Download (GPI)”

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
page
48
page
49
page
50
page
51
page
52
page
53
page
54
page
55
page
56
page
57
page
58
page
59
page
60
page
61
page
62
page
63
page
64
page
65
page
66
page
67
page
68
page
69
page
70
page
71
page
72
page
73
page
74
page
75
page
76
page
77
page
78
page
79
page
80
page
81
page
82
page
83
page
84
page
85
page
86
page
87
page
88
page
89
page
90
page
91
page
92
page
93
page
94
page
95
page
96
page
97
page
98
page
99
page
100
page
101
page
102
page
103
page
104
page
105
page
106
page
107
page
108
page
109
page
110
page
111
page
112
page
113
page
114
page
115
page
116
page
117
page
118
page
119
page
120
page
121
page
122
page
123
page
124
page
125
page
126
page
127
page
128
page
129
page
130
page
131
page
132
page
133
page
134
page
135
page
136
page
137
page
138
page
139
page
140
page
141
page
142
page
143
page
144
page
145
page
146
page
147
page
148
page
149
page
150
page
151
page
152
page
153
page
154
page
155
page
156
page
157
page
158
page
159
page
160
page
161
page
162
page
163
page
164
page
165
page
166
page
167
page
168
page
169
page
170
page
171
page
172
page
173
page
174
page
175
page
176
page
177
page
178
page
179
page
180
page
181
page
182
page
183
page
184
page
185
page
186
page
187
page
188
page
189
page
190
page
191
page
192
page
193
page
194
page
195
page
196
page
197
page
198
page
199
page
200
page
201
page
202
page
203
page
204
page
205
page
206
page
207
page
208
page
209
page
210
page
211
page
212
page
213
page
214
page
215
page
216
page
217
page
218
page
219
page
220
page
221
Document related concepts
no text concepts found
Transcript 
PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR SEDE
IBARRA
(PUCE-SI)
ESCUELA DE INGENIERÍA
INFORME FINAL DEL PROYECTO
“METODOLOGÍA PARA EL ANÁLISIS INFORMÁTICO
FORENSE DEL GOBIERNO PROVINCIAL DE IMBABURA
(GPI)”
LÍNEA DE INVESTIGACIÓN:
I: 4 “Investigación de nuevas tendencias tecnológicas”
PREVIO A LA OBTENCIÓN DEL TÍTULO DE
MAGISTER EN GERENCIA INFORMÁTICA
AUTORA:
JÁCOME ORTEGA ALEXANDRA ELIZABETH
ASESOR:
DR. MIGUEL ÁNGEL POSSO YÉPEZ.
IBARRA, JULIO DEL 2011
AUTORÍA
Yo, Alexandra Elizabeth Jácome Ortega, portadora de la cédula 1002011557, declaro bajo
juramento que la presente investigación es de mi total responsabilidad y se ha respetado
diferentes fuentes de información realizando las citas correspondientes.
__________________________________
Alexandra Elizabeth Jácome Ortega
PRESENTACIÓN
La transversalidad de las acciones en el quehacer particular y grupal, apunta al uso
continuo y asiduo de las nuevas tecnologías de la información y comunicación, que como
ha sido demostrado en el paso de la historia, todo invento si no es bien utilizado, se
convierte en un factor contrario que permite el suceso de contradicciones e incluso de
atrocidades convertidas o definidas como delitos. La informática no se excluye de esta
apreciación, por ello propongo al lector el siguiente trabajo, que en resumen contiene:
En el Capítulo I, referente al marco teórico, se describe brevemente conceptos sobre
seguridad informática, informática forense y su importancia en la actualidad. Además, la
relación de estos conceptos basados en los principios de seguridad informática y el análisis
forense en sistemas informáticos. Su complementariedad se demuestra en los estándares y
técnicas para el análisis forense, terminando con una breve descripción del lugar donde se
realizó el estudio, esto es, el Data Center del Gobierno Provincial de Imbabura – GPI.
En el Capítulo II, diagnóstico situacional del GPI, se analiza los antecedentes de la
institución, relacionados al objeto de estudio – informática forense - , para determinar los
objetivos y variables diagnósticas, estudio que permitió definir los principales indicadores,
con los cuales se pudo elaborar una matriz de relación. Al ser limitado físicamente y en
número de involucrados directos, en la mecánica operativa
la muestra se igualó al
universo, de quienes se obtuvieron resultados analíticos, utilizando entrevistas, observación
directa y documentación existente en la Dirección de Gestión de TIC´s del GPI, todos estos
insumos sirvieron para establecer el FODA y las estrategias que se deberán tomar para
apaliar, solucionar y mejorar la seguridad de la información. Basada en lo expuesto,
procedo a determinar el problema diagnóstico.
En el Capítulo III, análisis de la situación jurídica en el Ecuador, se pretende sintetizar lo
que se ha legislado en nuestro país, referente a los delitos informáticos, al realizar la
investigación de campo se encontraron pocas fuentes de información, que al no ser el
objeto en sí mismo de la investigación, se tomaron datos de trabajos realizados, fielmente
citadas por sus autores, pero que considero importante plasmarlas en la presente
investigación. Por lo tanto se hace referencia a la legislación ecuatoriana sobre delitos
informáticos, a lo tipificado en el Código Penal vigente y se realiza una alegoría de
sucesos de delitos informáticos en el Ecuador, terminando con una clasificación, no
formal, pero sí asumida internacionalmente de los tipos de delitos informáticos.
En el Capítulo IV, niveles de seguridad, se hace hincapié a la importancia que tiene la
seguridad informática en el proceso de un examen forense informático; luego, de toda una
gama de estándares, escogemos los principales para describirlos y definir los ámbitos de
acción de cada uno de ellos, de tal manera que el perito los tome en cuenta al momento de
efectuar una investigación forense, además de que se constituyen en herramientas formales
que justifican los razonamientos y conclusiones del mismo.
Seguidamente se hace
referencia a particularidades de las amenazas a la seguridad informática y comenzamos a
identificar las principales amenazas en el GPI, concluyendo con la definición de los niveles
de seguridad a implementar.
En el Capítulo V, políticas y procedimientos, resalta el hecho de aprender a relacionar la
inseguridad con las medidas preventivas y correctivas de los posibles delitos informáticos,
inclusive se explica la existencia del riesgo post corrección, ya que la ocurrencia de un
delito tiene efectos colaterales y posteriores. Se obtienen insumos para elaborar la Matriz
de riesgos en el GPI y de definen puntos de control que deben ser tomados en cuenta
constantemente tanto en software como en hardware. Todo ello, conlleva a definir una
propuesta de políticas y procedimientos a ser implementados en el GPI para prevenir los
riesgos ocasionados por la inseguridad informática.
En el Capítulo VI, ingeniería del proyecto, es inverosímil que a estas alturas del desarrollo
tecnológico informático y de comunicaciones, aún no se establezca una metodología
general aplicado a procedimientos de informática forense, por ello en este capítulo se
analiza algunas propuestas no estandarizadas de modelos, técnicas y herramientas que
comúnmente se utilizan como metodología de investigación en la informática forense,
algunos como el RFC 3227 son acercamientos estandarizados pero que no completan su
cometido y otras que han sido implementadas por otros sectores o inclusive gobiernos.
Como herramientas forenses, dada la alta gama de delitos informáticos, en el mercado han
aparecido muchas herramientas, algunas de código libre, que se orientan a solucionar
problemas específicos, pero no existe una que abarque todo un proceso, en este trabajo se
las analiza brevemente e igualmente se las ha aplicado en los servidores del GPI.
En el Capítulo VII, análisis de impactos, se presenta un análisis prospectivo del impacto:
académico, científico, socio – cultural y económico que generaría en la provincia y porque
no en el país, el diseño e implementación de una metodología para el análisis informático
forense del GPI. Cabe señalar que del análisis de la matriz de impactos el resultado fue
Medio Positivo.
El proyecto culmina con varias conclusiones, fruto de la experiencia en el desarrollo de la
metodología propuesta, así como también una serie de recomendaciones en función a los
estudios realizados, la experiencia adquirida, comentarios y sugerencias de técnicos en
sistemas y jurídicos, con la finalidad de que el lector entienda la importancia, la pertinencia
y la vigencia de lo investigado en este proyecto.
Las recomendaciones se orientan a proponer al lector continuar con la investigación y
asumir que el diseño y desarrollo de una metodología para el análisis informático forense,
induzca a las instituciones públicas y privadas a implementar niveles de seguridad tanto en
la infraestructura tecnológica como en software que utilizan, a definir políticas
y
procedimientos a ser implementadas en sus instituciones, para proteger y salvaguardar el
entorno informático, red, equipos, aplicaciones y datos.
DEDICATORIA
A mi esposo, Jorge, intentando expresarle mi amor y gratitud por su apoyo incondicional,
su comprensión generosa, su tolerancia infinita a mis anhelos intelectuales.
A mis hijos, Kevin y Alexita, razón de mi ser y sentido en la vida, ojalá pueda servirles de
ejemplo para su superación en la esperanza que verán un mundo mejor.
A mi madre, Olga, que me ha dado la oportunidad de existir y ha forjado en mí el deseo de
superación, gracias a su ejemplo y constancia.
Alexandra.
AGRADECIMIENTO
A mi estimado asesor Dr. MIGUEL ÁNGEL POSSO YÉPEZ y a mis maestros, modelos
de valor y sabiduría, por su desinteresada y generosa labor de transmisión del saber, su
inagotable entusiasmo y sus acertados consejos y sugerencias.
Un agradecimiento especial a las Autoridades de la UNIVERSIDAD CATÓLICA DEL
ECUADOR Sede Ibarra, y a todas aquellas personas que
me han apoyado
incondicionalmente permitiéndome realizar mis estudios de postgrado. A todos aquellos
que han intervenido en mi formación ¡MUCHAS GRACIAS…!
ÍNDICE DE CONTENIDOS
Pág.
ÍNDICE DE CONTENIDOS ___________________________________________________ 8
ÍNDICE DE GRÁFICOS _____________________________________________________ 11
ÍNDICE DE TABLAS ______________________________________________________ 12
INTRODUCCIÓN _________________________________________________________ 14
CAPÍTULO I
MARCO TEÓRICO
1.1
SEGURIDAD INFORMÁTICA _________________________________________ 15
1.2
INFORMÁTICA FORENSE ____________________________________________ 16
1.3
IMPORTANCIA DE LA INFORMÁTICA FORENSE ______________________ 18
1.3.1
Objetivos de la Informática Forense ____________________________________________ 18
1.4.
PRINCIPIOS DE SEGURIDAD INFORMÁTICA __________________________ 19
1.5.
SEGURIDAD FÍSICA _________________________________________________ 21
1.5.1. Tipos de Desastres _____________________________________________________ 22
1.6
SEGURIDAD LÓGICA ________________________________________________ 24
1.7
ANÁLISIS FORENSE EN SISTEMAS INFORMÁTICOS ___________________ 25
1.7.1
1.8
1.8.1
1.8.2
1.8.3
1.9
1.9.1
1.9.2
1.9.3
Principio de transferencia de Locard ___________________________________________ 25
ESTÁNDARES, TÉCNICAS Y PROCEDIMIENTOS PARA EL ANÁLISIS
FORENSE __________________________________________________________ 26
Estándares _________________________________________________________________ 26
Técnicas ____________________________________________________________________ 27
Proceso de Análisis Forense ___________________________________________________ 27
GOBIERNO PROVINCIAL DE IMBABURA _____________________________ 29
Estructura orgánica del GPI __________________________________________________ 31
Orgánico Estructural de la Dirección de Tecnologías de la Información y Comunicaciones
del GPI. ____________________________________________________________________ 32
Evolución de la Red de Datos y del Software en el GPI. ____________________________ 34
CAPÍTULO II DIAGNÓSTICO SITUACIONAL DEL GOBIERNO PROVINCIAL DE IMBABURA
2.1.
ANTECEDENTES DIAGNÓSTICOS ____________________________________ 36
2.2.
OBJETIVOS DIAGNÓSTICOS _________________________________________ 36
8
2.3.
VARIABLES DIAGNÓSTICAS _________________________________________ 37
2.4.
INDICADORES ______________________________________________________ 37
2.5.
MATRIZ DE RELACIÓN ______________________________________________ 38
2.6.
MECÁNICA OPERATIVA _____________________________________________ 42
2.6.1.
2.6.2.
2.6.3.
2.6.4.
2.7.
TABULACIÓN Y ANÁLISIS DE LA INFORMACIÓN _____________________ 43
2.7.1.
2.7.2.
2.7.3.
2.8.
Entrevistas. _________________________________________________________________ 43
Observación ________________________________________________________________ 51
Documentos ________________________________________________________________ 59
FODA _______________________________________________________________ 75
2.8.1.
2.8.2.
2.8.3.
2.8.4.
2.9.
Población o Universo _________________________________________________________ 42
Determinación de la Muestra __________________________________________________ 42
Información Primaria ________________________________________________________ 42
Información Secundaria ______________________________________________________ 43
Fortalezas __________________________________________________________________ 75
Oportunidades ______________________________________________________________ 75
Debilidades _________________________________________________________________ 76
Amenazas __________________________________________________________________ 76
ESTRATEGIAS FA, FO, DO, DA ________________________________________ 76
2.10. DETERMINACIÓN DEL PROBLEMA DIAGNÓSTICO ___________________ 77
CAPÍTULO III
ANÁLISIS DE LA SITUACIÓN JURÍDICA EN EL ECUADOR
3.1.
ANTECEDENTES ____________________________________________________ 79
3.2.
LEGISLACIÓN ECUATORIANA SOBRE DELITOS INFORMÁTICOS ______ 81
3.3.
CÓDIGO PENAL DEL ECUADOR ______________________________________ 82
3.4.
LOS DELITOS INFORMÁTICOS EN EL ECUADOR ______________________ 83
3.5.
TIPOS DE DELITOS INFORMÁTICOS _________________________________ 85
CAPÍTULO IV
4.1.
SERVICIOS DE SEGURIDAD INFORMÁTICA ___________________________ 89
4.1.1.
4.2.
NIVELES DE SEGURIDAD
Importancia de la Seguridad Informática _______________________________________ 89
GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN ________________ 90
4.2.1.
4.2.2.
4.2.3.
UNE-ISO/IEC 17799 “Código de buenas prácticas para la Gestión de la Seguridad de la
Información” _______________________________________________________________ 92
Política de Seguridad _________________________________________________________ 92
UNE 71502 _________________________________________________________________ 93
9
4.2.4.
4.2.5.
ISO 27000 __________________________________________________________________ 94
TIA_942 ___________________________________________________________________ 98
4.3.
VULNERABILIDAD DE LOS SISTEMAS INFORMÁTICOS. ______________ 101
4.4.
AMENAZAS A LA SEGURIDAD INFORMÁTICA _______________________ 101
4.4.1.
4.4.2.
4.4.3.
4.4.4.
4.4.5.
4.4.6.
4.4.7.
4.5.
Amenazas Lógicas __________________________________________________________ 101
Acceso - Uso - Autorización __________________________________________________ 102
Identificación de las Amenazas _______________________________________________ 102
Tipos de Ataques ___________________________________________________________ 103
Errores de Diseño, Implementación y Operación ________________________________ 105
Implementación de las Técnicas _______________________________________________ 106
¿Cómo defenderse de estos Ataques? __________________________________________ 107
NIVELES DE SEGURIDAD A IMPLEMENTAR EN EL GPI. ______________ 107
CAPÍTULO V
POLÍTICAS Y PROCEDIMIENTOS
5.1
DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD ____________ 109
5.2
TIPOS DE MEDIDAS DE SEGURIDAD _________________________________ 110
5.2.1
5.2.2
5.2.3
5.2.4
Medidas Físicas ____________________________________________________________ 110
Medidas Lógicas____________________________________________________________ 111
Medidas Administrativas ____________________________________________________ 111
Medidas Legales ____________________________________________________________ 112
5.3
RIESGO RESIDUAL _________________________________________________ 112
5.4
EVALUACIÓN Y GESTIÓN DE RIESGOS ______________________________ 115
5.4.1
5.4.2
5.4.3
5.5
Los riesgos considerados en el GPI, se dividen en dos categorías: __________________ 116
Matriz de Riesgos en el GPI __________________________________________________ 117
CONTROLES _____________________________________________________________ 120
POLÍTICAS Y PROCEDIMIENTOS A SER IMPLEMENTADAS EN EL GPI 120
CAPÍTULO VI
6.1.
MODELOS, TÉCNICAS Y HERRAMIENTAS TECNOLÓGICAS UTILIZADAS
EN LA METODOLOGÍA DE INVESTIGACIÓN EN LA INFORMÁTICA
FORENSE _________________________________________________________ 124
6.1.1.
6.2.
INGENIERÍA DEL PROYECTO
La Evidencia Digital ________________________________________________________ 124
Modelos Conocidos ___________________________________________________ 130
6.2.1.
6.2.2.
6.2.3.
6.2.4.
RFC 3227 _________________________________________________________________ 131
Guía de la IOCE____________________________________________________________ 131
Investigación en la Escena del Crimen Electrónico (Guía DoJ 1) ___________________ 132
Examen Forense de Evidencia Digital __________________________________________ 132
10
6.2.5.
Computación Forense - Parte 2: Mejores Prácticas (Guía Hong Kong) ______________ 133
6.3.
HERRAMIENTAS FORENSES.________________________________________ 133
6.4.
METODOLOGÍA PARA EL ANÁLISIS FORENSE DEL GPI ______________ 144
6.4.1.
6.4.2.
6.4.3.
6.4.4.
CONCEPTUALIZACIÓN DE LA METODOLOGÍA ____________________________ 144
Revisiones operativas _______________________________________________________ 144
Metodología. _______________________________________________________________ 144
Aplicaciones de Herramientas Forenses en el GPI _______________________________ 155
CAPÍTULO VII
ANÁLISIS DE IMPACTOS
7.1.
IMPACTO ACADÉMICO _____________________________________________ 183
7.2.
IMPACTO CIENTÍFICO _____________________________________________ 184
7.3.
IMPACTO SOCIO – CULTURAL _____________________________________ 185
7.4.
IMPACTO ECONÓMICO ____________________________________________ 186
7.5.
MATRIZ DE IMPACTOS GENERAL___________________________________ 187
CONCLUSIONES______________________________________________________ 189
RECOMENDACIONES _________________________________________________ 192
BIBLIOGRAFÍA_______________________________________________________ 195
GLOSARIO ___________________________________________________________ 198
ANEXOS _____________________________________________________________ 203
A 1: Cuestionario para la entrevista de los funcionarios del Departamento de Gestión de
Tecnologías de la Información y comunicación del GPI. ___________________ 204
A2: Plan de Trabajo de Grado (Anteproyecto) __________________________________ 206
ÍNDICE DE GRÁFICOS
Gráfico 1: Principio de Transferencia Locard ___________________________________________________ 25
Gráfico 2: Mapa Político de la Provincia de Imbabura ___________________________________________ 30
Gráfico 3: Orgánico Estructural del GPI. ______________________________________________________ 32
Gráfico 4: Orgánico Estructural de la Dirección de Tecnologías de la Información y Comunicaciones del GPI.
