendación, un nuevo departamento o área de seguridad de la

información.

Concientización y capacitación a Usuarios

Los usuarios son considerados como la primera amenaza en una organización, es

de conocimiento general que la mayoría de organizaciones sufren robos,

sabotajes y alteraciones en su información. Sin embargo se pueden disminuir todo

este tipo de inconvenientes realizando campañas y/o capacitaciones acerca de la

seguridad de la información.

Cumplimiento

Es recomendable luego de la implementación de una arquitectura de seguridad

realizar auditorías e inspecciones periódicamente. Las auditorías deben ser

realizadas por una persona interna y por una persona o entidad externa la cual

validaran, medirán y corregirán todos los descuidos que ocurran en una

infraestructura tecnológica.

Presentación de la solución global de la Arquitectura de Seguridad

Análisis de la arquitectura de seguridad propuesta

El modelo de arquitectura de seguridad se concentra y se ajusta a la

infraestructura civil de División de Centro de Computo, con el fin de mantener la

administración centralizada. A continuación se analizara la arquitectura de

seguridad propuesta.

Infraestructura

Hosts: Se deben aplicar las configuraciones correctas a cada computador de la

Universidad de Guayaquil, tales como:

Habilitación de Firewall.

Instalación de Antivirus y actualización de definiciones de virus y spyware.

Comprobación de actualizaciones en el Sistema Operativo.

Configuraciones de correo electrónico y verificación de firma (si tuviere).

Instalación de Programas y Aplicativos según cada rol de los

colaboradores.

Limitación de opciones del Sistema Operativo.

Red Interna: Se toman a consideración las siguientes políticas:

Creación de Vlans.

Port Security.

Agregación de equipos por MAC Address.

QoS.

La autenticación de usuarios se controlara mediante un Directorio Activo con sus

servicios replicado en otro, para poder asegurar la autenticación de los usuarios a

sus computadores, tener siempre disponible la administración de las contraseñas,

directivas de grupo y sus privilegios.

La autenticación inalámbrica de la red administrativa se controlara por servidores

AAA, el cual controlara el acceso a los routers wi-fi restringiendo el acceso a

personas no autorizadas. La red inalámbrica para estudiantes será una red

totalmente libre con la diferencia de que esta red no tiene acceso a la red

administrativa de la UG.

Perímetro: Para este nivel se ha considerado la recomendación del uso de firewall

con contingencia de tal manera, balancea la carga y se asegura que las

conexiones entrantes y salientes estén siempre activas y disponibles. Además se

controlara con un firewall adicional las conexiones VPN hacia las extensiones y

facultades que están fuera de la Ciudadela Salvador Allende para no sobrecargar

los firewalls.

Se aplica también la implementación de un Proxy Http que controlara y filtrara el

contenido web gestionando de mejor manera el uso del servicio de internet

brindando los privilegios como lo requiera el rol de cada colaborador.

Se pone en consideración la implementación de una red DMZ, ubicando en la

misma los servidores públicos, además se adopta un servidor en modo Honeypot

con el fin de analizar y estudiar a los atacantes para así poder aprender y corregir

las vulnerabilidades.

Además se considera la puesta en marcha de un monitor de red el cual nos

permitirá mantenernos informados de todos los sucesos y acontecimientos que se

ejecutan en nuestra red interna como externa también un IPS para la prevención

y detección de intrusos.

Seguridad Física: Se establecen los controles por seguridad física, realizar un

informe y/o registro de entrada y salida de Data Center y cuartos de

comunicaciones en cada facultad de la ciudadela Salvador Allende, así evitamos

desastres y la confidencialidad e integridad de la información se mantendrán.

Se pone a consideración los accesos por biometría y la vigilancia permanente por

cámaras en circuito cerrado.

Aplicaciones: Para el acceso a las aplicaciones se utilizaran las funcionalidades

que nos brinda un Directorio Activo, utilizando de esta manera el mismo usuario y

contraseña evitando la perdida y olvido de los mismos. También se controlara el

acceso a las aplicaciones web internas mediante certificados digitales para los

usuarios externos, asi nos ayuda a cifrar las comunicaciones y firmar digitalmente.

Datos: La disponibilidad de los datos la aseguramos en este modelo con

servidores Backup en replica que tendrán la respaldada siempre disponible. Los

recursos compartidos estarán disponibles en un servidor de Storage el cual su

acceso será controlado también por el directorio activo.

Además los servidores de Base de datos para este diseño se recomienda que

tengan contingencia o réplica ya que, es vital para la operación diaria la

disponibilidad de los mismos.

Conclusión: El presente modelo de arquitectura cumple con las necesidades y

requerimientos inmediatos que la Universidad de Guayaquil en su ciudadela

universitaria “Salvador Allende” que por observación directa, carece de la misma.

Los controles y mecanismos de seguridad recomendados fortalecen a simple vista

las seguridades actuales, la misma que solo posee firewall y certificados digitales

para sitios web.

Propuesta Económica

De acuerdo a al estudio realizado a la infraestructura de la Ciudadela Salvador

Allende, se requiere la provisión de los siguientes equipos y licencias, esta

propuesta esta dimensionada en base a las características técnicas y software

(software libre queda a consideración por motivo de publicación de nuevos

productos) que requiere el diseño de arquitectura de seguridad propuesto

Numero de Parte Descripcion Cant. Precio Unitario Total

HP DL380p Gen8 E5-2630v2 Base US Svr

(1) Intel Xeon 6-Core E5-2630 v2 (2.6GHz) / 15MB L3 cache / 16GB

(1x16GB)

PC3L-12800R RDIMM / HP Ethernet 1Gb 4-port 331FLR Adapter / HP Smart

Array P420i/1GB FBWC Controller (RAID 0/1/1+0/5/5+0/6/6+0) / (8) SFF

SAS/SATA HDD bahias / (3) slots PCIe 3.0 / (1) 460W Fuente de poder CS

Platinum+ Hot Plug / (4) Ventiladores Hot Plug, Redundantes N+1 / Rack

(2U) / 3 años en piezas, mano de obra, on site

713985-B21 HP 16GB 2Rx4 PC3L-12800R-11 Kit 2 282,97$ 565,94$

715220-B21 HP DL380p Gen8 E5-2630v2 Kit 2 866,17$ 1.732,34$

652564-B21 HP 300GB 6G SAS 10K 2.5in SC ENT HDD 8 317,12$ 2.536,96$

U2GC1E HP 3y 24x7 DL38x(p) Foundation Care Service 2 413,82$ 827,64$

656362-B21 HP 460W CS Plat PL Ht Plg PS Kit DL360p/DL380p Gen8 Base 2 229,36$ 458,72$

