PDF de programación - Instituto profesional inacap la serena "metodología de medición de vulnerabilidades en redes de datos de organizaciones"

INSTITUTO PROFESIONAL INACAP LA SERENA



“METODOLOGÍA DE MEDICIÓN DE

VULNERABILIDADES EN REDES DE DATOS DE

ORGANIZACIONES”



Trabajo seminario de título conducente a Ingeniero en Conectividad y Redes


PROFESOR GUÍA:
Raúl Astorga Barrios
AUTORES:

Alfonso Antonio Berenguela Castro
Juan Pablo Cortes Collado



Diciembre 2006



AGRADECIMIENTOS



Agradecemos a nuestros padres quienes
estuvieron, están y seguirán estando en
nuestras metas y desafíos.


Nuestros tutores, cimientos de nuestro

conocimiento.

Al soporte emocional de las familias.

A Dios Padre, guía y apoyo espiritual en el
transcurso de nuestras vidas.

A todos ellos muchas gracias por su cariño

y comprensión.

1

ÍNDICE GENERAL
INTRODUCCIÓN .................................................................................................... 5
Descripción de la problemática ............................................................................... 8
Descripción de la solución....................................................................................... 8
Objetivos ................................................................................................................. 9
Objetivo general .................................................................................................. 9
Objetivos específicos........................................................................................... 9
Delimitación de la temática ....................................................................................10
Metodología ...........................................................................................................10
Resumen................................................................................................................11
1. CAPÍTULO I: Fundamentos de Seguridad ......................................................15
1.1. Sistema de Seguridad..............................................................................15
1.2. La Información de Las Empresas ............................................................15
1.3. Seguridad Física......................................................................................16
1.4. Seguridad Lógica.....................................................................................17
1.5. Delitos Informáticos .................................................................................18
Delitos informáticos definidos por la ONU ........................................21
Legislación Chilena sobre delitos informáticos .................................23
2. CAPÍTULO II: Análisis de Riesgos..................................................................26
2.1 Determinación de activos.........................................................................29
2.2 Cuestionario al administrador de red .......................................................31
2.2.1
Información básica de la empresa ....................................................31
2.2.2
Seguridad de la infraestructura.........................................................32
2.2.3
Aplicaciones......................................................................................35
2.2.4 Operaciones .....................................................................................35
2.2.5
Personal ...........................................................................................38
Evaluación del cuestionario ..............................................................39
2.2.6
Preguntas a usuarios ...............................................................................42
Evaluación preguntas a usuario........................................................43
2.4 Búsqueda de vulnerabilidades......................................................................44
CAPÍTULO III: Políticas de Seguridad.........................................................47

1.5.1
1.5.2

3.

2.3

2.3.1



2

4.

3.1.
Elementos de una política de seguridad informática...........................47
3.2. Metodología de generación de la política de seguridad. ......................49
3.3. Asegurar las responsabilidades de la política de seguridad.................50
3.4. Responsabilidades y uso de la red.......................................................51
3.5. Autorizaciones para el uso de los recursos de red...............................51
Identificación del uso apropiado de un recurso. ...................................52
3.6.
3.7.
Determinar quien autoriza acceso y aprueba el uso. ..........................53
Determinación de las responsabilidades de los usuarios....................53
3.8.
3.9.
Responsabilidades de los administradores de sistemas. ....................55
3.10. Manejo de información sensible. ......................................................55
Plan de acción cuando es violada la política de seguridad...............56
3.11.
3.12.
Respuesta a la violación de la política..............................................56
Respuesta a la violación de las políticas por usuarios internos........57
3.13.
3.14.
Estrategia de respuesta....................................................................58
CAPÍTULO IV: Desarrollo del Proyecto .......................................................59
INACAP ...................................................................................................59
4.1.1. Antecedentes Generales ..................................................................59
4.2. Situación actual .......................................................................................59
4.3. Definición del Proyecto ............................................................................61
4.3. Determinación de activos.........................................................................61
4.4. Cuantificación de los resultados ..............................................................62
4.5. Políticas para la organización ..................................................................72
4.6. Estudio Legal ...........................................................................................76
4.7. Estudio Financiero ...................................................................................77
4.8. Pruebas de Laboratorio ...........................................................................81
Conclusión .............................................................................................................83
Bibliografía .............................................................................................................85
Tesis...................................................................................................................85
Sitios Web ..........................................................................................................85
Glosario de Terminos.............................................................................................86
ANEXOS ................................................................................................................88

4.1.



3

Anexo I: Información básica de la empresa........................................................88
Anexo II: Defensa del perímetro .........................................................................93
Anexo III: Autenticación......................................................................................99
Anexo IV: Administración y control ...................................................................105
Anexo V: Aplicaciones ......................................................................................108
Anexo VI: Entorno ............................................................................................112
Anexo VII: Directiva de seguridad ....................................................................116
Anexo VIII: Gestión de actualizaciones y revisiones ........................................119
Anexo IX: Copias de seguridad y recuperación................................................122
Anexo X: Requisitos y evaluaciones.................................................................125
Anexo XI: Directiva y procedimientos ...............................................................128
Anexo XII: Formación y conocimiento ..............................................................130
Anexo XIII: Lista de puertos usados por troyanos ............................................132

4



Introducción


INTRODUCCIÓN


La seguridad es una necesidad básica para el hombre, entendiendo ésta dentro
del contexto de la prevención de la vida y las posesiones, esto se aprecia a lo

largo de la historia de la humanidad, la que registra los primeros conceptos de
seguridad a inicios de la invención de la escritura con los sumerios (3000 AC)

quienes implementaron sus propias leyes para mantener la seguridad de los
individuos, usaban el código de Hammurabi, este código se encargaba de llevar el
orden en la vida y de castigar los delitos, pero su esencia era hacer al agresor lo
mismo que el hizo a la victima. Se puede apreciar también en la Biblia, cuando los
cristianos creaban sus propios sistemas de seguridad para que los romanos no los
descubrieran al predicar la palabra del señor. Los descubrimientos arqueológicos
marcan, sin duda, las más importantes pruebas de seguridad de los pueblos
antiguos. Las pirámides egipcias con sus sin fin de trampas, aun en estos tiempos

no se ha podido descubrir como funcionan algunas de ellas, todas las trampas
fueron creadas para proteger lo mas preciado que ello poseían y en o que creían,

su Faraón, y la vida eterna, el palacio de Sargon,