______________________________________________________________________________________ 33
Gráfico 5: Cuarto de Telecomunicaciones _____________________________________________________ 53
11
Gráfico 6: Patch Panels ___________________________________________________________________ 55
Gráfico 7: Cableado Horizontal _____________________________________________________________ 56
Gráfico 8: Conexiones de Cables Directos _____________________________________________________ 56
Gráfico 9: Equipos de telefonía IP obsoletos ___________________________________________________ 58
Gráfico 10: Sistema de aire acondicionado doméstico. __________________________________________ 59
Gráfico 11: Fases de: Planificación, Implementación, Seguimiento y mejora continua. _________________ 95
Gráfico 12: ISO/IEC 20000 (2011) ___________________________________________________________ 96
Gráfico 13: ITIL (IT Infraestaructure Library) ___________________________________________________ 96
Gráfico 14: Objetivos de control para tecnologías de la información y similares ______________________ 97
Gráfico 15: Committe of Sponsoring Organizations of treadway Commission ________________________ 97
Gráfico 16: Clasificación de la Criticidad de los sistemas para distintas áreas de actividad ______________ 99
Gráfico 17: Detalle de Ataques ____________________________________________________________ 103
Gráfico 18: Seguridad Multinivel en el GPI ___________________________________________________ 108
Gráfico 19: Gestión del Riesgo en ISO 27005 _________________________________________________ 114
Gráfico 20: Tratamiento del Riesgo _________________________________________________________ 115
Gráfico 21: Proceso de Administración del Riesgo _____________________________________________ 115
Gráfico 22: Ciclo de Vida de la Administración de la Evidencia Digital. _____________________________ 129
Gráfico 23: Metodología Forense __________________________________________________________ 132
Gráfico 24: Metodología del Análisis Forense GPI _____________________________________________ 144
Gráfico 25: Fase de Identificación __________________________________________________________ 145
Gráfico 26: Fase de Preservación. __________________________________________________________ 149
Gráfico 27: Fase de Análisis _______________________________________________________________ 151
Gráfico 28: Fase de Identificación __________________________________________________________ 153
ÍNDICE DE TABLAS
Tabla 1: Datos Principales de la provincia de Imbabura __________________________________________ 29
Tabla 2: Matriz Relación GPI _______________________________________________________________ 41
Tabla 3: Equipos de control de ingreso y salida de personal ______________________________________ 57
Tabla 4: Diagnóstico en Equipos del Cuarto de Comunicaciones ___________________________________ 63
Tabla 5: Lista de Servidores del GPI __________________________________________________________ 64
Tabla 6: Equipos de Red del GPI. ____________________________________________________________ 64
Tabla 7: Aplicaciones Desarrolladas en la Dirección hasta julio del 2010 ____________________________ 67
Tabla 8: Aplicaciones Adquiridas a Terceros ___________________________________________________ 67
Tabla 9: Aplicaciones no concluidas _________________________________________________________ 68
Tabla 10: Estrategias FA, FO, DO, DA ________________________________________________________ 77
Tabla 11: Infracciones informáticas. _________________________________________________________ 83
Tabla 12: Fraudes mediante computadoras ___________________________________________________ 86
Tabla 13: Falsificaciones informáticas ________________________________________________________ 86
Tabla 14: Daños o modificaciones de programas o datos computarizados ___________________________ 88
Tabla 15: Subsistemas de la Infraestructura de un Data Center ___________________________________ 98
Tabla 16: Requerimientos de un data Center __________________________________________________ 99
Tabla 17: TIER - Máximo tiempo fuera de un Data Center _______________________________________ 100
Tabla 18: Riesgo Categoría Proceso de Desarrollo en el GPI _____________________________________ 116
Tabla 19: Riesgo Categoría Recurso Humano en el GPI. _________________________________________ 117
Tabla 20: Riesgo Total - Riesgo Residual del GPI_______________________________________________ 119
12
Tabla 21: Detalle físico y lógico para reconocimiento de la Evidencia ______________________________ 126
Tabla 22: Herramientas Forenses Vs Delitos Informáticos _______________________________________ 143
Tabla 23 : Ejemplo de Solicitud Forense. _____________________________________________________ 146
Tabla 24: Ejemplo de formato para receptar Efectos del incidente y Recursos Afectados ______________ 147
Tabla 25: Niveles de Ponderación __________________________________________________________ 182
Tabla 26: Impacto Académico. ____________________________________________________________ 183
Tabla 27: Impacto científico. ______________________________________________________________ 184
Tabla 28: Impacto Socio-Cultural___________________________________________________________ 185
Tabla 29: Impacto Económico._____________________________________________________________ 186
Tabla 30: Matriz de Impactos General. ______________________________________________________ 187
13
INTRODUCCIÓN
Este trabajo surge por la preocupación que causa la intensificación de la globalización, por
el crecimiento vertiginoso y la inconmensurable influencia de la Tecnología Informática en
todos los estratos sociales y productivos de la sociedad, debido a la facilidad y comodidad
de procesar y gestionar la información, la misma que en muchos casos son el objetivo
malicioso de personas mal intencionadas, que aprovechando las vulnerabilidades que
presentan las tecnologías tanto en hardware como en software, son capaces de acciones
ilegales.
El diagnóstico situacional ha confirmado que en el GPI, existen vulnerabilidades
tecnológicas en la gestión de la información, debido al poco interés por fortalecer un
verdadero Data Center tanto en infraestructura de la red de datos, como en la de software,
lo cual se traduce en problemas de seguridad como: robo de información confidencial,
espionaje institucional, competencia desleal, etc.
La propuesta metodológica que se presenta en este proyecto como parte del intento de dar
tratamiento a éste problema sugiere una serie de pasos para originar un espacio de análisis
y estudio hacia una reflexión profunda sobre los hechos y las evidencias que se identifican
en el lugar donde se llevaron a cabo las acciones no autorizadas o ilegales.
El campo del derecho y la aplicación de la justicia, por el aparecimiento de desafíos y
técnicas de intrusos informáticos en varias temáticas, llegando desde una simple
intromisión hasta verdaderos accesos maliciosos a bases de datos de misión crítica, ha
requerido proponer una nueva ciencia que se dedique a realizar el seguimiento postmorten
de éstos delitos, esto es el campo de la informática forense.
14
CAPÍTULO I
MARCO TEÓRICO
1.1 SEGURIDAD INFORMÁTICA
“Ser lo que soy, no es nada sin seguridad…”, parafraseaba William Shakespeare (19541916), es uno de los tantos ejemplos que se manifiestan a lo largo de la historia, para
demostrar que siempre existió el peligro de la inseguridad y me atrevo a señalar que quizás
también aquellos conceptos vertidos anteriormente eran más claros que lo que entendemos
actualmente, aunque muchas crisis sociales y sobre todo económicas le han colocado al
mundo en la pista de la búsqueda de mayor seguridad.
Se han introducido de a poco acercamientos para considerar a la Seguridad como una
ciencia en pleno apogeo, ya que actividades propias del desarrollo moderno así lo han
precisado, por ejemplo hablamos de seguridad social, seguridad ciudadana, seguridad
alimentaria, seguridad en el trabajo, seguridad en tránsito vehicular, seguridad informática
etc., todas estas disciplinas implican estudios de riesgo, prevención de crímenes y pérdidas,
etc. Por lo expuesto, no existe definición única que se ajuste a todo el espectro que abarca
este concepto, por ser tan complejo y a la vez abstracto.
Seguridad Informática, es el centro de estudio, apareció como consecuencia del desarrollo
del flujo de información primero por medios electrónicos, luego los digitales y también por
los híbridos, llegando al punto de formarse verdaderas plataformas masivas, como el
internet, por donde viaja todo tipo de información, cuyo valor depende de la apreciación de
los diferentes grupos sociales que la utilizan, como aquella de misión crítica que se utiliza
ampliamente en bancos, aeropuertos, hospitales entre otros. Según un informe de la
consultora internacional IDC (International Data Corporation) en el 2007, la cantidad de
información creada estuvo a punto de sobrepasar, por primera vez la capacidad física de
almacenamiento disponible. El estudio recuerda que,
en el 2006, la cantidad de
15
información digitalizada fue tres millones de veces mayor que la de todos los libros
escritos. En el 2006, la cantidad de información digital creada capturada y replicada fue de
161 billones de gigabytes. Esto es más de lo generado en los cinco mil años anteriores. Es
por esto que cuando se realiza un crimen, en algunas ocasiones la información queda
almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los
computadores guardan la información en forma tal que no puede ser recolectada o usada
como prueba utilizando medios comunes, pues se deben utilizar mecanismos diferentes a
los tradicionales. Esos nuevos mecanismos han generado la importancia del aparecimiento,
estudio y desarrollo de la computación forense, como una ciencia relativamente nueva.
Las propiedades físicas de los materiales con que se fabrican los componentes
computacionales y especialmente los de almacenamiento, permiten que la información
pueda ser manipulada, inclusive luego de ser eliminada y sobre-escrita varias veces.
El delincuente o antisocial relacionado a la informática, ha encontrado por métodos
“innovadores” actuar para cometer fechorías que hasta hace poco eran inimaginables.
La sociedad informática global, no quiere asumir en su magnitud esta nueva realidad, por
ello la inversión económica y de generación de nuevo conocimiento al respecto es aún
incipiente, esperemos que este sórdido y a la vez estruendoso llamado no nos tope
desprevenidos ante posibles desastres sociales y económicos.
1.2 INFORMÁTICA FORENSE
La época que estamos viviendo, se caracteriza por un fuerte desarrollo de la cultura
informática. En las escuelas, colegios, universidades, centros de formación, empresas
públicas y privadas, aprenden cómo manejar paquetes informáticos (software aplicativo),
pero no saben los riesgos que su uso implica ni tampoco la palabra que engloba las
acciones que se realizan después de haberse cometido un delito o infracción, posiblemente
esa relación que hacen de forense con muerte tengan algo de razón, porque cuando en los
medios de comunicación se habla de forense es cuando ha existido deceso de la víctima, y
las posteriores acciones para descubrir al victimario. En el campo informático, la
“forensia” se orienta a estudiar y definir todas aquellas actividades relacionadas con la
16
recuperación y análisis de pruebas para procesos judiciales, cuando de por medio existan
indicios o cometimiento de algún delito clasificado como informático.
La informática Forense por lo tanto, al tratar todos los temas post crimen, post infracción,
post delito, busca por diferentes medios o métodos encontrar evidencias sean estas
electrónica o digitales, que las encuentra generalmente al establecer rastros o guías de
diligencias no lícitas, ejecutadas igualmente por procedimientos digitales o electrónicos.
La informática Forense también busca prevenir el cometimiento de tales delitos
apoyándose en la Seguridad Informática.
La mayoría de los delitos comunes, han sido transformados a delitos informáticos, por
ejemplo falsificación de documentos, suplantación de identidad, robos a bancos, resultados
de conteos electorales, etc., en este caso la escena del crimen es la plataforma informática
y las armas físicas y lógicas. En estos casos, la evidencia del crimen es muy frágil y
escurridiza por lo que es necesario sofisticados procedimientos para su detección y por
tanto necesario que el mundo informático formule una metodología general, que facilite la
aplicación de la Informática Forense.
De ahí la importancia de formar peritos en Informática Forense, requeridos
obligatoriamente por los procedimientos legales, quien aportará con razonamientos y
fundamentos científicos a descubrir y valorar los elementos de prueba. No existe carrera
universitaria alguna en el Ecuador, que facilite los conocimientos necesarios tanto en
tecnologías de la información y en ciencias jurídicas que respalden esta actividad
encaminada a encontrar las evidencias que aporten con datos válidos, desde dispositivos y
encontrar datos residuales relacionados.
El aparecimiento a diario de nuevas formas de delinquir por medios informáticos, ha
generado la necesidad de que el Aparato Legal, proponga la existencia de la informática
forense como aliado y colaborador para enfrentar estos nuevos desafíos y contrarrestar las
técnicas de los delincuentes informáticos, que ayude a garantizar la veracidad en estas
investigaciones delictivas.
Según el FBI de Estados Unidos, la informática (o computación) forense es la ciencia de
adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y
17
guardados en un medio computacional, este organismo desde 1984 empezó a desarrollar
programas para examinar evidencia computacional [1].
Según Santiago Acurio del Pino, en el Ecuador mediante acuerdo 104-FGE-2008 de la
Fiscalía General del Estado, se creó el Departamento de Investigación y Análisis Forense
con la finalidad de ser una ayuda en la investigación y persecución de todo lo relacionado
con la criminalidad informática en todos sus aspectos y ámbitos [2].
1.3 IMPORTANCIA DE LA INFORMÁTICA FORENSE
El tratamiento automático de la Información es el motor de desarrollo de toda la actividad
humana, pero cuando preguntamos ¿Cuál es el valor de su información?, muy pocos se
atreverán a cuantificarla, sencillamente porque su valor es intangible e inconmensurable,
por lo tanto se convierte en un objeto preciado e invaluable, que como cualquier objeto de
esta índole se convierte en estratégico, necesario e irremplazable, por ello su cuidado,
confiabilidad e integridad debe estar por sobre todo.
La información, se convierte en el
objeto de control y aseguramiento, pero lamentablemente pese a que a diario las empresas
sacan al mercado nuevos productos que garantizan seguridad, la información sufre
violaciones constantes provocadas por los aparecidos delincuentes informáticos, pues no
existe la seguridad absoluta.
A diario nos enteramos de la perpetración de algún delito informático, o de un nuevo tipo
de delito informático, cuyas
consecuencias económicas son desbastadoras, de ahí la
necesidad de que dado el aumento en su número, se realicen acciones agresivas y
constantes para prevenirlos y en caso de darse, establecer los procedimientos informáticos
y legales para que puedan ser procesados con el rigor de la ley.
A continuación se detallan los objetivos de la informática forense, que demuestran la
importancia de la existencia y evolución de la informática forense:
1.3.1 Objetivos de la Informática Forense
De acuerdo a Zuccardi la informática forense tiene 3 objetivos [3]:
18
ü
“La compensación de los daños causados por los criminales o intrusos.
ü
La persecución y procesamiento judicial de los criminales.
ü
La creación y aplicación de medidas para prevenir casos similares”.
Objetivos que son conseguidos aplicando las diferentes herramientas y procedimientos de
la Informática Forense al recolectar las respectivas evidencias o rastros probatorios para
averiguar desde donde se originó el ataque, que determinarán si fue interno o externo, a
qué equipos afectó, cuáles fueron los archivos o aplicaciones más vulnerables.
Con el objeto de relacionar con el análisis forense tradicional, en la ciencia forense
tradicional hay varios tipos de evidencias físicas, que el mismo Zucardi (pág. 6), las define
así [3]:
Ø
Evidencia transitoria.- Como su nombre indica es temporal por naturaleza, por ejemplo: un olor, la
temperatura o unas letras sobre la arena o nieve (un objeto blando o cambiante).
Ø
Evidencia curso o patrón.- Producidas por contacto, por ejemplo: la trayectoria de una bala, un
patrón de rotura de un cristal, patrones de posicionamiento de muebles, etc.
Ø
Evidencia condicional.- Causadas por una acción o un evento en la escena del crimen, por ejemplo:
la localización de una evidencia en relación con el cuerpo, una ventana abierta o cerrada, una radio
encendida o apagada, dirección del humo, etc.
Ø
Evidencia transferida.- Generalmente producidas por contacto entre personas, entre objetos o entre
personas y objetos. Aquí descubrimos el concepto de relación. En la práctica las evidencias
transferidas se dividen en dos tipos, conocidas como:
§
Transferencia por rastro: aquí entra la sangre, semen, pelo, etc.
§
Transferencia por huella: huellas de zapato, dactilares, etc.
Además, en la informática forense debemos hablar lógicamente de la evidencia digital, que
debe ser alcanzada, utilizando mecanismos o software especializado que nos emita reportes
con la evidencia necesaria y probatoria.
1.4. PRINCIPIOS DE SEGURIDAD INFORMÁTICA
19
" Un experto es aquel que sabe cada vez más sobre menos cosas, hasta que sabe absolutamente
todo sobre nada… es la persona que evita los errores pequeños mientras sigue su avance
inexorable hacia la gran falacia"
Definición de Webwer - Corolario de Weinberger (Leyes de Murphy)
Con las tres grandes revoluciones de la humanidad: revolución agrícola, revolución
industrial y la revolución de la Era de la información (“Tercera Ola”); se ha dado origen a
contundentes cambios en el comportamiento de la sociedad y ha generado un nuevo
problema, el de la seguridad informática, que como tal, para las organizaciones
y
empresas, aún no le toman como un serio problema en nuestro medio, pero en otros países
ya se lo está aplicando y sobre todo originando su tratamiento.
Los actores principales de la generación, cuidado y control de la información particular o
grupal, deben comprender exhaustivamente los conceptos modernos de “Sistema
Informático”, “Plataforma Informática” y “Seguridad”, como se relacionan estos términos
con las aplicaciones que utilizan. Es decir, el nuevo contexto informático abarca a más de
lo tradicional, la experticia en seguridad, auditoría y control, para que su actuación
interdisciplinaria sea efectiva al momento de garantizar seguridad informática.
En Wikipedia, al respecto se escribe: que se entiende por: “Seguridad de la información, a
todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los
sistemas tecnológicos que permitan resguardar y proteger la información buscando
mantener la confidencialidad, disponibilidad e Integridad de la misma” [4].
Es preciso señalar que no debemos confundir los conceptos de seguridad informática y el
de seguridad de la información, ya que el primero trata de la seguridad en los medios o
dispositivos y el segundo es más amplio y su tratamiento puede diversificar el origen y
hospedaje de la información en general.
En Wikipedia, referente a la seguridad informática, se dice que:
Es el área de la informática que se enfoca en la protección de la infraestructura
computacional y
todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de
estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles
riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de
datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta
20
llega a manos de personas inescrupulosas. Este tipo de información se conoce como información
privilegiada o confidencial
[4].
Para comenzar el análisis de la seguridad Informática se deberá conocer las características
de lo que se pretende proteger, es decir de la información.
Así, definimos:
ü Dato .- “Unidad mínima con la que se compone cierta información”1
ü Información.- “Es una agregación de datos que tiene significado específico más allá de
cada uno de éstos”2, y tendrá un sentido particular según cómo y quién lo procese.