TOTAL SIN IVA 13.278,59$




(1x16GB)













(1x16GB)











HP ProLiant DL360p Gen8 E5-2630v2 2 3.280,43$ 6.560,87$

HP 16GB (1x16GB) Dual Rank x4 PC3-12800R (DDR3-1600) Reg CAS-11 Memory Kit2 288,04$ 576,09$

HP 1TB 6G SAS 7.2K rpm SFF (2.5-inch) SC Midline 1yr Warranty Hard Drive4 573,91$ 2.295,65$

HP Smart Array P420i/1GB with FBWC (RAID 0/1/1+0/5/5+0/6/6+0) 2 -$ -$

HP 460W CS Plat PL Ht Plg Pwr Supply Kit 2 234,35$ 468,70$

HP Care Pack 3 Year (24 x 7) 4 Hour Onsite Foundation Care 2 410,87$ 821,74$



Synology DS216 (2 HDD WD RED 8TB 3.5) 2 3.065,00$ 6.130,00$


SERVIDORES DB Principal y Redundancia

SERVIDORES BackUp

SERVIDOR Active Directory, AAA Server y Cert Server

704559-001 1 3.578,49$ 3.578,49$

SERVIDOR 1 Web, FTP, Sistema Academico SERVIDOR 2 REDUNDANCIA Web

704559-001 2 3.578,49$ 7.156,99$

SERVIDOR Firewall, IPS, Honeypot y Network Monitor

704559-001 1 3.578,49$ 3.578,49$

En el valor total no se considera el costo de la implementación (puesta en marcha)

por lo que se considera que por factores de seguridad lo realice el personal de TI

interno de la UG.


HP ProLiant DL160 Gen9 E5-2603v3 1P 8GB-R B140i 4LFF 550W

PS Entry Server 21.251,09$ 2.502,17$

HP 8GB 1Rx4 PC4-2133P-R Kit 2 183,70$ 367,39$

HP 300 6G SAS 7.2K 3.5in SC MDL HDD 4 210,00$ 840,00$

HP H240 Smart HBA 2 183,70$ 367,39$

HP DL160 Gen9 4LFF w/ H240 Cbl Kit 2 22,83$ 45,65$

HP Server RPS Backplane Kit 2 170,65$ 341,30$

HP 800W/900W Gold AC Power Input Module 2 116,30$ 232,61$

HP 3y 24x7 DL160 Gen9 FC SVC 2 394,57$ 789,13$



Windows Server Estándar 2012: WinSvrStd 2012R2 SNGL OLP NL 2Proc 5 979,78$ 4.898,89$

Sql Server Estandar 2012 por Core: SQLSvrStdCore 2014 SNGL OLP 2Lic NL CoreLic Qlfd2 3.981,00$ 7.962,00$



Sangoma AFT card four T1/E1 PCI-Express w/hw echo canceller 1 3.000,00$ 3.000,00$



ESET Endpoint Antivirus ‐ Incluye Mantenimiento por 1 año 1500 36,00$ 54.000,00$



VMware vSphere 5 Essentials Kit for 3 hosts (Max 2 processors per host) 3 592,11 1776,33

Subscription only for VMware vSphere 5 Essentials Kit for 1 year 3 87,47 262,41


117.994,31$

TARJETA TELEFONIA

SERVIDOR 1 Firewall Redundancia, Consola Antivirus VPN SERVIDOR 2 PBX

ANTIVIRUS

LICENCIAMIENTO VMWARE

VALOR TOTAL SIN IVA

LICENCIAS MICROSOFT

ANEXO N° 3 – ENCUESTA A ESTUDIANTES

DE LA UNIVERSIDAD DE GUAYAQUIL


FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN NETWORKING

ENCUESTA

Objetivo: Obtener información sobre su opinión sobre la aplicación de un diseño

de arquitectura de seguridad para la red de datos de la Universidad de Guayaquil

en la Ciudadela Universitaria “Salvador Allende”

Instrucciones

Para la resolución de este cuestionario, escriba el número que corresponde en la

casilla del lado derecho. Por favor conteste de manera franca y honesta, su

identidad en la presente quedara en el anonimato.

I. INFORMACIÓN GENERAL (Sírvase señalar el número que corresponde)

Condición del informante

1. Edad del Encuestado:

1.- 18 20 años

2.- 21 25 años

3.- 26 30 años

4.- 31 35 años

5.- 36 50

2. Sexo:

1. Hombre

2. Mujer

II. INFORMACIÓN ESPECÍFICA

Totalmente de acuerdo, 2. De acuerdo, 3. Indistinto, 4. En desacuerdo, 5.


ESCALA VALORATIVA

INDICADORES

TA

1

DA

2

I

3

ED

4

TD

5

3. ¿Considera Ud. que es totalmente confiable y seguro

el acceso a los sistemas de la UG (Universidad de

Guayaquil)?

4. ¿Cree Ud. de los servicios tecnológicos y la

información de la UG deben estar siempre disponibles?

5. ¿Considera Ud. que es de vital importancia la

protección de la información de los sistemas de la UG

como los de matriculación, sistemas académicos,

financieros, etc.?

6. ¿Considera Ud. que los servicios tecnológicos de la

UG deben ser administrados por personal especializado

y constantemente capacitado?

7. ¿Cree Ud. que el servicio de internet que provee la UG

a los estudiantes y docentes debe ser exclusivo para

actividades académicas?

8. ¿Cree Ud. que se deben de establecer controles para

que los usuarios (docentes, personal administrativo y

estudiantes) no modifiquen datos de los sistemas de la

UG en general de un modo no autorizado?

9. ¿Considera Ud. que los mecanismos de seguridad de

la información implementados actualmente en la UG son

eficaces y eficientes para la protección de los datos y

garantizan la continuidad del servicio?

10. ¿Cree Ud. que la implementación de una arquitectura

de seguridad para la red de datos de la Cdla Salvador

Allende solvente las falencias de disponibilidad de sus

servicios tecnológicos, mitigue las vulnerabilidades y

proteja la información de la UG de terceros?

ANEXO N° 4 – ENCUESTA A PERSONAL DE

TI DE LA UNIVERSIDAD DE GUAYAQUIL


FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN NETWORKING

ENCUESTA

Objetivo: Obtener información sobre su opinión sobre la aplicación de un diseño

de arquitectura de seguridad para la red de datos de la Universidad de Guayaquil

en la Ciudadela Universitaria “Salvador Allende”

Instrucciones

Para la resolución de este cuestionario, escriba el número que corresponde en la

casilla del lado derecho. Por favor conteste de manera franca y honesta, su

identidad en la presente quedara en el anonimato.