Establecer el valor de la información es totalmente relativo, pues constituye un recurso
que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no
ocurre con los equipos, las aplicaciones y la documentación.
La palabra seguridad nace a partir de la existencia de riesgo, que puede suceder por falta de
contingencia, sin embargo, los hechos han demostrado que no existe prevención absoluta,
ya que el riesgo siempre está presente, por ello es importante aplicar el método de divide y
vencerás para inferir niveles en la seguridad, mismos que serán alcanzados de acuerdo a la
aplicación de ciertas técnicas que actuarán en cada uno de los niveles de acuerdo al grado o
tipo de vulnerabilidad. El objetivo será, por cierto, alcanzar altos niveles de seguridad en
los sistemas informáticos, de ahí que nos atrevemos a recoger la tan nombrada fórmula de
que:
Sistema de Seguridad = TECNOLOGÍA + ORGANIZACIÓN
1.5. SEGURIDAD FÍSICA
1
2
CALVO, Rafael Fernández. Glosario Básico Inglés-Español para usuarios de internet 1994-2000
CALVO, Rafael Fernández. Glosario Básico Inglés-Español para usuarios de internet 1994-2000
http://www.ati.es/novatica
21
La plataforma física de un sistema informático es el medio a través del cual viajan las
señales que representan a los datos y también se corresponden con los dispositivos de
almacenamiento donde se alojan temporal o permanentemente estas representaciones.
Este componente, debe ser cuidadosamente analizado al momento del diseño del
sistema, de tal manera que podamos cubrir o prevenir con seguridad las puertas físicas
que podemos dejar abiertas. Extensivamente los lugares a través de los cuales pasan
estos medios de comunicación y donde se alojen los equipos deben ser vigilados
constantemente y con un diseño de alta seguridad.
Es decir, debemos prevenir
atacantes que ingresen y puedan sustraer discos, clonar dispositivos, cambiar claves,
generar usuarios, etc.
La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas ante amenazas a los recursos e
información confidencial" [5]. Concepto que Huerta lo relaciona con los controles y
mecanismos de seguridad dentro y alrededor del Data Center, así como en los controles
de acceso y salida: puertas, cámaras, biométricos, etc.
1.5.1.
Tipos de Desastres
Al momento de implementar seguridad, se debe actuar de acuerdo a las circunstancias
considerando ubicación y tipos de equipos, por ello no existe una receta única para el
efecto, es decir podemos caer en el error de sobredimensionarla o de minimizarla. Por
tal razón, se recomienda seguir procedimientos generales especificados en normas
estandarizadas y no procedimientos particulares.
Este tipo de seguridad tomará en cuenta las amenazas internas, externas, humanas,
naturales que puedan aprovechar alguna vulnerabilidad reconocida o no, en el Data
Center.
Según Huerta [5], las principales amenazas previsibles en la seguridad física son:
a)
Desastres naturales, incendios accidentales tormentas e inundaciones.
22
Incendios.- Pueden ser causados por diferentes circunstancias: cortocircuitos, incendios
deliberados, sobrecalentamiento de equipos, etc.
Inundaciones.- Esta es una de las causas de mayores desastres en centros de cómputo.
Además de las causas naturales de inundaciones, puede existir la posibilidad de una
inundación provocada por la necesidad de apagar un incendio en un piso superior. Para
evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo
impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas
para contener el agua que bajase por las escaleras.
Condiciones Climatológicas.- Si no existe un sistema de control de aire acondicionado, es
posible que se recalienten los equipos, produciéndose daños en los discos y procesadores de
los servidores.
Señales de Radar.- La influencia de las señales o rayos de radar sobre el funcionamiento
de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los
resultados de las investigaciones más recientes son que las señales muy fuertes de radar
pueden inferir en el procesamiento electrónico de la información, pero únicamente si la
señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la
antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y,
en algún momento, estuviera apuntando directamente hacia dicha ventana.
Instalaciones Eléctricas.- Es común que se produzcan picos en la corriente eléctrica o
distorsión de señales, que provoquen inestabilidad, o en su defecto si no se cuenta con un
buen UPS, los sistemas pueden dañarse al fallar la energía eléctrica.
Ergometría.- El enfoque ergonómico plantea la adaptación de los métodos, los objetos, las
maquinarias, herramientas e instrumentos o medios y las condiciones de trabajo a la
anatomía, la fisiología y la psicología del operador. Entre los fines de su aplicación se
encuentra, fundamentalmente, la protección de los trabajadores contra problemas tales
como el agotamiento, las sobrecargas y el envejecimiento prematuro.
b)
Amenazas ocasionadas por el hombre.
Robo.- Las computadoras son posesiones valiosas de las empresas y están expuestas, de la
misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los
operadores utilicen la computadora de la empresa para realizar trabajos privados o para
otras organizaciones, de esta manera, roban tiempo de máquina. La información importante
o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de
dólares en programas y archivos de información, a los que dan menor protección que la que
otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy
fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro.
23
Fraude.-Cada año, millones de dólares son sustraídos de empresas y en muchas ocasiones,
las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo,
debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes,
auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, razón por la
cual no se da ninguna publicidad a este tipo de situaciones.
Sabotaje.-El peligro más temido en los centros de procesamiento de datos, es el sabotaje.
Empresas que han intentado implementar programas de seguridad de alto nivel, han
encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede
ser un empleado o un sujeto ajeno a la propia empresa. Físicamente, los imanes son las
herramientas a las que se recurre, ya que con una ligera pasada la información desaparece,
aunque las cintas estén almacenadas en el interior de su funda de protección. Una
habitación llena de cintas puede ser destruida en pocos minutos y los centros de
procesamiento de datos pueden ser destruidos sin entrar en ellos. Además, suciedad,
partículas de metal o gasolina pueden ser introducidos por los conductos de aire
acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc.
c)
Disturbios, sabotajes internos y externos deliberados.
Control de Acceso
El Data Center y lugares aledaños, deben ser de acceso restringido, únicamente para los
encargados de la administración y gestión, es decir tomar en cuenta que tipo de sistema de
control de acceso se instalará, puede ser acceso biométrico, cerraduras de puerta
electromagnética, puertas de seguridad reforzadas, circuitos de video, etc., incluidos la
capacidad de identificación.
Entre las principales opciones utilizadas tenemos: contratación de guardias o personal de
seguridad, ubicación adecuada de detectores de metales, instalación de sistemas
biométricos, de acuerdo a roles de usuario realizar verificación automática de firmas
(ampliamente utilizada por los bancos), incluso se utiliza animales para los exteriores
cuando existen terrenos de por medio y otras variantes de protección electrónica. Sin
embargo, cada una de estas opciones indistintamente presenta vulnerabilidades.
1.6 SEGURIDAD LÓGICA
El software de por sí, es considerado el elemento intangible y complejo del sistema
computacional, por ello la utilización de software para controlar la seguridad física y
lógica también lo es, y se aplica específicamente en el resguardo de los accesos al
software operativo, de desarrollo y aplicativo. En los Data Center´s, por lo general se
24
ubican los servidores o la granja de servidores, los equipos de enrutamiento de redes,
en los cuales se realiza la configuración global del sistema, y lo más importante se
guardan los datos, valor intangible invaluable de la empresa.
La seguridad lógica se plantea cumplir, al menos, con los siguientes objetivos:
Ø
Crear un buen plan de definición de roles de usuario para el acceso a archivos y
programas.
Ø
Definir meticulosamente los roles de usuario para los operadores de los sistemas,
de tal manera que con implementación de módulos de auditoría, se puedan
realizar acciones sin necesidad de supervisión.
Ø
Cerciorar que los usuarios utilicen datos y software correcto en procedimientos
correctos.
Ø
Asegurar que el flujo de información sea el correcto en fuente y destino.
Ø
Establecer niveles de control de flujo en forma orientada a conexión.
Ø
Crear líneas alternas que posibiliten el trabajo ininterrumpido, tanto en
generación como en transmisión de información.
1.7 ANÁLISIS FORENSE EN SISTEMAS INFORMÁTICOS
Si sucede un delito informático, es porque se han vulnerado la seguridad y protección
de datos, luego es cuando actúa la informática forense como una respuesta al análisis,
prevención y búsqueda de evidencias para sanción legal.
Un principio fundamental en la ciencia forense, que se usa continuamente para
relacionar un criminal con el crimen que ha cometido, es el Principio de Intercambio o
transferencia de Locard, (ver gráfico 1), [3].
Gráfico 1: Principio de Transferencia Locard
Fuente: [3]
1.7.1
Principio de transferencia de Locard
25
Zuccardi, resume este principio así: [3]
1.
“El
2.
La víctima retendrá restos del sospechoso y puede dejar rastros de sí mismo en el
sospechoso se llevará lejos algún rastro de la escena y de la víctima.
sospechoso.
3.
El sospechoso dejará algún rastro en la escena”.
De acuerdo al principio, se establece la relación entre los participantes del crimen:
lugar (escena del crimen), la víctima y el sospechoso, con el examen minucioso de
ellos se logrará encontrar la evidencia.
La evidencia desde su generación, puede sufrir alteraciones y transferencias, por ello es
importante analizar las relaciones con el fin de no desviar el camino de su búsqueda, ya
que pueden transferirse a otra persona, objeto o localización.
1.8 ESTÁNDARES, TÉCNICAS Y PROCEDIMIENTOS PARA EL ANÁLISIS
FORENSE
Se ha señalado que no existe una receta específica para realizar lo que postula la
informática forense, sin embargo dada su relación con la seguridad informática y
protección de datos, se apoya en estas herramientas para generalizar su acción. Su
validez se sustenta en la aplicación de estándares internacionales, que han sido
asumidos como generales y básicos.
1.8.1 Estándares
Se ha destacado lo novel de la ciencia forense, además los organismos de
estandarización internacional se toman su tiempo para aprobar y publicar nuevos
estándares, por ésta razón aún no existen estándares aceptados al respecto, pero existen
proyectos en desarrollo, como por ejemplo:
§
CP4DF (Código de prácticas para Digital Forensicas).- Es una selección se
criterios para guiar y asegurar actividades que tienen que ver con el análisis de
evidencia digital, provee recomendaciones y sugiere aspectos legales, policiales y
operacionales como requerimientos técnicos para adquisición, análisis y reportes
26
de evidencia, colaboración con otros grupos de investigación, gestión de casos,
soporte legal, desarrollo de políticas de seguridad para respuestas a incidentes y
plan preventivo y de continuidad [6].
§
Open source computer forensics manual.- Es un conjunto de procedimientos
propuestos por Matías Bevilacqua Trabado, traducido en herramientas GPL3, por
lo tanto está constantemente en revisión por parte de sus colaboradores, esta
herramienta propone el proceso de identificación, adquisición, análisis y
presentación para concluir con un examen forense [7].
§
Training satandars and knowwledge skills and abilities. - Es un conjunto de
reglas emanadas desde la Internacional Organization on Computer Evidence,
organismo que pretende consensuar una guía metodológica con la intervención de
la mayoría de países del mundo.
1.8.2 Técnicas
Al no existir estándares validados legal y mundialmente reconocidos, los
investigadores han proliferado con una serie de herramientas que han apuntado a
soluciones parciales para el control y adquisición de evidencias digitales. Todas las
herramientas utilizadas en auditoría informática ayudan a la operación técnica del
descubrimiento de dichas evidencias. Sin embargo, podemos anotar a: Forensics
Toolkit, desarrollada por Dan Farmer y Wietse Venema; para Linux se destaca F.I.R.E.
Linux (Forensic and Incident Response Environment y Honeynet CD-ROM).
En algunos países se prevé la creación de unidades especializadas en informática
forense dentro de las fuerzas policiales como por ejemplo el Grupo de Delitos
Telemáticos de la Guardia Civil de España, la National Hi-Tech Crime Unit en
Inglaterra, el Laboratorio de Informática Forense del Departamento de Defensa en
Estados Unidos y el Departamento de Investigación y Análisis Forense de la Fiscalía
General del Estado en el Ecuador.
1.8.3 Proceso de Análisis Forense
3
GPL: General Public License (GNU)
27
1.8.3.1 Identificación y Recolección
En este paso, se pretende que el perito descifre los antecedentes, el estado actual y
defina los procedimientos a seguir en la investigación, le permitirá recolectar toda la
información posible, precisa cuales son los dispositivos afectados o aquellos que están
ligados directa o indirectamente al delito, los roles de esos dispositivos en el sistema
computacional, así como también los responsables de los equipos y quienes estuvieron
utilizándolos últimamente. Analiza los procedimientos para conservar la integridad de
la evidencia de tal manera que no sea manipulada ni cambiada y pueda ser recogida
como prueba en los procesos legales pertinentes. Recurrirá también a la observancia
de los cánones legales especializados para proteger las evidencias en las diferentes
instancias.
1.8.3.2 Preservación
Dependiendo del caso, es importante el manejo escrupuloso, cuidadoso y delicado de
las evidencias encontradas, de tal manera que su manipulación no pueda afectar la
originalidad de la misma, en la mayoría de los casos la evidencia se encuentra en
medios magnéticos, es necesario establecer y aplicar mecanismos y operaciones
electrónicas y digitales de alta definición para sacar copias exactas de la misma, como
por ejemplo la utilización de bloqueadores de escritura de hardware. Prácticamente es
una clonación de bajo nivel (bit a bit) de la evidencia completa, sin pretender proponer
resultados a priori.
1.8.3.3 Análisis
Obtenidas las copias exactas o clones, de las evidencias, sobre ellas se procede a
examinar y realizar todo tipo de investigación, aplicando técnicas científicas y
analíticas,
para precisar las particularidades con
que aporta la evidencia.
Principalmente se determina el tipo de medio, su modelo, marca, y lectura de bits o
cadenas de bits, transformando a hexadecimal y a algún lenguaje mnemónico de
reconocimiento especial como ensamblador; luego se procederá a recuperar o
28
identificar tipos de archivos, usuarios, roles de usuario, sitios visitados en internet,
correos electrónicos, etc.
1.8.3.4 Presentación
En esta etapa, se procede a realizar el informe técnico especial, justificando la
investigación, mencionando las técnicas utilizadas pero sin caer en tecnicismos y sobre
todo puntualizando los aportes de la evidencia en particular al esclarecimiento del
delito, información que será fácilmente manejable por los abogados.
1.9
GOBIERNO PROVINCIAL DE IMBABURA
Antes de estudiar la situación diagnóstica del Gobierno Provincial de Imbabura, en lo
referente al estado de las TIC´s en la institución, es preciso señalar algunos datos
básicos del ámbito geográfico de acción de este organismo, incluidas sus competencias
y de acuerdo a ello, la conformación de la estructura orgánica y funcional del mismo.
En la siguiente tabla se resume los principales datos de la Provincia de Imbabura.
País:
Ecuador
Provincia:
Imbabura
Superficie:
4.353 Km2, ó 435.300has.
Ubicación:
Norte del país
Coordenadas:
00º 07 y 00º 52 latitud norte; 77º 48´ y 79º 12´ longitud oeste.
Límites:
Al norte la provincia del Carchi, al sur la provincia de Pichincha, al este
la provincia de Sucumbíos, y al Oeste la provincia de Esmeraldas.
Población
400.359 habitantes
Tabla 1: Datos Principales de la provincia de Imbabura
Fuente: Documentos GPI
A continuación se muestra el Mapa político de la provincia de Imbabura:
29
Gráfico 2: Mapa Político de la Provincia de Imbabura
Fuente: Documentos GPI
CLIMA.- La Provincia de Imbabura posee varios tipos de climas. La temperatura
media anual oscila entre 9,9 ºC (Estación Metereológica Iruguincho) y 22,9 ºC
(Estación Metereológica Lita). Los rangos de precipitación media anual varían entre
310,3mm (Estación Metereológica Salinas) y 3.598mm (Estación Metereológica Lita).
RELIEVE.- Es irregular, los rangos de altitud oscilan entre 600msnm, en la parte baja
del río Guayllabamba, y los 4.939 msnm en la cima del volcán Cotacachi.
Misión
Coordinar, planificar, ejecutar y evaluar el Plan de Desarrollo Provincial Participativo;
fortaleciendo la productividad, la vialidad, el manejo adecuado de sus recursos
naturales y promoviendo la participación ciudadana, a fin de mejorar la calidad de vida
de sus habitantes.
Visión
30
“El Gobierno Provincial de Imbabura, se consolida como una Institución de derecho
público, autónoma, descentralizada, transparente, eficiente, equitativa, incluyente y
solidaria, líder del desarrollo económico, social y ambiental provincial”.
Objetivos del GPI
§
Desarrollar procesos de planificación participativa, articulando planes de los
niveles: nacional, regional, provincial, cantonal y parroquial;
§
Construir, mejorar y mantener la infraestructura vial provincial, que promueva el
desarrollo económico y social en la provincia y la región;
§
Promover el desarrollo y competitividad del sector agropecuario, para generar
mayores ingresos y generar empleo;
§
Fomentar las actividades económicas y productivas de la artesanía, industria,
servicios y el turismo, conforme a las potencialidades de la provincia;
§
Construir, mejorar y mantener la infraestructura de riego provincial, para mejorar la
producción y productividad agropecuaria;
§
La preservación de los recursos naturales y el cuidado del ambiente de la Provincia;
§
Manejar adecuadamente los recursos naturales, para una buena gestión ambiental
en cuencas y micro cuencas;
§
Diseñar políticas, planes y programas tendientes a fortalecer la inclusión social, el
desarrollo cultural que permitan hacer de Imbabura una provincia equitativa,
solidaria e intercultural.
§
Diseñar e implementar un Modelo de Gestión por Resultados, a fin que el Gobierno
Provincial de Imbabura lidere la transformación provincial, atrayendo las
inversiones de la cooperación nacional e internacional.
1.9.1 Estructura orgánica del GPI
La estructura organizacional del Gobierno Provincial de Imbabura, está alineada con
su misión y se sustenta en el enfoque de procesos y productos, con el propósito de
asegurar su ordenamiento orgánico.
31
ESTRUCTURA ORGÁNICA DEL GOBIERNO PROVINCIAL DE IMBABURA
CONSEJO DEL
GOBIERNO PROVINCIAL
DE IMBABURA
PREFECTURA PROVINCIAL
PREFECTO/A
ORGANOS DE
PARTICIPACIÓN Y
CONTROL CIUDADANO
COMISIONES
ISIONE DEL
CONSEJO
CONSEJ
VICEPREFECTURA
PROCURADURÍA
SÍNDICA
GESTIÓN DE COOPERACION
INTERNACIONAL
GESTIÓN DE
PLANIFICACIÓN
GESTIÓN
TÉCNICA
AUDITORÍA
INTERNA
SECRETARÍA GENERAL
GESTIÓN ADMINISTRATIVA
´TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIONES
GESTIÓN DE
INFRAESTRUCTURA FÍSICA
GESTIÓN AMBIENTAL
PLANIFICACIÓN Y
SEGUIMIENTO DE
INFRAESTRUCTURA FÍSICA
BIODIVERSIDAD Y
RECURSOS FORESTALES
ESTUDIOS Y DISEÑOS
CUENCAS SUBCUENCAS Y
MICROCUENCAS
HIDROGRÁFICAS
EJECUCIÓN DE
INFRAESTRUCTURA FÍSICA
CALIDAD AMBIENTAL
FISCALIZACIÓN
EDUCACIÓN AMBIENTAL
GESTIÓN FINANCIERA
GESTIÓN DE LTALENTO HUMANO
RELACIONES PÚBLICAS
GESTIÓN DEL DESARROLLO
ECONÓMICO
DESARROLLO
AGROPECUARIO
GESTIÓN SOCIAL
GESTIÓN SOCIAL
INTEGRAL
DESARROLLO DE
MIPYMES RURALES
DESARROLLO
ARTESANAL
DESARROLLO TURÍSTICO
RIEGO Y DRENAJE
Gráfico 3: Orgánico Estructural del GPI.
Fuente: Documentos GPI
1.9.2
Orgánico Estructural de la Dirección de Tecnologías de la Información y
Comunicaciones del GPI.
Es a partir de septiembre del 2010, cuando oficialmente se crea la Dirección de
Gestión de Tecnologías de la Información y Comunicaciones en el GPI. Y se establece
que las TIC´s, en el Gobierno Provincial de Imbabura son el eje fundamental que
sirve de base para acelerar y optimizar el proceso de flujo de trabajo, hecho que se
manifiesta en la implementación y desarrollo continuo de herramientas de software y
hardware. Por tal razón, apoya directamente a las actividades de todas las
competencias establecidas por Ley y además a la organización administrativa interna
del GPI. Para cumplir con este objetivo se establece la siguiente estructura:
32
PREFECTURA
DIRECCION DE GESTION DE
DIRECCION
TECNOLOGIAS DE LA INFORMACION
Y COMUNICACIONES
DIRECCION
DIRECCION
Gestión de
servicios
Gestión de
infraestructura
Gestión de
proyectos
Gráfico 4: Orgánico Estructural de la Dirección de Tecnologías de la Información y Comunicaciones del GPI.
Fuente: Documentos GPI
Unidad De Gestión De Proyectos
Misión
Dirigir la formulación y seguimiento del Plan Estratégico de Tecnologías de
Información alineado al Plan Operacional y Estratégico del GPI, así como gestionar
los proyectos de Tecnología de Información y apoyar la gestión administrativa del
Departamento, y desarrollar, incorporar e implementar sistemas de información que
requiera el GPI para su óptima operación, administración y gestión.
Unidad de Gestión de Infraestructura
Misión
Diseñar, instalar y optimizar la arquitectura de hardware, software, redes (voz, datos y
telefonía) y comunicaciones del GPI de manera que permita que los productos y
servicios informáticos puedan ser brindados en condiciones de alta disponibilidad y
confiabilidad utilizando las ventajas que nos brinda la tecnología.
33
Unidad de Gestión de Servicios
Misión
Velar por la correcta operatividad de la plataforma tecnológica del GPI (hardware,
software, redes y comunicaciones), protegiendo la información tanto de ingreso como
de salida; asimismo, el soporte a usuarios de primer nivel y de la certificación de los
productos puestos en operación y brindar en forma centralizada el soporte técnico de
primer nivel en la solución de los problemas en equipos, software y servicios de
computación personal que reporten los usuarios internos y externos del GPI.
1.9.3
Evolución de la Red de Datos y del Software en el GPI.
Aproximadamente diez años atrás se implementó la primera red LAN en las
instalaciones del Consejo Provincial de Imbabura, en aquel tiempo la tecnología de
redes y comunicaciones estaba en proceso de desarrollo.
En el transcurso del tiempo fueron adquiriéndose equipos (equipos de red) que suplían
necesidades perentorias, sin establecer una proyección de normalización tecnológica
(ISO, IEEE, EIA/TIA, ITU, etc), por lo cual la red existente se ha convertido en un
híbrido de tecnologías que dejaron su vida útil años atrás, pero que sin embargo, con
ajustes técnicos –léase parches- se ha logrado mantener una red que funcione, pero
que no lo hace de la manera más óptima, por ello se hace una descripción detallada de
la situación actual de la red, especificando características técnicas de los mismos.
Con las nuevas competencias asignadas a los GADs, surgió la necesidad de fortalecer
departamentos y de utilizar espacios que no cuentan con la infraestructura física
necesaria para que el personal realice sus labores, se han realizado pequeños parches o
ampliaciones a la infraestructura, con equipos de características modestas y que no
cuentan con la robustez necesaria, ocasionando la pérdida de calidad en las
transferencia de datos y los constantes problemas como fallas en la red telefónica y en
el acceso a servicios como Internet y acceso a aplicaciones.
34
Otro problema ha sido el diseño e implementación de la infraestructura para el
funcionamiento del Data Center (cuarto de máquinas), que en el tiempo no ha contado
con el apoyo de las autoridades de turno, traducido en el no contar con los fondos
necesarios para la construcción de una área cerrada y que cuente con equipos de
refrigeración, seguridad y monitoreo que permita el constante y normal funcionamiento
de los servidores y equipos activos de la red, como resultado de esto la vida útil de los
servidores se ha reducido a una media de seis meses después de lo cual se debe
proceder a realizar mantenimiento correctivo y remplazo de partes y recuperación de
información (de ser el caso).
El directivo y funcionario moderno, debe apropiarse de los cambios y evolución
tecnológico, las TIC´s son herramientas que posibilitan mejor productividad, su
inserción es un proceso fácil en la curva de aprendizaje, pero complejo en los procesos
psicosociales, por lo cual es necesario que en el GPI se inicie con el mismo.
Es importante resaltar que, la demanda actual de servicios informáticos son
completamente convergentes, es decir, es necesario a través de la misma red enviar
datos, imagen, audio y video. De acuerdo a las circunstancias de trabajo actual, es
necesario que los objetivos de cada departamento se apeguen al cumplimiento de los
objetivos institucionales y que el elemento aglutinador tanto física como lógicamente
sea las TIC`s. En nuestro caso los procesos y productos que se trabajan en cada
departamento, en conformidad a las competencias establecidas en la ley deben tener
como punto de encuentro una aplicación gerencial.
35
CAPÍTULO II
DIAGNÓSTICO
SITUACIONAL
DEL
GOBIERNO PROVINCIAL DE IMBABURA
2.1. ANTECEDENTES DIAGNÓSTICOS
Debido a que la tecnología avanza constantemente, la seguridad informática se ve en la
misma necesidad de ir en paralelo con este avance, es así que en el Gobierno Provincial
de Imbabura desde octubre del 2010 se comenzó una investigación gracias a la
autorización y apoyo incondicional del director del Departamento de Gestión de
Tecnologías de la información y Comunicación y a los jefes de cada una de las
unidades que conforman éste departamento, con el fin de realizar un análisis de los
componentes tecnológicos e informáticos, que ayudan en la correcta gestión de la
información bajo los parámetros de seguridad Informática, tomando en cuenta la
legislación de nuestro país; ya que toda organización debe estar a la vanguardia de los
procesos de cambio, y sobre todo debe estar consciente de que disponer de información
continua, confiable y a tiempo, constituye una ventaja fundamental en el mundo
globalizado en el que nos desarrollamos, en donde debemos considerar a este
fenómeno como un proceso beneficioso, una clave para el desarrollo económico futuro
en el mundo, a la vez que es inevitable e irreversible.
2.2. OBJETIVOS DIAGNÓSTICOS
2.2.1. Determinar el estado y características de los componentes tecnológicos e
informáticos de las unidades del departamento de Gestión de Tecnologías de la
Información y Comunicación.
2.2.2. Analizar los elementos administrativos y filosóficos de las unidades del
Departamento de Gestión de Tecnologías de la Información y Comunicación.
36
2.3. VARIABLES DIAGNÓSTICAS
2.3.1.
Informático Tecnológico.
2.3.2.
Administrativo.
2.4. INDICADORES
·
Situación de la Infraestructura de Red de Datos.
·
Situación de la Infraestructura de Software.
·
Diagnóstico en Equipos en el Cuarto de Comunicaciones.
·
Cableado Estructurado.
·
Cableado Horizontal.
·
Cableado Vertical.
·
Cuartos de Telecomunicaciones.
·
Lista de Servidores.
·
Equipos de Red.
·
Equipos de Control y Seguridad.
·
Espectro Wifi.
·
Certificación de Punto de Red.
·
Mapa de Cableado.
·
Data Center
·
Topología Física.
·
Red de Internet.
·
Red de Datos
·
Red LAN interna.
·
Topología Lógica.
·
Situación actual del Software.
·
Aplicaciones Desarrolladas hasta julio del 2009.
·
Aplicaciones adquiridas a terceros.
·
Desarrollo de aplicaciones no concluidas.
·
Misión del GPI.
·
Visión del GPI.
37
·
Misión de la Dirección de Gestión de Tecnologías de la Información y
Comunicación.
·
Misión de la Unidad de Gestión de Proyectos.
·
Misión de la Unidad Gestión Infraestructura.
·
Misión de la Unidad Gestión Servicios.
·
Funciones de la Unidad Gestión de Proyectos.
·
Funciones de la Unidad Gestión Infraestructura.
·
Funciones de la Unidad Gestión Servicios.
2.5. MATRIZ DE RELACIÓN
(Ver tabla 2).
38
Variables
Determinar el estado y
características
de
los
componentes tecnológicos
e informáticos de las Informático
unidades del departamento Tecnológico
de Gestión de Tecnologías
de la Información y
comunicación
Objetivos Diagnósticos
Técnicas
Entrevista
Equipos de Control y Seguridad.
Lista de Servidores.
Equipos de Red.
Cuartos de Telecomunicaciones.
Cableado Vertical.
Cableado Horizontal.
Cableado Estructurado.
Observación
Entrevista
Observación
Entrevista
Observación
Entrevista
Documental
Documental
Observación
Entrevista
Observación
Entrevista
Diagnóstico en equipos en el cuarto de Observación
comunicaciones.
Documental
Situación de la Infraestructura de Software.
Situación de la Infraestructura de Red de
Entrevista
Datos.
Indicadores
MATRIZ DE RELACIÓN
Jefe de infraestructura
GPI
GPI
Jefe de infraestructura
Jefe de infraestructura
Jefe de infraestructura
Jefe de infraestructura
Director de Gestión de
Tecnologías de la
Información
y
Comunicación.
Director de Gestión de
Tecnologías de la
Información
y
Comunicación.
Equipos
Informes de jefes de
unidades
Fuente Información
39
Observación
Entrevista
Observación
Entrevista
Observación
Entrevista
Observación
Entrevista
Documental
Documental
Entrevista
Entrevista
Documental
Entrevista
Documental
Entrevista
Documental
Aplicaciones adquiridas a terceros.
Desarrollo de aplicaciones no concluidas.
Determinar el estado y
características
de
los
componentes tecnológicos
e informáticos de las Informático
Observación
unidades del departamento Tecnológico Situación actual del Software.
Entrevista
de Gestión de Tecnologías
Documental
de la Información y
comunicación
Aplicaciones Desarrolladas hasta julio del Entrevista
2009.
Documental
Topología Física.
Red de Internet.
Red de Datos
Red LAN interna.
Topología Lógica.
Data Center
Mapa de Cableado.
Certificación de Punto de Red.
Espectro Wifi.
Jefe de infraestructura
Jefe de infraestructura
Jefe de infraestructura
Jefe de infraestructura
Jefe de infraestructura
Director de Gestión de
TIC´s.
Informes
Departamentales
Director de Gestión de
TIC´s.
Informes
Departamentales
Director de Gestión de
TIC´s.
Informes
Departamentales.
Director de Gestión de
TIC´s.
Informes
Departamentales
Jefe de infraestructura
Jefe de infraestructura
Jefe de infraestructura
Jefe de infraestructura
40
Analizar los elementos
administrativos
y
filosóficos de las unidades
del
Departamento
de Administrativo
Gestión de Tecnologías de
la
Información
y
Comunicación.
GPI
Misión de la Dirección de Gestión de Tecnologías de
Documental
la Información y Comunicación.
GPI
Documental
Documental
Documental
Documental
Misión de la Unidad Gestión Servicios.
Funciones de la Unidad Gestión de Proyectos.
Funciones de la Unidad Gestión Infraestructura.
Funciones de la Unidad Gestión Servicios.
Tabla 2: Matriz Relación GPI
GPI
Documental
Misión de la Unidad Gestión Infraestructura.
GPI
GPI
GPI
Documental
Misión de la Unidad de Gestión de Proyectos
GPI
GPI
Documental
Visión del GPI.
GPI
Documental
Misión del GPI.
41
2.6. MECÁNICA OPERATIVA
2.6.1.
Población o Universo
El universo de la investigación es el Departamento de Gestión de Tecnologías de la
información y Comunicación.
2.6.2.
Determinación de la Muestra
Se realizó un censo, es decir se investigó (entrevistas) a todos los elementos del
Departamento de Gestión de Tecnologías de la información y Comunicación:
·
Ing. Jorge Caraguay Procel, Director de Gestión de Tecnologías de la
Información y Comunicación.
·
Ing. Fernando Miño, Jefe de Gestión de Proyectos.
·
Ing. Marcelo Jingo, Jefe de Gestión de Proyectos.
·
Ing. Edgar Martínez, Jefe de Gestión de Servicios.
2.6.3.
Información Primaria
2.6.3.1.
Entrevistas
Las entrevistas se realizaron a todos los elementos de Departamento de Gestión
y Tecnologías
de la Información y Comunicación; en el edificio del GPI
durante el mes de marzo del 2011.
2.6.3.2.
Observación
En el “Data Center” del GPI, se observó todo lo relacionado a: cableado
estructurado, cuarto de telecomunicaciones, servidores, equipos de red, equipos
de control y seguridad, red: inalámbrica, internet, datos, LAN interna y además
el software que manejan en la institución, durante los meses de febrero a abril
del 2011.
42
2.6.4.
Información Secundaria
2.6.4.1.
Documentos
Gracias a la colaboración de los integrantes del Departamento de Gestión de
Tecnologías de la información y Comunicación del GPI, se pudo examinar y
evaluar informes y reportes detallados los mismos que fueron realizados por los
integrantes del departamento.
2.7. TABULACIÓN Y ANÁLISIS DE LA INFORMACIÓN
2.7.1. Entrevistas.
Las preguntas se detallan de acuerdo al indicador correspondiente y se presenta un
análisis en concordancia a las respuestas de los funcionarios de departamento de
Gestión de la Tecnologías de la Información y Comunicación.
a) Indicador: Situación de la Infraestructura de datos
•
¿El Departamento de Gestión de Tecnologías de la Información y
Comunicación cuenta con infraestructura física, diseño e implementación
adecuada y necesaria para que sus funcionarios realicen sus labores?
•
¿Cuentan con equipos robustos en tecnología?
Análisis: Con las nuevas competencias asignadas a los GADs4, surgió la
necesidad de fortalecer los departamentos y de utilizar espacios, los mismos que
no cuentan con la infraestructura física necesaria para que el personal realice sus
labores, se han realizado
y se continúan realizando pequeños parches o
ampliaciones a la infraestructura, con equipos de características modestas y que
no cuentan con la robustez necesaria, ocasionando la pérdida de calidad en las
transferencia de datos y los constantes problemas como fallas en la red telefónica
4
GADs: Gobiernos Autónomos Descentralizados.
43
y en el acceso a servicios como Internet, correos electrónico y acceso a
aplicaciones.
Además, otro problema ha sido el diseño e implementación de la infraestructura
para el funcionamiento del Data Center (cuarto de máquinas), que en el tiempo
no ha contado con el apoyo de las autoridades de turno, traducido en el no contar
con los fondos necesarios para la construcción de una área cerrada y que cuente
con equipos de refrigeración, seguridad y monitoreo que permita el constante y
normal funcionamiento de los servidores y equipos activos de la red, como
resultado de esto la vida útil de los servidores se ha reducido a una media de seis
meses después de lo cual se debe proceder a realizar mantenimiento correctivo y
remplazo de partes y recuperación de información (de ser el caso).
b) Indicador: Situación de Infraestructura de Software
•
¿Existe una planificación informática?
•
¿En el GPI se desarrolla el software para fortalecer la integración de la
información?
•
¿Cómo ha sido la gestión de la información en el GPI?
Análisis: Se nota claramente, por faltar documentación específica sobre este
tema, que en el GPI no ha existido una Planificación Informática que sea la guía
de un proceso sistémico y gradual del desarrollo tecnológico del GPI.
La
Dirección de Gestión de TIC´s está por presentar un Plan, se lo está elaborando y
se plantea la consecución de objetivos que propicien cambios acordes a los
momentos tecnológicos que vive la sociedad actual, bajo los lineamientos de la
organización pública y normas legales conexas, con el objetivo de tener
planificaciones y regulaciones que apoyen de manera directa a conseguir:
-
Consolidar la información de todos los organismos relacionados con el GPI,
de sus direcciones y niveles de apoyo y gestión, con el objeto de que
constituya una herramienta de apoyo en la toma de decisiones.
44
-
Generar, procesar y distribuir la información requerida para sustentar la toma
de decisiones oportunas, económicamente factible y consistente para
optimizar su gestión.
-
Estructurar e impulsar el nivel de tecnología del GPI.
-
Tener sistemas de información que permita concentrar la información que se
obtiene de forma manual como la que obtiene automáticamente, y que se
encuentra dispersa, a fin de que se constituyan herramientas de apoyo que
permitan acceder oportunamente a la información precisa para elevar el nivel
de gestión operativa y de control de los recursos.
-
Tener la información que sea consistente, exacta, oportuna, económicamente
factible y relevante sobre cada uno de los niveles de gestión en cada
competencia del GPI, además en los aspectos Administrativo, financiera y
contable; de manera que facilite la toma de decisiones acertadas para la
acertada gestión del GPI.
-
Aligerar las actividades que realizan los Directivos y el personal, para
facilitar toma de decisiones, sus tareas y mejorar su productividad. Así como
también garantizar la integridad de los datos.
-
Procesamiento ágil de información administrativa y financiera, así como el
incorporar nuevos avances tecnológicos al GPI.
-
Estricto cumplimiento a los organismos de control interno y externo, en lo
referente a información de productividad, necesaria para justificar el
desempeño del GPI.
La gestión de la información en el Gobierno Provincial de Imbabura ha sido un
tema que no se le ha dado el suficiente apoyo y la continuidad necesaria en los
últimos años. Tal es así que en los últimos 10 años se ha dado 3 intentos por
desarrollar los sistemas adecuados para la gestión de la información del GPI.