III. INFORMACIÓN GENERAL (Sírvase señalar el número que corresponde)

Condición del informante

1. Edad del Encuestado:

1.- 18 24 años

2.- 25 34 años

3.- 35 44 años

4.- 45 54 años

5.- 55 - años en adelante

2. Sexo:

1. Hombre

2. Mujer

IV. INFORMACIÓN ESPECÍFICA

1. Totalmente de acuerdo, 2. De acuerdo, 3. Indistinto, 4. En desacuerdo, 5.


ESCALA VALORATIVA

INDICADORES

TA

1

DA

2

I

3

ED

4

TD

5

3. ¿Considera Ud. que es necesaria la capacitación y

certificación continua en criterios de seguridad de la

información de los directores y/o encargados de los

departamentos de cómputo de cada una de las

facultades de la UG?

4. ¿Cree Ud. que los docentes del área IT deban

promover proyectos de tecnologías de seguridad de la

información para fortalecer la infraestructura de la UG?

5. ¿Cree Ud. que es de vital importancia que la

administración de las seguridades sea totalmente

centralizada en la División Centro de Computo de la UG?

6. ¿Considera Ud. que es totalmente confiable y seguro

el acceso a los sistemas de la UG?

7. ¿Cree Ud. que la pérdida, robo, sabotaje y alteración

de la información tiene un impacto muy grave sino se

aplican criterios de seguridad de la información en la UG?

8. ¿Considera Ud. de los servicios tecnológicos y la

información deben estar siempre disponibles?

9. ¿Considera Ud. que la Universidad de Guayaquil

debería tener una arquitectura de seguridad de la

información en su red de datos?

10. ¿Cree Ud. que es necesaria la evaluación de los

riesgos en la infraestructura, servicios y aplicaciones de

la Universidad de Guayaquil?

11. ¿Considera Ud. que es importante la aplicación de

medidas de control de riesgo ante problemas de

continuidad del servicio tecnológico o ante problemas de

robo/perdida de la información?

12. ¿Cada cuánto tiempo se actualiza o se adquiere equipamiento tecnológico?

1. Cada 3 años

2. Cada 5 años

3. Cada 10 años

4. 11 años en adelante

13. ¿Indique los mecanismos de seguridad de la información recomendaría para

su área a cargo?

1. Firewall

2. Uso de certificados digitales

3. Control de la Autenticación de usuarios

4. Soluciones AntiMalware

5. Soluciones de Respaldo de Información

INFORMACIÓN COMPLEMENTARIA

14. Años de ejercicio en IT del encuestado

1. 1- 10 años

2. 11-20 años

3. 21-30 años

4. 31-40 años

5. 41- en adelante

15.- Titulo del encuestado

1. Ingeniero (a) Sistemas / Computación / Estadística Informática

2. Licenciado (a) Sistemas / Computación / Estadística Informática

3. Ingeniero (a) Otras especialidades

4. Grado de Maestría

5. Doctor (a)

6. Otro

ANEXO N° 5 – CHECKLIST DE

LEVANTAMIENTO DE INFORMACION

Seguridad en las instalaciones:

¿Los puntos de acceso civil están asegurados?

SI NO Acción Requerida

Puertas/Portones

Casilleros

Ventanas

Salidas de emergencia

¿La institución está vigilada?


Porteros

Servicio de seguridad física

Sistema de Alarma

Sistema de Video vigilancia

Control de acceso a determinado grupo de personas a las zonas

especiales o restringidas


Se lleva un control de acceso a los edificios de las facultades o al menos

una parte de los mismos?


Archivo

Contabilidad

Caja chica

Cajas de seguridad

Data Centers/Cuarto de

Comunicaciones

El material critico se desecha de forma segura


Datos Contables

Logs, capturas de pantalla

Documentación impresa en

general

Computadores y piezas

Disponen de medios de almacenamiento?


Flash Drives

Discos Duros

CD, DVD

Tapes / Cintas Magnéticas

Otros

Red Interna / WLAN

¿Ud. labora dentro de la red interna

de la UG?

SI NO

¿Cuál sistema operativo utiliza? SI NO

Windows

Linux

UNIX

OSx

¿Tiene documentación?


Puntos de Red

Terminales de trabajo

conectadas

Impresoras

Esquema de la red

Otros dispositivos

Redes Wireless / WLAN

Cual tipo:


Control de acceso /

encriptación

¿Como se controla el acceso/conexión a la red?


Switch / patch panel

MAC Addresses

Encriptación

Como se controla la conexión de dispositivos/equipos a la red?

Abierto Controlado Acción Requerida

Activar Ordenadores

Creación de usuarios y

aprobación de dispositivos

¿Tiene documentación acerca de la arquitectura y los componentes de la

red?


Documentación Actualizada

Roles y Responsabilidades

Definidas

Copia de seguridad de datos / Protección de datos / Copia de Documentos

Originales

Cuantos Computadores Utilizan

Tipo/Fabricante

Sistema Operativo

¿Tiene un servidor de archivos centralizado?

Tipo/Fabricante:

Sistema Operativo:

Empleado Tercero Desconocidos

Instalación del servidor

¿Cronogramas?

Configuración Documentada

¿Son redundantes los dispositivos de almacenamiento masivo?

SI NO Acción Requerida /

Planificación

RAID

Servidor en Espejo

Backup / Servidor de Pruebas

¿Dónde se almacenan los documentos en papel?


Planificación

Oficina

Archivo

Fuera de las dependencias

¿El personal administrativo esta capacitado para almacenar los datos en

el servidor de archivos?


Planificación

¿Usan dispositivos externos?


Planificación

USB

CD

DVD

Servidor de Documentos

¿Cómo se puede archivar datos electrónicos?


Planificación

Oficina

Archivo

Fuera de las dependencias

¿Está el control de acceso para archivos y datos en su lugar?


Planificación

Usuario / Contraseña

Carpetas publicas/ privadas

Control del acceso a la BD

Otros

Responsabilidad de control de

acceso definida

Administración del acceso /

usuario / contraseña definidas

Comprobación del

cumplimiento de directivas

Copia de seguridad de datos

de las aplicaciones

Actividades Cotidianas

Mensuales

Raramente

Respaldo de aplicaciones

Aplicaciones standard

adquiridas

Aplicaciones personalizadas

adquiridas

Aplicaciones desarrolladas

internamente

¿Cómo están respaldados los

datos?