Terminando con la adquisición de software tercerizado que ofrecen subsanar los
problemas, pero no es más que una breve ilusión y su migración debe hacerse más
temprano que tarde convirtiéndose en otro gran problema y gasto de recursos
económicos a corto plazo. Resultado final: El tratamiento adecuado de la
información aún es un gran problema.
45
c) Indicador: Cableado Estructurado
• ¿Se cumple con las normas y estándares de cableado estructurado en el GPI?
• ¿Conocen cuántos puntos de red tienen en el GPI y si éstos funcionan
adecuadamente?
Análisis: En el GPI se incumplen con ciertas normas y estándares de cableado
estructurado, en el edificio del GPI cuenta con 150 puntos de red fijos, que al no
existir la documentación pertinente, no permite realizar monitoreo ni seguimiento,
igualmente se han detectado que el 37 % de los puntos de red han perdido
conectividad, es decir no están cumpliendo con los mínimos estándares de cableado
estructurado. Todos los puntos de red están conectados hasta el cuarto donde se
ubican los patch panels. Al no existir documentación, se infiere de poca utilidad
realizar un esquema de la arquitectura física actual.
d) Indicador: Cableado Horizontal
• ¿Qué tipo de cableado horizontal tienen?
• ¿El cableado horizontal está diseñado apropiadamente siguiendo las reglas,
normas y estándares?
Análisis: El cableado horizontal del edificio es par trenzado categoría 5e, los pisos no
cuentan con su respectiva distribución ni bandejas metálicas de soporte. No existe
documentación acerca de las instalaciones realizadas en años anteriores.
e) Indicador: Cableado Vertical
• ¿El cableado vertical está diseñado apropiadamente siguiendo las reglas,
normas y estándares?
Análisis: No existe backbone5 que conecte las diferentes plantas del GPI, el cableado
es directo desde el cuarto de equipos hasta cada punto de red. Al no existir cableado
5
Backbone : Principales conexiones troncales de Internet
46
vertical, no existe cableado vertical redundante, por lo que cada punto de red depende
de su propia conexión.
f) Indicador: Cuarto de Telecomunicaciones
•
¿El ambiente del cuarto de telecomunicaciones cuenta con un ambiente físico
apropiado para su buen funcionamiento?
Análisis: No existen cuartos ni gabinetes intermedios apropiados GPI, pero existe un
cuarto, cerrado con paneles de vidrio, donde están instalados los equipos de
comunicaciones.
g) Indicador: Equipos de Control y Seguridad
•
¿Qué accesos de seguridad tiene el cuarto de equipos?
Análisis: Para el acceso al cuarto de equipos, solamente existe una puerta con llave,
no existen otros niveles de seguridad digital ni electrónica.
h) Indicador: Espectro Wifi
•
¿Monitorean los canales utilizados y las frecuencias en tiempo real?
•
¿Conoce Ud. los requerimientos de los usuarios?
Análisis: No se tiene documentación sobre los canales utilizados y la frecuencia es la
pública. Tampoco se han realizado monitoreo de uso de canales en tiempo real, por lo
cual no se tiene un resultado de potencias captadas, por lo que no se puede definir si
los canales wireless están llegando con sus señales óptimas que deberían estar en un
rango entre -70 dBm a -120dBm.
Son varios los requerimientos por parte de los usuarios, los mismos que se detalla a
continuación:
-
Adición de Puntos de red.- Es necesario estudiar los requerimientos de cada uno de
los departamentos, para determinar la factibilidad de la adición o modificación de
puntos de red.
47
Permisos de descarga.- Es necesario conocer los requerimientos de los usuarios
-
para así determinar las políticas y estrategias para permisos de acceso a la red en
general.
Acceso a las Aplicaciones.- Se debe conocer las necesidades de acceso de los
-
usuarios, a las aplicaciones que cada uno precise.
Mejora en la velocidad de acceso a Internet.- el acceso a la red de internet se torna
-
deficiente causando inconvenientes al trabajar con ella, en vista de que no se
aplican políticas de autorización y asignación de ancho de banda.
Equipos de telefonía IP obsoletos.- Los equipos de telefonía IP han cumplido con
-
su vida útil, es notorio su deterioro, lo cual incide en su rendimiento y generación
de ruido para la red.
Expectativa por nuevas aplicaciones.- en el ámbito de gestión se precisa de nuevas
-
aplicaciones, que por lo general trabajen sobre la red y sobre la WEB. (sistema de
Gestión Institucional, sistema de información territorial, SIG en general, workflow,
control scorecard, etc).
Acceso a videoconferencias.- No existe una adecuada infraestructura para
-
videoconferencia, utilidad que es común para todas las áreas.
Mantenimiento preventivo y antivirus actualizados.- Es necesario que sea
-
permanente los mantenimientos preventivos y contar con software antivirus
actualizado.
i) Indicador: Certificación de Puntos de Red
¿Los puntos de red cuentan con una certificación en base a las normas y
•
estándares internacionales?
Análisis: No se ha podido realizar la certificación de los puntos de red, pero sin
embargo se han realizado pruebas de software con testeadores manuales, detectando
entre otras:
-
Pérdida de conectividad,
-
Atenuación a la relación de Crosstalk (ACR).
-
Pérdida de paradiafonía (NEXT).
48
-
Pérdida de retorno.
-
Retraso de propagación.
j) Indicador: Mapa de cableado
•
¿Cuentan con un mapa de cableado?
Análisis: Se puede concluir que no se cumple en su totalidad con los parámetros de
certificación de un cableado estructurado según la norma ANSI/TIA/EIA/568-B. El
mapa de cableado puede fallar.
k) Indicador: Data Center
•
¿Defina las características del “Data Center” del GPI?
Análisis: No existe un data center que cumpla las normas técnicas, en su lugar se ha
asignado un espacio donde se han ubicado los servidores y dos rack.
No se puede establecer si es que se tiene una instalación de puesta a tierra para
protección de los equipos del Data Center (en vista de que el edificio es antiguo y
pertenecía a una entidad financiera por lo que su estructura es de difícil acceso). Existe
también un UPS de 1 kVA que alimenta a los equipos de conmutación y servidores del
Data Center en caso de fallas en la energía eléctrica solo permite el funcionamiento
por 10 minutos y no soporta la carga instalada y menos soportará la proyectada.
l) Indicador: Red de Datos
•
¿La red de datos está instalada de acuerdo a las normas y estándares
internacionales?
Análisis: La Red de Datos no se encuentra instalada de acuerdo a normas y
estándares.
m) Indicador: Red LAN interna
•
¿Conoce Ud. hace que tiempo se implementó la primera red LAN en el GPI?
49
•
¿A qué estructura corresponde la red LAN?
Análisis: Aproximadamente diez años atrás se implementó la primera red LAN en el
local del Consejo Provincial de Imbabura, en aquel entonces la tecnología de redes y
comunicaciones estaba en proceso de desarrollo, los estándares respondían a
realidades diferentes a las actuales, por ejemplo en aquel tiempo, bastaba con
transmitir datos a través de la red; la voz y el video se transmitía utilizando otros
medios distintos, por lo cual se precisaba instalar otros medios físicos de transmisión.
Su estructura se corresponde a una Lan básica, donde se interconectan en cascada
todos los switchs, y la red funciona sin subneting, aprovechando únicamente la
proxificación Ethernet del servidor de red y del servidor de voz.
n) Indicador: Situación actual del Software
•
¿Cómo se podría mejorar la situación actual del software en el GPI?
Análisis: El directivo y funcionario moderno, debe apropiarse de los cambios y
evolución tecnológico, las TIC´s son herramientas que posibilitan mejor
productividad, su inserción es un proceso fácil en la curva de aprendizaje, pero
complejo en los procesos psicosociales, por lo cual es necesario que en el GPI se
inicie con el mismo.
Es importante resaltar que, la demanda actual de servicios informáticos es
completamente convergente, es decir, es necesario a través de la misma red enviar
datos, imagen, audio y video.
De acuerdo a las circunstancias de trabajo actual, es
necesario que los objetivos de cada departamento se apeguen al cumplimiento de los
objetivos institucionales y que el elemento aglutinador tanto física como lógicamente
sea las TIC`s. En nuestro caso los procesos y productos que se trabajan en cada
departamento, en conformidad a las competencias establecidas en la ley deben tener
como punto de encuentro una aplicación gerencial.
50
o) Indicador: Aplicaciones desarrolladas hasta julio del 2009
•
¿Qué porcentaje de aplicaciones desarrolladas hasta julio del 2009, presentan
un nivel de integración con el resto de software?
•
¿Cómo trabajan éstas aplicaciones?
Análisis:
§
Hasta el año 2009 se han desarrollado 31 programas informáticos
§
El 100% de las aplicaciones desarrolladas necesitan ser migradas y rediseñadas
para que se ajusten a las nuevas competencias y las nuevas políticas de desarrollo
de software de la Dirección de TICs.
§
El 95% de las aplicaciones no están debidamente documentadas.
§
El 60% de las aplicaciones anteriormente desarrolladas trabaja en forma
independiente sin una verdadera integración de la información.
En síntesis no cumplen satisfactoriamente los fines para lo cual fueron desarrolladas
éstas aplicaciones, no cuentan con manuales técnicos para su mejora, ni de usuario
para un manejo adecuado de las mismas.
p) Indicador: Aplicaciones adquiridas a terceros
•
¿Para qué actividades del GPI han contratado aplicaciones a terceros?
Análisis: Se han contratado aplicaciones para el sistema administrativo–financiero,
sistema financiero integrado y el de Posicionamiento geográfico de vehículos
q) Indicador: Desarrollo de aplicaciones no concluidas
•
¿Para qué actividades del GPI están desarrollando aplicaciones y todavía no
están concluidas?
Análisis: Para: la gestión de equipo caminero y proyectos viales, gestión de vehículos
y talleres y la gestión del talento humano.
2.7.2. Observación
51
a) Indicador: Diagnóstico de equipos en el cuarto de comunicaciones
Análisis: En el cuarto de comunicaciones se observó:
-
Equipos de escritorio que se utilizaban como servidores, cuya arquitectura no está
diseñada para ese funcionamiento.
-
Equipos descontinuados, para los cuales ya no existes repuestos.
-
La falta de equipos para realizar backups.
-
El número de puertos no satisfacen las necesidades de la red institucional.
-
Switchs linksys de 48 puertos, descontinuados.
-
Algunos switchs en buen estado.
-
Aire acondicionado doméstico.
-
1 UPS que no abastece a los equipos con que cuenta la institución.
-
3 equipos de control dactilar, que no están conectados a la red.
-
Teléfonos IP que ya presentan un desgaste avanzado.
Por lo que se puede deducir que existen problemas de conectividad, tienen alto riesgo
de pérdida de información, reducido control de acceso al Data Center, seguridad
escasa en las aplicaciones.
52
Gráfico 5: Cuarto de Telecomunicaciones
b) Indicador: Cableado Estructurado
Análisis: Durante el levantamiento de información se
observó y detectó el
incumplimiento de ciertas normas y estándares de cableado estructurado las cuales se
especifican a continuación:
·
En el cuarto de comunicaciones se ha detectado que las instalaciones de luminarias
y cables de energía eléctrica no cumplen con las normas de cableado estructurado
ANSI/EIA/TIA 569.
·
Los requisitos mínimos para separación entre circuitos de alimentación (120/240V,
20 A) y cables de telecomunicación prevé:
-
Los cables de telecomunicaciones se deben separar físicamente de los
conductores de energía;
-
cuando pasan por la misma canaleta deben estar separados por barreras
entre el cableado lógico y el eléctrico;
-
incluso dentro de cajas o compartimentos de tomas, debe haber separación
física total entre los cableados.
53
Para reducir el acoplamiento de ruido producido por cables eléctricos, fuentes de
·
frecuencia de radio, motores y generadores de gran porte, calentadores por
inducción y máquinas de soldadura, se deben considerar las siguientes
precauciones:
-
aumento de la separación física; los conductores línea, neutro y tierra de la
instalación deben mantenerse juntos (trenzados, sujetos con cinta o atados
juntos) para minimizar el acoplamiento inductivo en el cableado de
telecomunicaciones;
-
uso de protectores contra irrupción en las instalaciones eléctricas para
limitar la propagación de descargas; uso de canaletas o conductos
metálicos, totalmente cerrados y puestos a tierra, o uso de cableado
instalado próximo a superficies metálicas puestas a tierra; éstas son
medidas que irán a limitar el acoplamiento de ruido inductivo.
·
La norma ANSI/EIA/TIA 568 B establece que no deben existir empalmes a lo largo
del cableado horizontal, lo que no se cumple en algunos casos ya que no se ha
dimensionado correctamente la extensión de los cables y se encuentran colocados
jacks flotantes y patch cords para reflejarse en el patch panel.
Según los criterios de cableado estructurado:
·
No debe existir cielos falsos en los cuartos de telecomunicaciones para evitar
problemas de seguridad física. Las entradas al cuarto de telecomunicaciones del
GPI tiene cielos falsos sin las debidas protecciones.
·
Los cuartos de telecomunicaciones deben estar libres de cualquier amenaza de
inundación. No debe haber tubería de agua pasando por (sobre o alrededor) el
cuarto de telecomunicaciones. De haber riesgo de ingreso de agua, se debe
proporcionar drenaje de piso. De haber regaderas contra incendio, se debe instalar
una canoa para drenar un goteo potencial de las regaderas.
·
Los puntos de red que se encontraron sin etiqueta no cumplen con lo que especifica
la norma ANSI/EIA/TIA 606, la cual propone “el uso de Etiquetas únicas e
individuales, con la finalidad de identificar los diferentes elementos que forman
parte del equipo de telecomunicaciones, el cableado, las rutas y espacios del
54
edificio; para ello dichas etiquetas deben estar firmemente sujetas a los elementos
que se desean identificar, o de lo contrario cada uno de los elementos debe ser
marcado directamente sobre su superficie”.
Se puede concluir que no existe una correcta administración ni gestión de los
puntos de red, como se puede apreciar en el siguiente gráfico:
Gráfico 6: Patch Panels
c) Indicador: Cableado Horizontal
Análisis: Las bandejas metálicas que se encuentran instaladas en los cuartos de
telecomunicaciones no solamente soportan los cables de datos, sino, que además
conducen los cables de energía eléctrica, pudiendo causar problemas de interferencia
electromagnética en los cables de datos. Los cables que van desde el rack hasta las
bandejas de techo horizontal no se encuentran instalados con las debidas precauciones,
como se puede apreciar en el siguiente gráfico.
55
Gráfico 7: Cableado Horizontal
En algunos departamentos existen canaletas y cables instalados de forma no apropiada
en techos falsos, pisos y paredes. Debido al crecimiento de usuarios dentro de la red
se han realizado conexiones con cables directos hacia el switch del cuarto de
telecomunicaciones sin llegar a patch panel y sin usar canaletas como se puede
apreciar en el siguiente gráfico.
Gráfico 8: Conexiones de Cables Directos
Existen 30% de puntos de red que tienen daños físicos como jacks sueltos, sin face
plate, cajetines sueltos y cajetines rotos. Puntos de red no tienen etiqueta, lo cual
dificulta su ubicación dentro del edificio.
d) Indicador: Cableado vertical
Análisis: No se existe cableado vertical.
e) Indicador: Cuartos de telecomunicaciones
56
Análisis: Se observó en el cuarto de comunicaciones: dos raks de 48 UR, en el uno se
han instalado los servidores y en el otro los switch`s correspondientes con patch panels
de datos y de voz, además el router de CNT para conexión a Internet. También se
tiene un UPS de 1KVA, un sistema de aire acondicionado “doméstico” y el switch de
energía alterna.
En los switch`s ubicados en el cuarto de comunicaciones se observa una gran densidad
de puntos de red ocupados, por lo que existe poca disponibilidad para un crecimiento
futuro de la red de área local.
Los switch`s se encuentran conectados en cascada, es decir no se tiene definida una
arquitectura de switching (core, distribución y acceso), estos sirven para dar servicio a
ciertos departamentos debido a la alta demanda de puntos de red, esto produce mayor
tráfico a nivel de puertos e implica disminución en el ancho de banda haciendo que la
red se vuelva más lenta (exceso en el flooding de broadcast).
Por lo tanto inferimos que no existe Data Center, pero se ha destinado un ambiente, en
el que se encuentran servidores de: red, aplicaciones, telefonía IP, Quipux y POT.
f) Indicador: Equipos de control y seguridad
Análisis: Se observó que existen cuatro equipos para el control de ingreso y salida de
personal por huella dactilar ubicados en el primer piso del edificio principal, en los
talleres y en espacio asignado a Gestión de Ambiente, se detalla en la siguiente tabla.
CANTIDAD MARCA
MODELO
ESTADO
UBICACION
1
BioSystem
BoiKey Vx9.0
Operativo
Edificio GPI
1
BioSystem
BoiKey Vx9.0
Operativo
Talleres
1
Full Time
Full Time
Operativo
Gest. Ambiental
1
Full Time
Full Time
Operativo
PAS
Tabla 3: Equipos de control de ingreso y salida de personal
57
Estos equipos no tienen conexión a la red institucional, la lectura de datos es
realizada de forma manual.
g) Indicador: Espectro Wifi
Análisis: Se encuentran instalados en el edificio principal 6 AP, existe falta de puntos
de red y equipos de telefonía IP obsoletos, como se puede apreciar en el siguiente
gráfico:
Gráfico 9: Equipos de telefonía IP obsoletos
h) Indicador: Certificados de punto de Red
Análisis: No existen puntos de red certificados según normas y estándares vigentes.
i) Indicador: Mapa de cableado
Análisis: Se observa cables mal ponchados, jacks sin face plate, cables torcidos con
curvaturas menores a 90 grados, existen muy cerca cajas eléctricas lo cual puede
ocasionar interferencia electromagnética.
j) Indicador: Data Center
Análisis: El área posee un sistema de aire acondicionado doméstico (como se puede
apreciar en el siguiente gráfico), que no permite regular la temperatura bajo
58
parámetros técnicos adecuados, ocupa mucho espacio y su tiempo de vida útil – 8 años
- ha fenecido.
Gráfico 10: Sistema de aire acondicionado doméstico.
k) Indicador: Situación actual del Software
Análisis: Se observa en los diferentes departamentos del GPI, que existen aplicaciones
y que aunque con falencias si son utilizadas.