Aplicaciones Standard

Aplicaciones de Respaldo

Sistemas desarrollados

internamente

¿Existe una copia de

seguridad informática?

Responsabilidad de copia de

seguridad definida

Respaldo de datos

comprobados

Documentación disponible

¿Cuáles son los medios de

respaldo que utilizan?

Discos

Tapes

CD/DVD

External drives/ Discos Duros

removibles

Realiza copias de seguridad

en servidores externos a

través de una conexión segura

a internet

Realiza copias de seguridad

en unidades extraíbles

Almacenamiento externo de

medios de copia de seguridad

Acceso a las copias de

seguridad externas

Se etiqueta los medios de

copia de seguridad

Sobrescribe los medios de

copia de seguridad de acuerdo

a un horario

Respaldo externo disponible

Acceso a los medios

originales

Se registra el acceso a los

medios originales

Instalación de medios

originales

Software Licenciado

Compatible con nuevo

hardware

Comprobación de los

acuerdos de licencia

Existe una revisión regular

Existe una actualización

programada de la

documentación

Copias de seguridad de más

de 12 meses

Pueden todavía ser leídas

Son probadas con regularidad

Son copiadas en nuevos

medios

Se autoriza el uso de los

medios de almacenamiento

portátiles como memorias

USB o discos duros

extraíbles?

¿Tiene un plan de

emergencia?

El plan de emergencia es

probado con regularidad

ANEXO N° 6 – MODELO DE POLITICAS DE

SEGURIDAD PARA LA UNIVERSIDAD DE

GUAYAQUIL


POLÍTICAS DE SEGURIDAD DE LA

INFORMACIÓN

Asunto: Estas políticas de seguridad se proporcionan a todos los miembros de la

comunidad universitaria para establecer requisitos para cada individuo a seguir

con el fin de salvaguardar la académica de la universidad y recursos de

información administrativa.

I. ALCANCE

La Universidad de Guayaquil (UG) lleva a cabo una parte significativa de sus

operaciones a través de una red de computadoras cableada e inalámbrica. La

confidencialidad, integridad y disponibilidad de los sistemas de información, las

aplicaciones y los datos almacenados y transmitidos a través de estas redes son

fundamentales para la reputación y el éxito de la universidad. Los sistemas

informáticos de la UG y los datos se enfrentan a un sin número de amenazas que

siempre están actualizándose.

La UG se compromete a proteger sus sistemas y datos de estas amenazas, y por

lo tanto ha adoptado los siguientes objetivos para lograr un razonable grado de

seguridad de tecnología de la información:

Permitir que todos los miembros de la comunidad universitaria puedan

lograr su objetivo académico o de trabajo administrativo a través del

uso de una tecnología segura, eficiente y ambiente fiable.

Proteger la información académica, administrativa y personal de las

actuales y futuras amenazas se debe salvaguardar su confidencialidad,

integridad y disponibilidad.

Establecer políticas y procedimientos adecuados para proteger los

recursos de información del robo, abuso, mal uso, o cualquier forma de

daño significativo al tiempo que permita a los miembros de la

comunidad a cumplir con sus funciones.

Establecer la responsabilidad y la rendición de cuentas de seguridad

de tecnología de la información dentro de la institución.

Fomentar y apoyar a la gestión, del profesorado, del personal y de los

estudiantes para mantener un adecuado nivel de conciencia,

conocimientos y habilidades que les permitan minimizar la aparición y

gravedad de los incidentes de seguridad de tecnología de la

información.

Asegurar que la universidad es capaz de responder eficazmente a,

contener y tratar significativamente los incidentes de seguridad,

mientras que es capaz de continuar su instrucción, investigación y sus

ocupaciones administrativas.

No hay ningún interés por parte de la universidad para coartar la libertad

académica o el habla personal derechos, ni para supervisar o realizar un

seguimiento de la conducta personal por razones no relacionadas con las

operaciones técnicas o el cumplimiento de estas políticas. Los procedimientos

automatizados se utilizan para evaluar y procesar potencialmente una

actividad relevante, lo que limita el grado de participación del personal

individual.

II. DECLARACIÓN DE POLÍTICA

Los sistemas de comunicación, de la información y los recursos son activos

esenciales de la UG. Todas las comunidades son responsables de asegurar que

las instalaciones de computación y comunicación se utilizan de manera eficaz, de

manera eficiente, ética y legal.

Si bien es cierto, estas políticas se identifican con muchos roles y

responsabilidades para salvaguardar los recursos de información; no pueden

posiblemente cubrir todas las situaciones o futuros desarrollos. Por lo tanto, esto

debe ser considerado un "documento vivo '' que será modificado o cambiado como

requieren las necesidades. Será revisado en al menos una vez al año para las

correcciones y para garantizar el cumplimiento de las normas y reglamentos

vigentes.

III. DEFINICIONES

El acceso a la red requiere de una relación autorizada con la universidad,

normalmente se demuestra la existencia de credenciales actuales dentro de

los sistemas. Además, los usuarios deben:

Estar de acuerdo en cumplir con todas las políticas aplicables.

Cooperar con el proceso de registro de cada dispositivo que se utiliza

para el acceso a la red, incluyendo computadoras de escritorio y

portátiles, smartphones y estaciones de conexión.

Familiarizarse con los procedimientos de operación y requisitos únicos

de los dispositivos y aplicaciones de software que utilizan.

Los dispositivos interconectados a la Red: Para que un dispositivo para

comunicarse con el Internet o en otros dispositivos unidos a la red de la UG,

se debe en primer lugar:

Estar asociado con una persona autorizada.

Las características de los dispositivos estén registradas en una

base de datos de identificación el mismo que debe ser

examinado de forma automática (y modificado si es necesario)

para garantizar el cumplimiento de estos políticas

Esto proporcionará una seguridad razonable el dispositivo registrado está

controlado y contantemente monitoreado, si no se tomaran estas consideraciones

se podría generar a la interrupción de la red o la exposición de información

sensible, y establece una medida de la responsabilidad individual.

IV.POLÍTICA

A. APLICACIÓN

Estas políticas se aplican a todos los miembros de la comunidad universitaria,

incluyendo estudiantes, profesores, personal, proveedores, voluntarios,

contratistas, consultores y cualquier otra persona que tenga el acceso a la UG de

información o de recursos tecnológicos institucionales.

Estas políticas se aplican a todos los recursos del sistema de información

electrónica de la UG, incluida hardware y software de tecnología de propiedad,

arrendados, o licenciados. Esto incluye hardware y software utilizado para

procesar, almacenar, recuperar y visualizar y transmitir representaciones

electrónicas de datos, voz y contenido de video.

Los equipos de propiedad personal también están cubiertos si se utiliza para

procesar información institucional de la UG o están conectados, directa o

indirectamente, a la red de la UG. La Universidad no accede o modifica el software

o la información almacenada en el equipo de propiedad personal sin el permiso

del propietario; Sin embargo, el acceso a la red de la UG puede ser negado o

limitado a menos que estas políticas se cumplan plenamente.

B. SEGURIDAD Y RESPONSABILIDADES

La Seguridad de la tecnología de la información es la responsabilidad de todos los

estudiantes, profesores y personal administrativo. Cuando una persona manipula

la información o utiliza los recursos de información de la universidad se espera

que observe estas políticas y procedimientos de seguridad de tecnología de la

información, tanto durante como, después de su estancia en la universidad.

C. NORMAS

El entorno tecnológico de la Universidad de Guayaquil es una red compartida y de

recursos limitados sujetos tanto al abuso malicioso y no deseado. Los sistemas

de computación y otros dispositivos especializados tienen la potencial de introducir

riesgos de seguridad, sobre todo cuando están unidos comunicándose por una

red. Para mitigar el riesgo, se deben considerar las normas para la gestión y la

seguridad de las aplicaciones, estaciones de trabajo, servidores, dispositivos de

red y servicios de terceros se han desarrollado.

Como nuevos equipos o aplicaciones se introducen en el medio ambiente, una

evaluación de riesgos debe llevarse a cabo para garantizar el cumplimiento de

estas normas antes de su uso en la red. Los auditores internos y externos de la

universidad harán periódicamente realizar revisiones de cumplimiento y prueba de

vulnerabilidades en los sistemas de propiedad de la universidad y en las redes

para asegurar que los sistemas y las aplicaciones se actualizan a medida que las

nuevas vulnerabilidades son descubiertas y las amenazas son reveladas.

D. REQUISITOS

General

1. Nombres de usuarios y contraseñas de red

Controles de acceso lógicos pueden o no desalentar el acceso no autorizado a

recursos de información y ayudan a garantizar la responsabilidad individual. Por

lo tanto, los usuarios individuales deben ser identificados y se les otorga los niveles

adecuados de acceso a dispositivos de red por medio de un nombre de usuario

único, junto con una contraseña o alguna otra forma de proceso de autenticación

segura. Un único nombre de usuario está obligado a establecer la responsabilidad

individual en los registros de auditoría, etc. Por esta razón, un usuario genérico o

un ID de grupo no se permiten.

Las contraseñas de fabricantes por defecto deben ser cambiados.

Las contraseñas de repuesto deben de estar compuestas de acuerdo con la

siguiente convención de nomenclatura:

Las contraseñas deben tener al menos ocho (8) caracteres de longitud y

se compone de letras y números.

Las contraseñas no se pueden repetir en el último año.

Las contraseñas deben cambiarse con frecuencia, pero están obligados a

cambiar cada noventa (90) días.

2. Verificación segura de Nombre de Usuario y Contraseña

Bajo ciertas condiciones, es posible espiar el tráfico de red. Para esta

razón, todos los procedimientos de autenticación deben de utilizar un nombre de

usuario y contraseña. Los sistemas de autenticación de contraseña deben utilizar

un mecanismo de cifrado. Esto significa que se deben aplicar cualquiera de las

versiones de cifrado en los servicios populares tales como correo electrónico,

transferencia de archivos y conexión con redes externas; se pueden usar

programas de acceso.

3. Servicio a Terceros

Cuando se utiliza un tercero para proporcionar servicios o para almacenar datos

o requisitos de seguridad se debe considerar y formar parte de los acuerdos

contractuales. Tal proveedor acuerdos debe incluir salvaguardias adecuadas para

la seguridad de la universidad, su información, recursos y los derechos de

auditoría. Los proveedores y contratistas independientes sólo pueden tener

acceso al mínimo privilegio necesario para llevar a cabo las tareas para las que

han sido retenidas. Los proveedores deben cumplir con todas las políticas y

prácticas aplicables de la UG. El acceso de proveedores debe ser único de

identificación. Las principales actividades de trabajo del proveedor deben ser

registrados e incluyen tales eventos como cambios de personal, cambios de

contraseña, hitos alcanzados, entregables, y los tiempos de llegada y salida.

A la salida de un empleado del proveedor, el proveedor debe estar obligado a

devolver o destruir toda la información sensible, y entregar todas las tarjetas de

identificación de la UG, el acceso tarjetas, equipos y suministros inmediatamente.

Hardware (todos los dispositivos conectados a la red)

1. Registro de dispositivos

Cada dispositivo debe estar registrado en el primer uso, y vuelve a registrar a la

frecuencia vigente en ese momento para el tipo de usuario. Para registrar un

dispositivo, el usuario debe proporcionar el control de acceso al medio de red único

(MAC) identificador de hardware asignado a la dispositivo por su fabricante, la red

de la UG validara el nombre de usuario y la contraseña. Esta la función se lleva a

cabo por el sistema de control de acceso de red.

2. La asignación de identificadores de red

Con el fin de garantizar un funcionamiento de red fiable, todos los dispositivos

deben estar configurados para aceptar el Protocolo de Internet asignado (IP)

dirección numérica y otros parámetros de red que se asignan de forma automática

cada vez que se establece una conexión de red.

3. Equipo de eliminación

La información administrativa es probable que se presente en medios de

almacenamiento asociados con equipos obsoletos o excedentes destinados a la

eliminación.

Por lo tanto, el equipo de tecnología de propiedad de la Universidad debe ser

desechado por el departamento de tecnología que gestiona los activos de la

universidad.

4. Servidor de Registro

Si un dispositivo de red presta servicios a múltiples usuarios, existen

requisitos de registro adicionales, como permitir que los sistemas externos para

iniciar conexiones a un sistema universitario, aumenta el riesgo de la universidad

a las amenazas de Internet. Afuera de la red los sistemas no pueden lograr con

éxito este tipo de conexiones a menos que el sistema universitario es

redireccionado públicamente, es decir, tiene una Dirección Pública de Internet.

5. Configuración de seguridad

Los departamentos y unidades administrativas son responsables de garantizar la

seguridad de los sistemas de acceso público en su departamento. Ellos

desarrollarán y administraran sus propios procedimientos locales para establecer

configuraciones de seguridad.