2.7.3. Documentos
a) Indicador: Diagnóstico de Equipos de Redes
En la siguiente tabla se indica la información analizada:
EQUIPO
/
DIAGNÓSTICO
PROBLEMA
IMPACTO
59
EXISTENCIA
Es
equipo
de
escritorio,
arquitectura
del
equipo
no
está
diseñada para ser
servidor, alto riesgo
de
pérdida
de
información,
pérdida continua en
conectividad
de
telefonía
Equipo
descontinuado, no
existen repuestos en
el mercado, su falla
total causaría
pérdida de la
información, sin
opción de
recuperación
Es
equipo
de
escritorio,
arquitectura
del
equipo
no
está
diseñada para ser
servidor,
pérdida
continua
en
conectividad
de
telefonía
clon,
con
procesador
core I7
Fallas continuas,
daños periódicos
en las piezas y
partes
Compaq
proliant
ML370
10 años de
servicio, vida útil
ha caducado,
presenta fallas
continuas,
clon, pentium
IV 3.0 GH.
5 años de servicio,
vida
útil
ha
caducado,
su
arquitectura no está
diseñada para ser
servidor,
fallas
continuas
HP proliant
DL360G6
Trabajo normal
información
Trabajo normal
información
Trabajo normal
información
DELL
POWER
EDGE 2900
HP proliant
DL360G6
no existe
No existe un equipo
que realice backups
en línea, por una
posible caída de la
red.
Pérdida
información
de
conectividad
información
conectividad
información
60
no existe
Por la red interna
del
GPI,
se
transporta todo tipo
de información
Las aplicaciones y
servicios no tienen
control de acceso,
seguridad cero en
las aplicaciones información,
los
usuarios acceden a
internet a cualquier
página
Control
no existe
No se puede definir
VLAN`s, todos los
equipos trabajan en
una sola red física y
lógica
Exceso de broadcast
en la red, ancho de
banda saturado
conectividad
no existe
Red
existente
presenta
fallos
continuos
en
transmisión,
por
exceso de broadcast,
y porque existen
muchos puertos de
los
switchs
quemados, y cada
semana se pierden
uno o dos puertos
3 switch 3com
24
puertos Presentan
(presenta fallos continuas
constantemente)
fallas
1 switch Dyna trabajo normal
de 36 puertos
2 switchs Maipu
de 48 puertos
Trabajo normal
El
número
de
puertos
no
satisfacen
las
necesidades
de
puertos de red en la
institución,
se
decrementa
continuamente
el
número de puertos,
se debe comprar
switchs
no
administrables cada
mes para suplir la
necesidad
Equipos
descontinuados, no
trabajan a capacidad
total,
producen
corte
en
comunicaciones,
propensos
a
broadcast
conectividad
conectividad
conectividad
conectividad
61
Continuas fallas
Equipos
descontinuados, no
trabajan a capacidad
total,
producen
corte
en
comunicaciones,
propensos
a
broadcast
conectividad
En internet si un
equipo se apodera
del
ancho
de
banda, este lo
consume en gran
parte, dejando al
resto
con
velocidades muy
bajas
Apropiación
de
ancho de banda de
internet por ciertos
usuarios, mediante
aplicaciones
difíciles de detectar
manualmente.
Control
En buen estado
No abastecen al
número de equipos
proyectados
seguridad y
conectividad
1
aire
acondicionado
doméstico
Su vida útil ha
caducado,
ha
tenido
4
reparaciones, las
reparaciones
se
demoran y los
equipos corren el
riesgo de colapsar
por el sistema
climático
Cuando se daña,
exceso de calor en
el
cuarto
de
equipos, riesgo de
que se quemen las
mainboards
y
procesadores de los
servidores
seguridad
1
ups
1KVA minutos
Este equipo está
funcionando como
un regulador de
voltaje, no como
un verdadero UPS,
ya que la potencia
de los equipos
instalados supera
el 1KVA
Riesgo de que se
quemen las fuentes
de poder de los
equipos, con la
consiguiente
pérdida
de
información de los
discos duros de los
servidores
Seguridad
Funcionan, pero no
están conectados en
red para trabajo en
línea
No
están
conectados a la red
Control
2 switchs linksys
de 48 puertos
(fallas
constantes,
trabajan
24
puertos en cada
uno)
no existe
2 rack de 48
RU
de
10
3 equipos de
control dactilar
no
conectados a la
red
62
En la mayoría no se
ve los números del
92 teléfonos IP teclado,
fallas
(76
% continuas en los
adquiridos
alimentadores
de
hace 6 años)
energía,
los
auriculares
presentan ruido.
No
funcionan
correctamente
Higiene
ocupacional
150 puntos de
red
(no
certificados),
de categoría 5
y
6,
que
soportan
máximo 100
Mbps
No abastecen el
número de usuarios
que requieren este
servicio, el 60 % no
pasan los niveles
básicos
de
certificación,
continuamente
se
implementa parches
–
switchs
no
administrables
para la ampliación
.
Problemas en la
transmisión
de
datos en la red
interna
Conectividad
No existe
Los cables desde el
cuarto
de
comunicaciones
hasta los puntos de
red no cumplen las
normas de cableado
horizontal
y
exceden la norma.
Distancia
entre
patch panel y punto
Conectividad
de red son muy
altos
Los equipos de
patronato no tienen
conectividad con la
red del GPI
El trabajo del PAS,
y
otras
dependencias que
pudieran ubicarse
ahí
no
tienen
conectividad con el
GPI
No existe
Conectividad
Tabla 4: Diagnóstico en Equipos del Cuarto de Comunicaciones
b) Indicador: Lista de servidores
63
En la siguiente tabla se muestra la lista de servidores con sus respectivas IP e
interfaces del GPI.
SERVIDOR
IP
INTERFAZ
Servidor de red
192.168.2.1
FastEthernet
Servidor de aplicaciones
192.168.2.2
FastEthernet
Servidor de telefonía IP
192.168.2.3
FastEthernet
Servidor sistema financiero
192.168.2.4
GigabitEthernet
Servidor de Quipux
192.168.2.5
GigabitEthernet
Servidor POT
192.168.2.6
GigabitEthernet
Tabla 5: Lista de Servidores del GPI
Ninguno de estos equipos cuenta con algún medio físico o de software que
garanticen su integridad física ni lógica, a excepción de antivirus (eset) instalado en
los equipos que utilizan Windows server 2008.
c) Indicador: Equipos de Red
En la siguiente tabla se indican los equipos de red del GPI.
CANTIDAD MARCA
Switch 3Com
3
24 puertos
Dyna
de
1
puertos
Linksys de
2
puertos
Maipu
de
2
puertos
MODELO
de 4400
ESTADO
36 2401
DEFECTUOSOS
OPERATIVO
48 Srw248g4
DEFECTUOSOS
48 My power s3152
OPERATIVOS
Tabla 6: Equipos de Red del GPI.
d) Indicador: Topología Física
64
Análisis: No se tiene documentada la descripción de la topología física y los
elementos que conforman la red del GPI incluidas sus direcciones IP, cabe mencionar
que no se ha realizado subneting, ni tampoco administración por VLAN`s.
e) Indicador: Red de Internet
Se analizó el documento correspondiente, se indica una parte del mismo:
El proveedor actual del servicio de Internet al GPI es CNT, tiene dos medios físicos
para proveer el servicio; uno de ellos es Fibra Óptica, y el otro es enlace de cobre que
se lo utiliza como backup. Éstos medios físicos llegan directamente a las instalaciones
de cuarto de comunicaciones, desde donde se realiza la distribución del servicio hacia
los diferentes usuarios del GPI.
El Internet llega hasta los equipos de enrutamiento (cisco 877-m) y servidor de red, los
mismos que se encuentran instalados en el Cuarto de comunicaciones.
Desde el servidor de red se distribuye el servicio de internet para todos los usuarios
del GPI, utilizando como medio de transmisión utp cat 5e.
No existe asignación de ancho de banda ni grupos de acceso, se realiza un bloqueo
básico a algunos dominios.
f) Indicador: Topología Lógica
El documento que nos facilita el jefe de infraestructura está indicado que no se tiene
diseñada la topología lógica de la red.
g) Indicador: Situación actual del Software
Según informes departamentales, en los últimos meses el GPI ha adquirido el sistema
financiero Olimpo, que ha absorbido el 35% de las aplicaciones desarrolladas
internamente, por lo tanto queda pendiente por desarrollar el 65%, más la integración
que se deberá hacer a causa de ésta adquisición.
65
h) Indicador: Aplicaciones desarrolladas hasta julio del 2009
Según informe departamental, tenemos que las aplicaciones desarrolladas
en la
Dirección de Gestión de Tecnologías de la Información Comunicación son:
N°
NOMBRE
1
ADMINISTRACIÓN
2
SCOAD
3
ANTICIPOS DE
SUELDO
4
BODEGA
5
CERTIFICADO
6
CONTROL DE
ACCESO
7
CONTROL
TELEFÓNICO
8
PINES
9
DOCUMENTACIÓN
EXTERNA
10
JUBILACIÓN
11
LEGAL
12
NOTICIAS
13
OBRAS
14
MANTENIMIENTO
15
ORDENES DE
BODEGA
DESCRIPCIÓN
Administra las
aplicaciones web en la
Intranet y los usuarios
Sistema de Costos por
administración Directa
Verifica las
remuneraciones de los tres
últimos meses de
empleados y trabajadores
Sistema que alimenta al
SCOAD en cuanto a
materiales y repuestos
Sistema que emite los
Certificado de No Adeudar
al GPI previa consulta en
Base de Datos
Sistema de control de
asistencia del personal
Sistema que controla el
uso de minutos de la
central telefónica
Sistema que genera y
administra pines de acceso
telefónico para los
funcionarios
Sistema de seguimiento de
la documentación que
ingresa al GPI
Verifica las
remuneraciones de los tres
últimos meses de los
jubilados
Sistema que permite ver
las Resoluciones,
Ordenanzas y Actas
Es un generador de
noticias que se conecta a la
WEB
Módulo del SCOAD
Sistema que registra los
mantenimientos
vehiculares
Ordenes de Ingreso a
Bodega
ESTADO
OBSER VACIÓN
WEB, PHP,
MYSQL
OPERANDO
Migrar
WEB, PHP,
MYSQL
NO ESTA EN
USO
Migrar
WEB, PHP,
MYSQL
NO ESTA EN
USO
Migrar
WEB, PHP,
MYSQL
NO ESTA EN
USO
Migrar
WEB, PHP,
MYSQL
OPERANDO
Migrar
WEB, PHP,
MYSQL
OPERANDO
Migrar
WEB, PHP,
MYSQL
OPERANDO
Migrar
WEB, PHP,
MYSQL
OPERANDO
Migrar
GPI WEB,
PHP,
MYSQL
OPERANDO
Migrar
WEB, PHP,
MYSQL
NO ESTA EN
USO
Reempla-zado
por OLYMPO
WEB, PHP,
MYSQL
NO ESTA EN
USO
PLATA –
FORMA
directamente
WEB, PHP,
MYSQL
que permite
la gestión de
Obras
NO ESTA EN
USO
Migrar
NO ESTA EN
USO
Migrar
WEB, PHP,
MYSQL
NO ESTA EN
USO
WEB, PHP,
MYSQL
NO ESTA EN
USO
Reempla zado por
OLYMPO
Reemplazado
por OLYMPO
66
16
PERSONAL
Sistema de Administración
de Nómina
WEB, PHP,
MYSQL
NO ESTA EN
USO
17
ROL DE PAGOS
Sistema que genera los
roles de pago
WEB, PHP,
MYSQL
NO ESTÁ EN
USO
18
TRANSPORTE
Sistema que registra la
entrega de combustibles
WEB, PHP,
MYSQL
NO ESTA EN
USO
19
VIÁTICOS
WEB, PHP,
MYSQL
20
ACTIVOS FIJOS
Sistema de registro de
viáticos
Sistema que registra los
Activos Fijos
Sistema que registra los
Bienes de Control
Sistema que registra los
consumibles
NO ESTA EN
USO
NO ESTA EN
USO
NO ESTA EN
USO
NO ESTA EN
USO
Reempla zado por
OLYMPO
Reempla zado por
OLYMPO
Reempla zado por
OLYMPO
Reempla-zado
por OLYMPO
Reempla-zado
por OLYMP
Reempla-zado
por OLYMPO
Reempla-zado
por OLYMPO
OPERANDO
Migrar
OPERANDO
Migrar
DESARROLLO
PARALIZADO
Retomar en
nueva
plataforma
WEB, PHP,
MYSQL
OPERANDO
Migrar
WEB, PHP,
MYSQL
POR
DESARROLLA
R
Cubierto por
OLYMPO
WEB, PHP,
POSTGRES
OPERANDO
CLIPPER
DOS
OPERANDO
21
22
23
24
BIENES DE
CONTROL
CONSUMO
INTERNO
ANÁLISIS DE
PRECIOS
UNITARIOS
CONTROL DE
CONTRATOS
25
SISTEMA DE
VIALIDAD
29
ADMINISTRACIÓN
DE CONTRATOS
26
27
28
SISTEMA DE
RECURSOS
HUMANOS
SISTEMA DE
INFORMACIÓN
GEOGRÁFICA
TESORERÍA
Sistema que genera los
presupuestos de obra
Registro de Contratos
Sistema de
Administración del Equipo
Caminero
Sistema de información de
Contratos y Ordenes de
Trabajo
Sistema de gestión de
Recursos Humanos
Sistema que publica los
resultados del GIS a través
de la WEB
Control de los
comprobantes de pago,
ordenes de transferencia y
timbre provincial
FOX
FOX
FOX
HARBOUR
+DBASE
CLIPPER
WIN
HARBOURMYSQL
Migrar
Tabla 7: Aplicaciones Desarrolladas en la Dirección hasta julio del 2010
i) Indicador: Aplicaciones adquiridas a terceros
Según informe departamental, tenemos que las aplicaciones adquiridas a terceros son:
N°
NOMBRE
29
GUBWIN
30
OLYMPO
31
GEORUTA
DESCRIPCIÓ
N
Sistema
Administrativo
Financiero
Sistema
Financiero
Integrado
Posicionamiento
Geográfico de
Vehículos
PLATAFORMA
AUTOR
VISUAL FOX
SQL Server
PROTELC
OTELSA
SQL Server
ESTADO
OBSERVACIÓN
NO ESTÁ
EN USO
Reemplazado
por OLYMPO
OPERAN
DO
OPERAN
DO
Tabla 8: Aplicaciones Adquiridas a Terceros
67
j) Indicador: Aplicaciones no concluidas
Según informe departamental, tenemos que las aplicaciones no concluidas son:
N°
NOMBRE
32 SISTEMA
DE
VIALIDAD
33 GPICAR
34 RECURSOS
HUMANOS
DESCRIPCIÓN
PLATAFOR
MA
Gestión de Equipo
Caminero y Proyectos
Viales
Sistema para la Gestión
de Vehículos y Talleres
Sistema de Gestión del
Talento Humano
ESTADO
OBSERVACIÓN
Paralizado
Paralizado
Paralizado
Reemplazado
por OLYMPO
Reemplazado
por OLYMPO
Tabla 9: Aplicaciones no concluidas
k) Indicador: Misión del GPI
“Coordinar, planificar, ejecutar y evaluar el Plan de Desarrollo Provincial
Participativo; fortaleciendo la productividad, la vialidad, el manejo adecuado de sus
recursos naturales y promoviendo la participación ciudadana, a fin de mejorar la
calidad de vida de sus habitantes”.
l) Indicador: Visión del GPI
“El Gobierno Provincial de Imbabura, se consolida como una Institución de derecho
público, autónoma, descentralizada, transparente, eficiente, equitativa, incluyente y
solidaria, líder del desarrollo económico, social y ambiental provincial”.
m) Indicador: Misión de la Dirección de Gestión de tecnologías de la Información y
Comunicación
Dirigir la formulación y seguimiento del Plan Estratégico de Tecnologías de
Información alineado al Plan Operacional y Estratégico del GPI, así como gestionar
los proyectos de Tecnología de Información y apoyar la gestión administrativa del
Departamento.
n) Indicador: Misión de la Unidad de Gestión de Proyectos
Desarrollar, incorporar e implementar sistemas de información que requiera el GPI
para su óptima operación, administración y gestión.
68
o) Indicador: Misión de la Unidad de Gestión de infraestructura
Diseñar, instalar y optimizar la arquitectura de hardware, software, redes (voz, datos y
telefonía) y comunicaciones del GPI de manera que permita que los productos y
servicios informáticos puedan ser brindados en condiciones de alta disponibilidad y
confiabilidad utilizando las ventajas que nos brinda la tecnología.
p) Indicador: Misión de la Unidad de Gestión de Servicios
Velar por la correcta operatividad de la plataforma tecnológica del GPI (hardware,
software, redes y comunicaciones), protegiendo la información tanto de ingreso como
de salida; asimismo, el soporte a usuarios de primer nivel y de la certificación de los
productos puestos en operación.
Brindar en forma centralizada el soporte técnico de primer nivel en la solución de los
problemas en equipos, software y servicios de computación personal que reporten los
usuarios internos y externos del GPI.
q) Indicador: Funciones de la Unidad de Gestión de Proyectos
Según informe, le corresponde a esta unidad:
§
Participar en el proceso de formulación del Plan Anual Operativo del
Departamento y el Plan Estratégico de TIC´s, alineado al Plan Estratégico del
GPI.
§
Centralizar en la Agenda de Proyectos Informáticos, los proyectos inscritos en el
Plan Anual Operativo del GPI, Planes Departamentales y aquellos proyectos
derivados de requerimientos tanto internos como externos.
§
Gestionar la Agenda de proyectos informáticos, definiendo el alcance de los
mismos en coordinación con las áreas usuarias, así como determinando su
viabilidad técnica y estableciendo los recursos requeridos.
§
Mantener actualizada la Agenda de proyectos informáticos, así como realizar el
seguimiento periódico de la ejecución de los mismos, de acuerdo a la
planificación, a fin de informar a las instancias correspondientes los avances, y
sugerir las acciones correctivas de ser el caso.
69
§
Centralizar
y
coordinar
la
disponibilidad
de
facilidades
logísticas
y
administrativas requeridas para el desarrollo de los proyectos comprendidos en la
agenda de proyectos informáticos.
§
Participar en la formulación y actualización del Plan de Seguridad de la
Información y Plan de trabajo del GPI, así como supervisar la implementación de
las políticas, procedimientos y recomendaciones asociadas a la Seguridad de la
Información y Riesgos en TIC´s.
§
Centralizar y coordinar con los organismos públicos y privados la obtención y
renovación de licencias de instalación y operación de software de libre
distribución y propietario en caso de ser necesario y que no se contraponga con el
decreto 1014(uso y cesión de software de libre distribución), igualmente de
frecuencias del espectro radioeléctrico y servicios telemáticos; así como de
asistencia técnica que coadyuve al intercambio óptimo de información en las
redes que genere el GPI.