Software

1. Anti-Virus Software

Los ordenadores infectados con virus o código malicioso pueden poner en peligro

la información seguridad de la tecnología al contaminar, dañando y destruyendo

datos. Por lo tanto, software antivirus debe estar instalado y funcionando con la

lista más actualizada de definiciones de virus. La universidad debe de haber

licenciado el software antivirus para su uso por todos los estudiantes, profesores

o personal de uso de la red.

2. Firewall Software

Todos los ordenadores personales deben utilizar el software de servidor de

seguridad configurado según las directrices de la UG.

3. Software con licencia

El software instalado en cualquier sistema informático de la UG debe estar

legalmente autorizado. Las auditorías podrán llevarse a cabo en cualquier

momento para asegurar este objetivo. Jefes de departamento de la UG son

responsables de garantizar que ningún software de uso de licencia en su

departamento supera niveles de compra y arreglos para copias con licencia

adicionales cuando sea necesario para apoyar las actividades institucionales o

administrativas.

4. Actualización de Software

Todos los parches de seguridad disponibles en la actualidad para los sistemas

operativos y aplicaciones software deben ser instalados.

5. Punto final "chequeo”

Se requiere que todos los ordenadores conectados a la red de la UG se sometan

a una evaluación automatizada para determinar si ciertos ajustes de software y

aplicaciones están correctamente instalado y en funcionamiento. Como resultado

de esta evaluación, el usuario puede requerir la instalación de software nuevo o

volver a configurar el software existente antes de acceder a la red ilimitada. El

acceso a los recursos de Internet es necesario para llevar a cabo las

actualizaciones requeridas. La universidad no puede acceder o modificar el

software o información almacenado en el equipo de propiedad personal sin

permiso del propietario; ahora bien, acceso a la red de la UG puede ser negada o

limitada a menos que estas políticas son cumplido en su totalidad.

6. Transmisión de datos segura

Cuando los empleados están trabajando en un lugar fuera del campus y con

conexión remota a sistemas de la red UG, se debe utilizar un canal de

comunicación cifrado para proteger la confidencialidad de los nombres de usuario,

contraseñas, los registros que contienen o información de carácter legal y

personal. Esto también es necesario cuando se utiliza la red inalámbrica en el

campus.

Un enlace de comunicación cifrado de propósito general se puede lograr a través

del uso de la tecnología "red privada virtual (VPN)". Cuando se esté utilizando la

tecnología VPN de la UG con el equipo personal, los usuarios deben entender que

sus máquinas están actuando como una extensión de la red de la UG, y como

tales están sujetos a las mismas reglas y regulaciones que se aplican a la

propiedad del equipo.

7. Almacenamiento de datos seguro

La información personal debe ser almacenada dentro de los sistemas

universitarios utilizando un método aprobado de cifrado para ayudar a proteger los

datos en caso de no autorizada acceso. Este requisito es especialmente

importante cuando la información se almacena en dispositivos portables y

smartphones.

E. Prácticas Prohibidas

1. Actividades Generales

Los usuarios no pueden participar en ningún propósito ilegal o transmitir material

en violación de las leyes locales, el estado o las leyes o reglamentos de la

Universidad de Guayaquil. Los usuarios no deben involucrarse a propósito en la

actividad que pueda acosar, amenazar o abuso de los demás; degradar el

rendimiento de los recursos de información; privar a un usuario autorizado a

acceder a un recurso de la tecnología; o intentar eludir las medidas de seguridad

de la UG.

Los usuarios no deben intentar acceder a datos o programas contenidos en los

sistemas universitarios para los que no tienen autorización o consentimiento

explícito, y no pueden compartir cuenta (s), contraseñas, tokens de seguridad, o

información similar o dispositivos utilizados para con fines de identificación y

autorización.

Los usuarios no deben realizar ninguna acción que viole los códigos de conducta

de la universidad, política de integridad académica, Manual Personal de Políticas,

Manual de Facultad, tecnología de la información las políticas de seguridad u otras

políticas aplicables de la ley en el caso de conflicto entre las políticas, la política

más restrictiva regirá.

2. Uso Comercial

Los recursos de tecnología de la UG no pueden ser utilizados para solicitudes, con

fines comerciales, o cualquier actividad de negocio para las personas, grupos u

organizaciones sin previo el permiso. Tenga en cuenta que esta política no se

aplica a la promoción de trabajos académicos por los profesores.

3. Derechos de autor y Software Ilegal y Materiales

Los usuarios tienen prohibido hacer o usar copias ilegales de materiales con

derechos de autor o software. Esto incluye la descarga ilegal de software y los

materiales de la Internet. No hay copias ilegales de tales materiales o software

pueden almacenarse en la universidad sistemas o transmiten a través de las redes

universitarias. Los usuarios no pueden copiar el software aplicaciones de un PC a

otro, a menos permitidos legalmente.

4. Correo Electrónico

Las siguientes actividades están prohibidas, ya que impiden el funcionamiento de

sistemas de correo electrónico y puede exponer datos confidenciales de acceso

no autorizado:

Enviar o reenviar mensajes en cadena.

El envío de mensajes no solicitados a grandes grupos, excepto cuando sea

necesario para cumplir con la misión académica o administrativa de la

universidad.

Envío excesivamente grandes (por ejemplo, más de 30 millones de

caracteres) o numerosos mensajes (por ejemplo, más de 1.000), excepto

cuando se coordina en avanzar con el encargado de IT para enviar o

reenviar correo que contiene virus informáticos intencionalmente.

Enviar, reenviar o recibir confidencial o sensible académico o información

administrativa a través de la UG, cuentas de correo electrónico, que es el

correo electrónico proporcionada por los proveedores de servicios de

Internet, como Yahoo, AOL, etc

5. Red de Monitoreo

Los usuarios no pueden realizar análisis de red en busca de otros dispositivos

conectados, ni realizar cualquier forma de supervisión de red que intercepte datos

no destinados a la computadora del usuario, a menos que esta actividad es una

parte del trabajo normal de un empleado autorizado. Los usuarios no tienen que

descargar, instalar o ejecutar programas diseñados para revelar o explotar

debilidades en la seguridad del sistema, tales como los programas de

descubrimiento de contraseñas, captura de paquetes, o escáneres de puertos.

6. Server y Operaciones de Red

A menos que se reciba autorización específica de los encargados, los usuarios o

departamentos individuales no deben operar DHCP, DNS, proxy, correo

electrónico, acceso remoto, o compartir la conexión servidores. Los usuarios no

pueden implementar servidores individuales o departamentales para nada que no

sea con fines académicos. Ejemplos de servidores prohibidos podrían incluir la

música y los sistemas de intercambio de vídeo y servidores de juego.

Proveedores de DNS externos pueden no ser causado a publicitar los servicios en

las direcciones de red de la UG. Los usuarios o departamentos no deben instalar

los componentes individuales de la red, tales como switches, routers, o

inalámbrica puntos de acceso o alterar cualquier cableado de red. Sin embargo,

los dispositivos de concentrador de cableado son permitidos.

7. Comunicación inalámbrica

Instalación, ingeniería, mantenimiento y operación de redes de cable e

inalámbricas sirviendo profesores universitarios, personal o estudiantes de

cualquier propiedad o arrendada por la universidad son de exclusiva

responsabilidad del encargado de IT.

F. EJECUCIÓN

Las violaciones de esta política deben ser reportadas al Director de Centro de

Computo que investigará el incidente y tomar las acciones correctivas apropiadas.

Acciones correctivas podrían incluir, sin limitación, las siguientes:

Posesión temporal o permanente de los privilegios de accesos

universitarios recibirán sanciones según lo prescrito por los estudiantes,

los códigos de conducta, facultad, o del personal, incluyendo el despido o

expulsión de la universidad.

Reembolso monetario a la universidad o fuentes apropiadas por el

enjuiciamiento bajo las leyes civiles aplicables.

La universidad podrá adoptar cualquier acción es necesaria para investigar y

violaciones de dirección de políticas, incluyendo temporal o permanentemente

terminar acceso a la red.

Con el fin de garantizar el funcionamiento de las políticas se debe:

Monitor de tráfico de red para la detección de actividad.

Ver o escanear cualquier archivo o software almacenado en los sistemas

universitarios o transmitida por redes universitarias.

Realizar y revisar los resultados de los análisis de seguridad basados en

la red de los sistemas automatizados y los dispositivos de la red de la

universidad con el fin de detectar las vulnerabilidades conocidas o equipos

comprometidos.

Informe recurrentes vulnerabilidades más de varias exploraciones a la

cabecera departamental u otro gerente apropiado.

Tomar medidas para desactivar el acceso a la red a los sistemas o

dispositivos afectados si se identifica la seguridad vulnerabilidades

consideradas como un riesgo importante para los demás se han reportado.

Actuar de manera unilateral para contener el problema, hasta e incluyendo

los sistemas o dispositivos de aislamiento desde la red (aunque primero se

hizo todo lo posible para buscar la cooperación de la usuario o contacto

apropiado para el sistema involucrado).

Coordinar las investigaciones sobre las supuestas concesiones de

ordenador o de seguridad de red o incidente de seguridad.

Colaborar en la identificación y persecución de actividades contrarias a la

universidad. políticas o requisitos legales. Acciones se tomarán de acuerdo

con el correspondiente políticas universitarias, códigos y procedimientos

con, en su caso, la participación. de la agencias de la oficina, de la Policía

Nacional, y la aplicación de la ley.

G. ACCESO A LOS REGISTROS DE LA UNIVERSIDAD

La universidad ofrece un acceso limitado a los datos académicos y administrativos

a aquellos cuya responsabilidades educativas o administrativas así lo requieran

para llevar a cabo su función de trabajo.

Los múltiples niveles de acceso que existen son generalmente determinados por

la naturaleza de la posición celebrada en lugar de por el individuo. Esta práctica

ayuda a garantizar que las restricciones de acceso a datos son consistentes y con

base en las consideraciones legales, éticas y prácticas. La universidad espera

todos los custodios de sus registros académicos y administrativos para acceder y

utilizar esta información de manera consistente con las necesidades de la

universidad para la seguridad, la integridad y confidencialidad. Cada unidad

funcional de la universidad debe desarrollar y mantener clara y procedimientos

consistentes para el acceso a los datos académicos y administrativos dentro de

su área de responsabilidad y de acceso opinión niveles y procedimientos

regularmente. Tenga en cuenta que no hay nada en estos políticas impide o

direcciones de la publicación de los datos institucionales a organizaciones

externas o agencias gubernamentales como lo requiere la legislación, regulación

u otro vehículo legal.

1. Acceso a los Derechos y Responsabilidades

Derechos de acceso para ciertas aplicaciones se asignan automáticamente según

la función.

Otros, como los del sistema de SIUG requieren la intervención de rectorado para

mantener la seguridad adecuada. Los jefes de departamento deben garantizar que

sus representantes mantienen sólo los privilegios de acceso necesarios para el

desempeño de sus funciones oficiales de trabajo.

Los usuarios sólo pueden acceder, cambiar o eliminar datos según sea necesario

en cumplimiento de asignado deberes universitarios. Los siguientes ejemplos de

comportamientos prohibidos son ilustrativos, no exhaustivo:

No cambie los datos acerca de usted mismo u otras personas por razones

distintas de lo habitual fines administrativos.

No utilizar la información (incluso si está autorizado para acceder a ella)

para apoyar las acciones de que los individuos podrían beneficiarse (por

ejemplo, un cambio en la facturación, asignaciones de cupo, un mejor

calificación en un curso, la ayuda financiera, los permisos, cuenta de

estudiante).

No revelar información sobre las personas sin supervisor antes

autorización.

No participe en cualquier tipo de análisis de datos no autorizadas (por

ejemplo, el seguimiento de un patrón de aumentos salariales; determinar

la fuente y / o destino de llamadas de teléfono o direcciones de protocolo

de Internet; la exploración de datos personales).

No eludir la naturaleza o el nivel de acceso a los datos dado a los demás

por proporcionar acceso de datos o conjuntos que son más amplias que

las disponibles para ellos a través de sus propios niveles aprobados de

acceso (por ejemplo, proporcionando un conjunto de datos de toda la

universidad de información de recursos humanos a un compañero de

trabajo que sólo se ha aprobado el acceso a un solo departamento de

recursos humanos).

No facilitar la otra es el acceso ilegal a los sistemas administrativos de la

UG o poner en peligro la integridad de los sistemas o datos al compartir

sus contraseñas u otra información.

No violar las políticas universitarias o, estatales, o leyes locales federales

en el acceso, manipular, o divulgar datos administrativos universitarios.

No conocer los datos institucionales a los departamentos internos,

externos organizaciones o agencias gubernamentales sin la aprobación

previa de su supervisor.

No copiar para uso personal cualquier documento universitario salvo

autorización.

No recuperar, ver o examinar cualquier documento o archivo universitario,

excepto aquellas a las que se le da el acceso o de otra manera autorizada

para manejar.