§
Proponer los indicadores de niveles de servicios informáticos, así como analizar y
evaluar la medición de estos parámetros, a fin de sugerir acciones para el
mejoramiento continuo de los procesos y uso de las TIC´s.
§
Formular y controlar el Presupuesto de Inversiones de Tecnologías de
Información y Comunicación.
§
Formular normas, metodologías y estándares aplicados a las TIC´s .
§
Participar como representantes del Departamento, en los procesos de selección y/o
adquisición de bienes y/o servicios.
§
Consolidar las necesidades de capacitación del Departamento y formular el Plan
de Capacitación para su respectiva aprobación.
§
Revisar y actualizar los procesos del Departamento de acuerdo a los avances
tecnológicos.
§
Realizar otras funciones afines que le sean asignadas por la Jefatura del
Departamento.
Funciones Particulares:
§
Elaborar el perfil técnico de los proyectos de sistemas de información, definidos
en la Agenda de proyectos informáticos.
70
§
Planificar las actividades y recursos de los proyectos de sistemas de información,
de acuerdo a las normas establecidas en el GPI.
§
Desarrollar los sistemas de información que requieran las dependencias del GPI,
de acuerdo a las prioridades establecidas en la Agenda de proyectos informáticos.
§
Efectuar el mantenimiento y actualización de los sistemas de información
garantizando su adecuación a las necesidades de los usuarios, su continuidad y/o
correcta operatividad.
§
Implementar las soluciones de sistemas de información desarrolladas por la
Sección, así como participar y supervisar la implementación de las aplicaciones
adquiridas o cedidas por terceros, a fin de garantizar su correcta operatividad e
integración con la arquitectura de aplicaciones del GPI.
§
Proponer soluciones en sistemas de información que optimicen los procesos y
generen valor al GPI.
§
Participar en la definición de especificaciones técnicas de los sistemas de
información adquiridos o cedidos por terceros, así como supervisar el
cumplimiento de las obligaciones contractuales respectivas.
§
Participar en las reuniones de coordinación de proyectos de sistemas de
información con entidades externas.
§
Participar en la elaboración de normas, metodologías, estándares y/o técnicas, que
mejoren y optimicen los procesos de planeamiento, desarrollo e implementación
de los sistemas de información.
§
Participar en la elaboración de estándares y Plan de Seguridad de la Información,
asimismo, implementar las políticas de Seguridad de Información.
§
Apoyar al usuario final en el adecuado uso de los sistemas de información,
proporcionándole las herramientas y los medios necesarios para tales fines.
§
Participar en la formulación del Plan Operativo y presupuestos de inversión del
Departamento en recursos de hardware y software que requiera el GPI para la
implementación del Plan Estratégico de TIC´s y Plan Operativo Anual.
§
Administrar la documentación de los sistemas de información; así como, la
biblioteca técnica que incluya los manuales y documentos que sirvan de apoyo a
los usuarios finales y de actividades de investigación.
71
r) Indicador: Funciones de la Unidad de Gestión de infraestructura
Según informe, le corresponde a esta unidad:
§
Evaluar, planificar, diseñar y configurar la arquitectura de comunicaciones de los
computadores centrales, servidores corporativos, redes de voz, telefonía y datos,
tanto interno como externo al GPI.
§
Investigar nuevas tendencias tecnológicas, evaluar y probar nuevos productos de
hardware, software y servicios para considerar su posible aplicación en el GPI.
§
Planificar el crecimiento o expansión de la infraestructura de comunicaciones o
telefonía que requiera el GPI para el cumplimiento del Plan Operativo y de TIC´s.
§
Brindar el soporte especializado en infraestructura y comunicaciones o supervisar
el servicio de terceros en servicios de su competencia.
§
Definir la arquitectura en infraestructura, comunicaciones y telefonía asegurando
su integración con los servicios informáticos que el GPI posee.
§
Evaluar, diseñar, implementar, mantener y definir la configuración de los medios
de comunicaciones para los puntos de red rurales.
§
Participar en la formulación de los Planes de Tecnología de Información y
Presupuesto del Departamento en relación a equipos y software de la
infraestructura de cómputo y telefonía, definiendo las especificaciones técnicas de
sus componentes.
§
Diseñar, implementar, administrar, dar soporte y mantenimiento del sistema de
gestión de redes de comunicación y servicios garantizando la continuidad y
correcta operatividad.
§
Participar en la evaluación e instalación de sistemas, equipos informáticos y
telefonía adquiridos por otras dependencias que requieran conexión a la red de
comunicaciones del GPI.
§
Coordinar con los proveedores de servicios de transmisión de datos así como
realizar las coordinaciones para los mantenimientos preventivos y correctivos.
§
Diseñar y mantener el modelo físico de las bases de datos del GPI, permitiendo su
eficiente utilización en los sistemas operacionales y de información.
§
Coordinar, diseñar, evaluar e implementar la interconexión de equipos y redes del
GPI con redes de otras instituciones.
72
§
Mantener actualizado el software base del GPI, planificando y ejecutando la
instalación de las nuevas versiones.
§
Asegurar la permanente comunicación, funcionalidad, confiabilidad y seguridad
entre las dependencias del GPI, estableciendo normas que garanticen la seguridad
en la transmisión y/o recepción de voz, así como su buen uso.
§
Evaluar, planificar y diseñar las mejoras en la red de comunicaciones y telefonía
corporativa, en cuanto a recursos de hardware, software, ancho de banda y de la
infraestructura de comunicaciones en la red interna y externa al GPI.
§
Evaluar, diseñar, controlar y definir la configuración de los equipos de
comunicación, conformados por routers, switches, puntos de acceso y módems,
centrales telefónicas y/o servidores de llamadas, en las sedes administrativas y
operativas del GPI.
§
Administrar el inventario de licencias de software y equipos de cómputo que el
GPI adquiera, reciba en legación o alquile.
§
Realizar otras funciones afines que le sean asignadas por la Jefatura del
Departamento.
s) Indicador: Funciones de la Unidad de Gestión de Servicios
Según informe, Le corresponde a esta unidad:
§
Recibir y registrar las solicitudes de atención de problemas reportados por los
usuarios.
§
Velar por la operatividad y seguridad física del centro de cómputo, protegiendo la
información de ingreso, salida y almacenamiento.
§
Participar en la elaboración del Plan de Contingencia que hará frente a las
interrupciones en las operaciones del sistema de cómputo y las redes. Así como
también, la implementación de acciones que mitiguen los riesgos en TIC´s.
§
Aplicar las normas y estándares en la certificación de productos informáticos, así
como de los procedimientos automatizados, a fin de incrementar la productividad
de los recursos de cómputo.
§
Supervisar los sistemas de monitoreo de la plataforma tecnológica, a fin de
garantizar su adecuado funcionamiento.
73
§
Centralizar y atender en primer nivel a los usuarios finales en la solución de
problemas de operación de sus equipos de cómputo, software aplicativo y
comunicaciones.
§
Aplicar las políticas y procedimientos de seguridad de acuerdo al Plan de
Seguridad de la Información y Plan de trabajo del GPI, en lo relacionado a su
competencia.
§
Procesar los datos generados por las áreas y emitir oportunamente la información
requerida por los usuarios y las aplicaciones.
§
Ejecutar los planes de respaldo y las recuperaciones de información que se
requieran para garantizar la continuidad operativa de la instalación.
§
Proponer,
implementar
y/o
actualizar
herramientas
y
de
adecuados
procedimientos de administración de centros de cómputo.
§
Otras funciones afines que le sean asignadas por la Jefatura del Departamento.
§
Brindar el soporte técnico de primer nivel a los usuarios, de ser necesario escalar
la atención a soporte especializado (a las oficinas del Departamento),
manteniendo informado en todo momento al usuario.
§
Realizar la priorización, asignación y el seguimiento de los requerimientos
registrados.
§
Absolver consultas técnicas de los usuarios, incentivándolos en el mejor uso y
operación de las tecnologías de la Información.
§
Facilitar el cumplimiento de su función con el uso de herramientas de distribución
de software, toma de inventario y control remoto.
§
Administrar la Base de Conocimientos de Solución de Incidentes, para un correcto
uso y distribución de información a los usuarios, como también para la
elaboración de un Plan de Capacitación anual a usuarios finales.
§
Capacitar al usuario final, suministrando conocimientos del software aplicativo
para su correcta utilización y explotación.
§
Ejecutar los planes de respaldo y la recuperación de información que se requieran
para garantizar la continuidad operativa del GPI.
§
Administrar los medios de almacenamiento de datos que permitan una
operatividad óptima de los recursos informáticos.
74
§
Proponer mejoras en los procesos de ejecución Batch y/o Distribuidos para un
mejor uso de los recursos tecnológicos del GPI.
§
Elaborar y actualizar la documentación de los sistemas de información
desarrollados por el Departamento, centralizando en la biblioteca técnica los
manuales y documentos que sirvan de apoyo a los usuarios finales y de referencia
técnica a los integrantes de la Sección.
§
Realizar otras funciones afines que le sean asignadas por la Jefatura del
Departamento.
2.8. FODA
2.8.1. Fortalezas
§
Know how6 del personal técnico de la dirección de TIC.
§
Estructura Organizacional adecuada de la Dirección de TIC´s.
§
Predisposición al cambio.
§
Apoyo del Director de TIC´s.
§
Presupuesto asignado para equipamiento tecnológico.
2.8.2. Oportunidades
§
Nuevo Marco Legal a favor de las competencias de GPI en aspectos tecnológicos
(COOTAD7).
§
Colaboración con CONCOPE8 para capacitación e implementación de herramientas
tecnológicas.
§
Interés de empresas e instituciones públicas para convenios de cooperación
§
Apoyo de la Dirección de Gestión de Cooperación Internacional.
§
Posibilidad de cooperación con empresas públicas venezolanas.
§
Posibilidad de implementar software de uso libre, minimizando costos.
§
Posibilidad de adquirir herramientas
informáticas forenses para inducir a un
proceso preventivo de los ataques tecnológicos.
6
Know how: Conocimiento que se adquiere en base a la experiencia
COOTAD: Código Orgánico de Ordenamiento Territorial Autonomía y Descentralización
8
CONCOPE: Consorcio de Gobiernos Provinciales del Ecuador.
7
75
§
Coyuntura política.
2.8.3. Debilidades
§
Falta de personal técnico para apoyo en procesos de administración y proyectos de
TI.
§
Falta de planificación de informática adecuada.
§
Carencia de un plan de capacitación adecuado.
§
Espacio físico no funcional para el desarrollo de actividades de la dirección de
TIC´s.
§
Falta de normas y políticas sobre el uso de TIC´s.
§
Insuficientes recursos financieros para contratación de personal técnico.
2.8.4. Amenazas
§
Falta de comunicación y colaboración con las diferentes áreas.
§
Carencia de definición formal de procesos en las diferentes áreas.
§
Dependencia de terceros en la implantación de software propietario
§
Demora en el establecimiento formal de los cargos y funciones correspondientes a
la nueva estructura orgánica vigente.
§
Recortes presupuestarios debido a situaciones emergentes.
§
El cambio en la definición de políticas tecnológicas en el país.
§
Incremento de nuevas formas de delinquir tecnológicamente.
2.9. ESTRATEGIAS FA, FO, DO, DA
Amenazas
Fortalezas
§
§
Oportunidades
Fortalecer las capacidades de gestión §
institucional para la gobernabilidad
democrática a través del uso de las
TIC´s.
Diseñar una metodología para
implementar el análisis informático
forense en el GPI.
§
Diseñar e implementar los manuales
de normalización para el desarrollo
de las aplicaciones y el uso del
hardware y software, de tal forma
que el personal del área de
informática como los usuarios tenga
el conocimiento de las actividades
que se puede realizar y las
herramientas disponibles.
Implementar
una
metodología
informática forense para el control
preventivo de ataques tecnológicos.
76
§
Debilidades
§
§
Diseñar
políticas
y §
procedimientos
a
ser
implementados en el GPI.
Mejorar la seguridad en el área
física del “Data Center”.
Implementar mecanismos de §
seguridad de acceso al software,
en sus diferentes niveles:
protección a la red, a la base de
datos, a los sistemas y a los datos.
§
Realizar un análisis de varias
herramientas
informáticas
forenses, que podrían utilizarse
en caso de presentarse un delito
informático.
Establecer
un
plan
de
contingencia tanto de hardware
como de software, para garantizar
la
continuidad
en
el
procesamiento de datos.
Promover
mecanismos
de
respaldo tanto en hardware como
software.
Tabla 10: Estrategias FA, FO, DO, DA
Nota:
En el capítulo V se desarrolla la siguiente estrategia, planteada en la tabla anterior.
§
Diseñar políticas y procedimientos a ser implementados en el GPI.
En el capítulo VI se desarrolla las siguientes estrategias, planteadas en la tabla anterior.
§
§
Diseñar una metodología para implementar el análisis informático forense en el
GPI.
Realizar un análisis de varias herramientas informáticas forenses, que podrían
utilizarse en caso de presentarse un delito informático.
2.10. DETERMINACIÓN DEL PROBLEMA DIAGNÓSTICO
El campo de acción de un departamento informático siempre está en constante desarrollo y
evolución y no es ajeno a esta dinámica de cambio el departamento de Gestión de las
Tecnologías de la Información y comunicación del GPI.
Del análisis de la información
diagnóstica, se puede concluir que el problema principal es la falta de una Metodología
para el análisis informático forense en el Gobierno Provincial de Imbabura, causada
básicamente por: la falta de personal técnico para apoyo en procesos de administración y
proyectos de tecnologías de información, la carencia de un plan de capacitación, normas y
políticas sobre el uso de TIC´s, combinadas con la falta de comunicación y colaboración en
77
las diferentes áreas y además el incremento sustancial de nuevas formas de delinquir
tecnológicamente, que conducen al GPI a estar expuesto a problemas de seguridad como:
fraude, robo de información confidencial, espionaje institucional, competencia desleal,
etc., presentando una vulnerabilidad alta, que al ser descubierta por un atacante, el GPI se
encontraría en serios problemas.
78
CAPÍTULO III:
ANÁLISIS DE LA SITUACIÓN JURÍDICA EN
EL ECUADOR
3.1.
ANTECEDENTES
Gerberth Adín Ramírez Rivera, nos dice que “para que todo lo realizado en la informática
forense sea exitoso, es necesario que se tengan regulaciones jurídicas que penalicen a los
atacantes y que pueda sentenciárseles por los crímenes cometidos. Cada país necesita
reconocer el valor de la información de sus habitantes y poder protegerlos mediante leyes.
De manera que los crímenes informáticos no queden impunes” [8].
La Pirámide Kelseniana es un referente que ilustra la categorización de las leyes y normas
legisladas en general [9]. La propuesta de Kelsen adaptada a la realidad ecuatoriana y al
nuevo orden legal y de derecho, podemos resumirla en:
-
La Constitución del Ecuador, en su art. 24 establece: “La Constitución es la
norma suprema y prevalece sobre cualquier otra del ordenamiento jurídico. Las
normas y los actos del poder público deberán mantener conformidad con las
disposiciones constitucionales; en caso contrario carecerán de eficacia jurídica.
La Constitución y los tratados internacionales de derechos humanos ratificados
por el Estado que reconozcan derechos más favorables a los contenidos en la
Constitución, prevalecerán sobre cualquier otra norma jurídica o acto del poder
público”.
-
La Constitución del Ecuador, en su art. 425 reza: “El orden jerárquico de
aplicación de las normas será el siguiente: La Constitución; los tratados y
convenios internacionales; las leyes orgánicas; las leyes ordinarias; las normas
regionales y las ordenanzas distritales; los decretos y reglamentos; las
ordenanzas; los acuerdos y las resoluciones; y los demás actos y decisiones de
79
los poderes públicos. En caso de conflicto entre normas de distinta jerarquía, la
Corte Constitucional, las juezas y jueces, autoridades administrativas y
servidoras y servidores públicos, lo resolverán mediante la aplicación de la
norma jerárquica superior. La jerarquía normativa considerará, en lo que
corresponda, el principio de competencia, en especial la titularidad de las
competencias exclusivas de los gobiernos autónomos descentralizados”
Las Naciones Unidas, a través del CNUDMI (Comisión de las Naciones Unidas para el
Derecho Mercantil Internacional), en 1996 publica la Ley Modelo sobre comercio
Electrónico, incluyendo una guía para que sea incorporada en el aparato legal de cada País,
siendo ésta la primera experiencia formal sugerida a los países para poder utilizar los
medios electrónicos y digitales como instrumentos para finiquitar tratos y negocios,
facultando los principios de no discriminación, neutralidad y equivalencia, tanto interna y
externamente en cualquier país. En el 2001, el CNUDMI, lanza la Ley modelo para
utilización de firmas electrónicas y establece los criterios para su fiabilidad técnica y su
equivalencia entre firma manuscrita y la propuesta. En el 2005, este organismo convocó a
una convención para tratar sobre la utilización de las comunicaciones electrónicas en los
contratos internacionales, garantizando la validez del comercio internacional utilizando
medios electrónicos.
En el 2006, se realiza una recomendación a la convención sobre
reconocimiento y la ejecución de las sentencias arbitrales extranjeras, como respuesta al
incremento del comercio electrónico, nuevas leyes internas en los países miembros y su
jurisprudencia [10]. Como podemos inferir, el desarrollo de las comunicaciones, causó el
aparecimiento de realizar trámites de comercio a través de las redes, es aquí cuando se
comienza a detectar ciertas vulnerabilidades que cuestionan seriamente este nuevo estilo de
vida, y que necesita de una nueva forma de prevenir, controlar y sancionar delitos que
puedan ejecutarse bajo esta modalidad.
En Sudamérica, el primer país que se preocupó por estos temas fue Chile, promulgó ley contra
delitos informáticos, la cual entró en vigencia el 7 de junio de 1983, En 1999 Colombia
publica su ley 527, misma que regula el comercio electrónico, firmas digitales y la
entidades de certificación luego en el mes de mayo del año 2000 Perú publica la ley 27269,
80
sobre Ley de Firmas y Certificados Digitales. Luego, le siguen en el 2001 Argentina y
Venezuela, luego Ecuador en el año 2002.
3.2.
LEGISLACIÓN ECUATORIANA SOBRE DELITOS INFORMÁTICOS
Desde el aparecimiento de la dependencia tecnológica en el quehacer de la humanidad, la
justicia encontró una nueva necesidad de tipificar los delitos que por esta causa iban
apareciendo, siendo similares por su consecuencia
a los delitos comunes (estafa, robo,
suplantación de identidad, etc.), pero por su origen y medio de ejecución, totalmente diferentes,
encontrando que todos aquellos dispositivos a través de los cuales se transporta y se almacena
información digital son los lugares recurrentes donde se cometen estos delitos y también por
ende son los lugares donde se puede indagar por parte del perito para encontrar las evidencias
del caso.