Se buscará la aplicación de estas directrices como se indica en la sección F de

este documento.

2. Privacidad

Todos los archivos creados o mantenidos en las computadoras de propiedad

universitaria o almacenada dentro sistemas de propiedad de la universidad están

sujetos a las políticas de privacidad de la universidad. Aunque el acceso a archivos

se limita a los destinados a tenerlo, funcionarios universitarios autorizados pueden

examinar el contenido de todos los archivos y registros operacionales mantenidos

en propiedad de la universidad.

Aunque no se escatiman esfuerzos para respetar la privacidad y confidencialidad

de los archivos de los usuarios, la universidad se reserva el derecho de ver o

escanear cualquier archivo o software almacenada en sistemas universitarios o

transmitida a través de redes universitarias. Esto será hecho periódicamente para

verificar que el software y el hardware funcionan correctamente, a conservar los

datos con fines de copia de seguridad, para buscar formas perjudiciales de datos

o software tales como virus informáticos, para auditar el uso de los recursos de la

universidad, y para garantizar el cumplimiento de la ley y con las políticas

universitarias.

Todos los archivos están más sujetos a revisión externa y posible lanzamiento

público resultante a partir de una orden de allanamiento o citación emitida y sirvió

de conformidad con la ley. Divulgación de la información de los registros del

sistema u otros registros de uso a los oficiales de la ley apoyo procedimientos

disciplinarios internos sólo se permite cuando así lo requiera y

consistente con la ley, o cuando hay razones para creer que una violación de la

ley o de una política universitaria ha tenido lugar.

INCUMPLIMIENTO DE INFORMES A LA SEGURIDAD

Debido a los procesos específicos se han establecido para hacer frente a las

violaciones de seguridad, cualquier sospecha violación de la seguridad debe ser

reportado inmediatamente al Director de División de Centro de Computo.

I. DATOS DE RESPALDO Y RECUPERACIÓN

Los servidores de producción y los ordenadores que ofrecen recursos compartidos

de red están respaldados con regularidad para proporcionar protección contra

fallos de hardware y otros desastres.

Los ordenadores individuales no están respaldados por Centro de Computo. Se

recomienda encarecidamente que los usuarios hacer copias de seguridad

individuales de los datos críticos.

CONCIENCIA Y FORMACIÓN ACERCA DE SEGURIDAD DE LA

INFORMACIÓN

Es esencial que todos los aspectos de seguridad de las tecnologías de la

información, incluida la confidencialidad, privacidad y procedimientos en materia

de acceso al sistema, se incorporarán a los estudiantes formal, procedimientos de

la facultad y de orientación personal y los transportan a comunidad universitaria

existente miembros sobre una base regular.

Los decanos deben revisar, al menos anualmente o cuando la descripción del

trabajo de cambio, los deberes de personal bajo su supervisión para determinar si

la posición es de confianza especial.

Personal cuyas funciones les ponen en contacto con información confidencial o

sensible deberían estar obligados a proporcionar una garantía por escrito de su

intención de cumplir con las políticas de seguridad de la universidad y asistir a un

programa de sensibilización y capacitación al menos anualmente y recibir informes

periódicos de seguridad según sea necesario.

ANEXO N° 7 – MODELO DE MATRIZ DE

RIESGO / PLAN DE MITIGACION

Probabilida

d de Riesgo

Severidad del Riesgo

Catástrof

e

A

Critic

o

B

Moderad

o

C

Meno

r

D

Insignificant

e E

5 – Frecuente

5A 5B 5C 5D 5E

4 – Probable

4A 4B 4C 4D 4E

3 - Ocasional

3A 3B 3C 3D 3E

2 – Raramente

2A 2B 2C 2D 2E

1 – Improbable

1A 1B 1C 1D 1E

Índice de

Evaluación de

Riesgo

Criterios

Responsables de la

Organización

5A, 5B, 5C, 4A, 4B,

3A

Inaceptable bajo las

circunstancias existentes

requiere de una acción

inmediata.

Comité de Revisión de

Riesgos/ Risk Review Board

(RRB),

Seguridad, Calidad y Medio

Ambiente

5D, 5E, 4C, 3B, 3C,

2A, 2B

Manejable bajo control de

riesgos y la mitigación.

Requiere RAB y gestión

de decisiones

Consejeros Delegados y / o

Comité de Análisis de

Riesgos/Risk Analysis Board

(RAB)

4D, 4E, 3D, 2C, 1A,

1B

Aceptable después de la

revisión de la operación.

Requiere seguimiento

continuo y registro de plan

de acción.

Directores generales,

Gerentes y / o

Responsables de la

Organización

3E, 2D, 2E, 1C, 1D,

1E

Aceptable con los datos

continúa

recolección y tendencias

para la mejora continua.

Departamento de Gerentes

Probabilidad de Ocurrencia

Definicion

Cualitativa

Significado

Valor

Frecuente

Probable que ocurra muchas veces (producido con

frecuencia)

Se experimentará continuamente a menos que se

tomen medidas para cambiar eventos

5

Probable

Probable que ocurra algunas veces (ocurrido con poca

frecuencia)

La actividad o evento espera que se produzca 50-99% del

tiempo.

Ocurrirá con frecuencia si los acontecimientos siguen

patrones normales de proceso o procedimiento. El evento

es repetible y menos esporádica

Auditor / Regulador propensos a identificar tema con la

actividad de auditoría mínima

Fracasos evidentes a los auditores o reguladores

capacitados.

4

Ocasional

Poco probable, pero posible que ocurra (ocurrido raramente) Una actividad o evento ocurre con poca frecuencia, o irregularmente, o 25 a 50% de las veces Posibilidad de ocurrencia poco frecuente. Los eventos son de naturaleza esporádica Auditor / regulador tiene el potencial de descubrimiento cuestión durante la revisión focalizada o especializado. Proceso tiene mayor grado de errores del sistema latentes descubiertas con controles adecuados

3

Raramente

Muy poco probable que ocurra (no se sabe que se ha

producido)

Una actividad o evento que se produce de forma

intermitente, o 25.1% de tiempo

No es probable que suceda (aunque podría)

Regulador / Auditor tiene baja probabilidad de

identificación tema durante cualquier comentario general

o enfocada

2

Improbable

Una probabilidad remota, siendo casi inconcebible

que evento ocurra.

1

universidad de guayaquilrepositorio.ug.edu.ec/bitstream/redug/11692/1/b-cint-ptg-n.28 sil… · 2....

Documents