Como consecuencia, las investigaciones se orientan a analizar la relación entre Derecho e
informática, fueron causa de muchos congresos, foros, mesas redondas, etc, concluyendo en la
aparición de dos nuevos conceptos, esto es: Informática Jurídica y Derecho Informático; el
primero engloba todas las actividades en las que apoya la informática para la automatización
del Derecho, el segundo concepto es más complejo ya que se refiere a toda la legislación y
aparataje legal con fines de prevenir, investigar y sancionar delitos que por el uso de la
informática se producen.
Los delitos informáticos han tenido un crecimiento acelerado los últimos años y por ser
cometidos dentro de una especialidad en constante evolución, se ha vuelto necesario que
tanto el aparato legal estatal como la policía judicial en nuestro país y además los técnicos
informáticos de empresas públicas y privadas estén en constante capacitación, tanto en
seguridad de infraestructura física como lógica, esto con el fin de integrar sólidamente el
cuerpo policial y peritaje de informática forense. En entrevistas realizadas a Jueces de la
Corte de Justica de Imbabura mencionan que no están capacitados para interpretar y
resolver sobre delitos informáticos y que igualmente son contados los peritos informáticos
calificados para el efecto.
En el Ecuador, paulatinamente ha ido ganando terreno el hecho de que la información es
un bien jurídico, y que como tal debe precautelarse, para ello ha emitido la siguiente
legislación:
81
a. Constitución Política del Ecuador (2008). Art. 66, numeral 19, Art. 92
b. Ley Orgánica de transparencia y Acceso a la Información Pública (2004)
c. Reglamento General a la Ley Orgánica de transparencia y Acceso a la Información
Pública (2005)
d. Reformas al Reglamento General a la Ley Orgánica de transparencia y Acceso a la
Información Pública(2005)
e. Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos (2002)
f. Reglamento General a la Ley de Ley de Comercio Electrónico, Firmas Electrónicas
y Mensajes de Datos (2002)
g. Reformas al reglamento general a la Ley de Ley de Comercio Electrónico, Firmas
Electrónicas y Mensajes de Datos (2008)
h. Ley de Propiedad intelectual (1998)
i. Ley Especial de Telecomunicaciones. (1992)
j. Ley de Control Constitucional (Reglamento de Habeas Data)
3.3.
CÓDIGO PENAL DEL ECUADOR
A continuación se realiza un resumen de lo legislado en el Ecuador en lo que se refiere a
delitos informáticos y se relaciona con en el código penal (CP) para el establecimiento de
sanciones.
INFRACCIONES INFORMÁTICAS
Delitos contra la información protegida
(CP Art. 202)
1. Violentando claves o sistemas accede u obtiene
información
2. Seguridad nacional o secretos comerciales o
industriales
3. Divulgación o utilización fraudulenta
4. Divulgación o utilización fraudulenta por
custodios
5. Obtención y uso no autorizados
REPRESIÓN
MULTAS
6 meses a 1 año
$500 a $1000
1 a 3 años
$1.000 - $1500
3 a 6 años
6 a 9 años
$2.000 - $10.000
$2.000 - $10.000
2 meses a 2 años
$1.000 - $2.000
---
Destrucción maliciosa de documentos
(CP Art. 262)
Falsificación electrónica
(CP Art. 353)
3 a 6 años
3 a 6 años
---
82
Daños informáticos (CP Art. 415)
1) Daño dolosamente
2) Servicio público o vinculado con la defensa
nacional
3) No delito mayor
Apropiación ilícita
(CP Art. 553)
1) Uso fraudulento
2) Uso de medios (claves, tarjetas magnéticas, otros
instrumentos
Estafa
(CP Art. 563)
Contravenciones de tercera clase
(CP Art. 606)
6 meses a 3 años
3 a 5 años
$60 – $150
$200 - $600
8 meses a 4 años
$200 - $600
6 meses a 5 años
$500 - $1000
1 a 5 años
$1.000 - $2.000
5 años
$500 - 1.000
2 a 4 días
$7 - $14
Tabla 11: Infracciones informáticas.
Fuente: Código Penal del Ecuador
3.4.
LOS DELITOS INFORMÁTICOS EN EL ECUADOR
Las Naciones Unidas, a través de su organismo, CNUDMI, estableció los lineamientos
generales para que en los países miembros regulen y legislen estos nuevos actos delictivos
que aparecían y se desarrollaban conforme avanzaba la tecnología, fueron muchos los
intentos por establecer estas normas, sin embargo la situación política irregular que vivió el
país después de la dictadura, no permitieron aterrizar en algo concreto y los intentos se
desvanecían poco a poco, los primeros participantes en reuniones para proponer una ley al
respecto fueron: superintendencia de bancos, banco central, asociación de bancos privados,
asociación de financieras del Ecuador, ministerio de relaciones exteriores, servicio de
rentas internas, corporación aduanera del Ecuador, ministerio de comercio exterior,
ministerio de turismo, cámaras de comercio de Quito y Guayaquil, universidades,
operadores privados de telefonía.
Pese a que no existe tipificado como delito informático, las infracciones cometidas en o
sobre medios digitales o electrónicos, nuestra legislación ya prevé sanciones por ciertas
acciones como se lo observa en la tabla 11, esto demuestra que se necesita establecer la
metodología que permita: definirlos, demostrarlos, prevenirlos y combatirlos.
Las infracciones informáticas son de diferente índole de origen y de individuos o grupos
que las realizan, de la información recolectada, propongo la siguiente clasificación de
delincuentes informáticos:
83
Hacker: se refiere al delincuente más común en la infraestructura física y lógica de las
comunicaciones digitales y electrónicas, comúnmente se dedica a descifrar claves para
ingresar a sitios no autorizados, utilizando los mínimos recursos. Es decir, su misión violar
la seguridad informática, aunque aparentemente tengan un “código de ética”, que en su
parte pertinente indica que la información deberá ser libre y gratuita, desconfiando de la
autoridad y promoviendo procesos descentralizados. Desde luego que la concepción del
hacker, difiere con la del procedimiento legal, ya que el hecho de ingresar sin autorización
a algún sistema, ya es un delito, algunos hackers manifiestan que su ingreso a los sistemas
lo hacen por diversión, para dar un “paseo de diversión” y suelen llamarlo JOY RIDING.
Cracker: se denomina así al individuo que ingresa a un sistema informático para hacer
daños en la información o para robarla. También suele realizar reingenierías del software
para dejarlos abiertos y que no requieran claves para su activación. Generalmente su
acción se difunde a través de la red para conocimiento general.
Phreaker : Se relacionan con toda la actividad de telefonía, sea esta convencional, celular,
móvil, terrestre. Sus inicios fueron con la telefonía analógica, pero actualmente tienen
amplios conocimientos de telefonía digital e inalámbrica, es decir sobre conmutación de
paquetes. Su propósito es apoderarse, interferir, dañar, destruir, conocer, difundir, obviar
pago por uso, lucrar con el servicio, hacer actos de sabotaje, o hacer uso de la información
accediendo al sistema telefónico, busca sabotear, pinchar, pueden clonar líneas de celular,
tarjetas y captar información del aire.
Lammers: individuos que no poseen muchos conocimientos, y que actúan con los
procedimientos publicados en internet o a través de otros medios por los hackers o
crackers.
Gurus: Personas que sirven de maestros de los hackers, no están en actividad.
Bucaneros - Pirata Informático: Son aquellas personas que comercializan los productos
de los crackers.
84
Trashing: aquellos que están pendientes de la basura física y también de la basura lógica,
para utilizarla por medios informáticos con el fin de cometer delitos.
Virucker: Generalmente una variante del hacker, que al realizar el hackeo procede a
insertar código en el sistema para dañarlo, alterarlo o destruirlo, creando la consecuencia
de inutilizar los sistemas.
En los medios de comunicación pública constantemente se publican acciones delictivas
cometidas a través de medios electrónicos, pero también se especula que existen muchos
afectados que no se atreven a denunciarlos, por esta razón, no existen estadísticas formales
que permitan visibilizar el número, el tipo y la incidencia de los delitos informáticos, pero
lo que sí se asegura en estos medios es el incremento paulatino en este tipo de actividad
delincuencial.
3.5.
TIPOS DE DELITOS INFORMÁTICOS
Luego de un análisis exhaustivo de varias formas de tipificar los delitos informáticos, a
continuación se detalla una tabla que recopila la mayor cantidad de delitos y sintetiza sus
características:
Fraudes cometidos mediante manipulación de computadoras
Delitos
Reconocidos por
Naciones Unidas
las
Características
Manipulación de los datos
de entrada
Este tipo de fraude informático conocido también como sustracción de
datos, representa el delito Informático más común ya que es fácil de
cometer y difícil de descubrir. Este delito no requiere de conocimientos
técnicos de informática y puede realizarlo cualquier persona que tenga
acceso a las funciones normales de procesamiento de datos en la fase de
adquisición de los mismos.
La
manipulación
programas
Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el
delincuente debe tener conocimientos técnicos concretos de informática.
Este delito consiste en modificar los programas existentes en el sistema
de computadoras o en insertar nuevos programas o nuevas rutinas. Un
método común utilizado por las personas que tienen conocimientos
especializados en programación informática es el denominado Caballo
de Troya, que consiste en insertar instrucciones de computadora de
forma encubierta en un programa informático para que pueda realizar
una función no autorizada al mismo tiempo que su función normal.
de
85
Manipulación de los datos
de salida
Fraude efectuado por
manipulación informática
Se efectúa fijando un objetivo al funcionamiento del sistema
informático. El ejemplo más común es el fraude de que se hace objeto a
los cajeros automáticos mediante la falsificación de instrucciones para
la computadora en la fase de adquisición de datos. Tradicionalmente
esos fraudes se hacían a partir de tarjetas bancarias robadas, sin
embargo, en la actualidad se usan ampliamente equipos y programas de
computadora especializados para codificar información electrónica
falsificada en las bandas magnéticas de las tarjetas bancarias y de las
tarjetas de crédito.
Aprovecha las repeticiones automáticas de los procesos de cómputo. Es
una técnica especializada que se denomina "técnica del salchichón" en
la que "rodajas muy finas" apenas perceptibles de transacciones
financieras, se van sacando repetidamente de una cuenta y se transfieren
a otra.
Tabla 12: Fraudes mediante computadoras
Fuente: http://www.monografias.com/trabajos17/delitos-informaticos/delitos-informaticos.shtml#tippos
Falsificaciones Informáticas
Delitos
Reconocidos por las Naciones
Unidas
Características
Como Objeto
Cuando se alteran datos de los documentos almacenados en
forma computarizada.
Como instrumentos
Las computadoras pueden utilizarse también para efectuar
falsificaciones de documentos de uso comercial. Cuando empezó
a disponerse de fotocopiadoras computarizadas en color a base de
rayos láser surgió una nueva generación de falsificaciones o
alteraciones fraudulentas. Estas fotocopiadoras pueden hacer
copias de alta resolución, pueden modificar documentos e incluso
pueden crear documentos falsos sin tener que recurrir a un
original, y los documentos que producen son de tal calidad que
sólo un experto puede diferenciarlos de los documentos
auténticos.
Tabla 13: Falsificaciones informáticas
Fuente: http://www.monografias.com/trabajos17/delitos-informaticos/delitos-informaticos.shtml#tippos
86
Daños o modificaciones de programas o datos computarizados
(Delitos reconocidos por las Naciones Unidas)
Sabotaje informático:
Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de
computadora con intención de obstaculizar el funcionamiento normal del sistema.
Técnicas
que
cometer
informáticos
permiten
sabotajes
Virus
Gusanos
Bomba lógica o cronológica
Características
Es una serie de claves programáticas que pueden adherirse a
los programas legítimos y propagarse a otros programas
informáticos. Un virus puede ingresar en un sistema por
conducto de una pieza legítima de soporte lógico que ha
quedado infectada, así como utilizando el método del Caballo
de Troya.
Se fabrica de forma análoga al virus con miras a infiltrarlo en
programas legítimos de procesamiento de datos o para
modificar o destruir los datos, pero es diferente del virus
porque no puede regenerarse. En términos médicos podría
decirse que un gusano es un tumor benigno, mientras que el
virus es un tumor maligno. Ahora bien, las consecuencias del
ataque de un gusano pueden ser tan graves como las del
ataque de un virus: por ejemplo, un programa gusano que
subsiguientemente se destruirá puede dar instrucciones a un
sistema informático de un banco para que transfiera
continuamente dinero a una cuenta ilícita.
Exige conocimientos especializados ya que requiere la
programación de la destrucción o modificación de datos en un
momento dado del futuro. Ahora bien, al revés de los virus o
los gusanos, las bombas lógicas son difíciles de detectar antes
de que exploten; por eso, de todos los dispositivos
informáticos criminales, las bombas lógicas son las que
poseen el máximo potencial de daño. Su detonación puede
programarse para que cause el máximo de daño y para que
tenga lugar mucho tiempo después de que se haya marchado
el delincuente. La bomba lógica puede utilizarse también
como instrumento de extorsión y se puede pedir un rescate a
cambio de dar a conocer el lugar en donde se halla la bomba.
Acceso no autorizado a
Sistemas o Servicios
Por motivos diversos: desde la simple curiosidad, como en el
caso de muchos piratas informáticos (Hacker) hasta el
sabotaje o espionaje informático.
Piratas informáticos o Hackers
El acceso se efectúa a menudo desde un lugar exterior, situado
en la red de telecomunicaciones, recurriendo a uno de los
diversos medios que se mencionan a continuación. El
delincuente puede aprovechar la falta de rigor de las medidas
de seguridad para obtener acceso o puede descubrir
deficiencias en las medidas vigentes de seguridad o en los
procedimientos del sistema. A menudo, los piratas
informáticos se hacen pasar por usuarios legítimos del
sistema, esto suele suceder con frecuencia en los sistemas en
los que los usuarios pueden emplear contraseñas comunes o
contraseñas de mantenimiento que están en el propio sistema.
87
Reproducción no autorizada
de programas informáticos de
protección Legal.
Esta puede entrañar una pérdida económica sustancial para los
propietarios legítimos. Algunas jurisdicciones han tipificado
como delito esta clase de actividad y la han sometido a
sanciones penales. El problema ha alcanzado dimensiones
transnacionales con el tráfico de esas reproducciones no
autorizadas a través de las redes de telecomunicaciones
modernas. Al respecto, consideramos, que la reproducción no
autorizada de programas informáticos no es un delito
informático debido a que el bien jurídico a tutelar es la
propiedad intelectual.
Tabla 14: Daños o modificaciones de programas o datos computarizados
Fuente: http://www.monografias.com/trabajos17/delitos-informaticos/delitos-informaticos.shtml#tippos
Realizando una compilación general, se puede enumerar los delitos informáticos de la
siguiente manera: fraudes, ataques contra el derecho a la intimidad, infracciones a la
propiedad intelectual, falsedades, sabotajes, terrorismo virtual, amenazas, tráfico de
drogas, calumnias, injurias, hostigamiento, acoso, pornografía infantil, entre los más
comunes.
88
CAPÍTULO IV:
NIVELES DE SEGURIDAD
4.1. SERVICIOS DE SEGURIDAD INFORMÁTICA
Todas las metodologías, actividades y acciones que se implementan para contrarrestar los
impactos de los delitos informáticos sobre la integridad y privacidad de datos, se
denominan “servicios de seguridad Informática”, mismos que se aplican de acuerdo a la
realidad de cada empresa.
Con el vertiginoso crecimiento de la Tecnologías de la Información y las
Telecomunicaciones se han abierto cada vez más las zonas vulnerables para una empresa y
sus datos.
4.1.1. Importancia de la Seguridad Informática
Desde un simple contagio de virus informáticos hasta verdaderas catástrofes han sido el
producto de las acciones de los delincuentes informáticos.
La humanidad día a día
incrementa el volumen de información, existen y aparecen más organismos, lugares e
instituciones estratégicas que manejan información de extrema confidencialidad,
información que tiene carácter de misión crítica. Por ejemplo, organismos o institutos de
investigación, financieras, aeropuertos, líneas de transporte terrestre, gobierno, militares,
educativos, etc. Tras esa información existen muchos grupos e individuos que le apuestan
a todo con tal de conseguirla. El método encontrado por estos interesados es vulnerar la
transmisión de datos y los lugares donde se almacenan los mismos. Los perjuicios sociales,
políticos y sobre todo económicos son invaluables. Es importante anotar que las
vulnerabilidades encontradas no solamente son de carácter digital, sino también ocurren
por descuido de los responsables de la información, que físicamente dejan puertas abiertas
89
que facilitan el acceso de los delincuentes. Algunos autores sostienen que cerca del setenta
por ciento de las actividades delictivas en este sector, son iniciadas por personal interno de
las organizaciones.
Las ciencias computacionales y de comunicaciones están en constante desarrollo y cambio,
vertiginosamente aparecen equipos de nuevas generaciones al igual que el software que los
gestiona, por tal razón los encargados de éstas áreas en las instituciones no tienen la
capacitación adecuada ni los conocimientos necesarios para protegerse totalmente de los
intrusos. Realidad que afrontamos en vista de que la mayoría de empresas en el mundo no
cuentan con un Plan de seguridad eficiente y es más el personal que labora en estas áreas
no están capacitados para enfrentar este reto.
Otro aspecto a destacar es la poca importancia que se da a la seguridad de la Información,
en la mayoría de los casos solamente se comienza a tomarla en cuenta, cuando ha sucedido
una intrusión o cuando ha ocurrido algún desastre.
4.2. GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN
Es hora de incentivar entre las empresas, la importancia y necesidad que tiene una acertada
gestión de la información, misma que no solo garantizará la prolongación de vida de la
empresa, sino también llegar a obtener un apropiado sistema organizativo que permita
optimizar el rendimiento productivo y minimizar los riesgos, sobre todo aquellos de fuga
de información, de amenazas internas y externas, disponibilidad de recursos, etc.
El marco de planificación y gestión integral de la seguridad de la información, tiene tres
actores que deben interactuar sistemáticamente para optimizar las inversiones y resultados
de su implementación, esto es: recurso humano, procesos y tecnología.
Actualmente, se dispone de una normativa europea y estatal en materia de protección de
datos de carácter personal cuya finalidad es proteger legal, técnica y organizativamente los
datos personales que son tratados por parte de las empresas, especialmente, a través de los
sistemas de información. Sin embargo, a través de la presente investigación, se desea
90
acercar al GPI a normas de estándar internacional, similares a las ISO 9000 y/o 14000 cuya
finalidad es certificar el proceso de gestión en materia de seguridad de la información:
UNE-ISO/IEC 17799, ISO 27001 y UNE 71502.
El objetivo del conjunto de estándares UNE-ISO/IEC 17799, ISO 27001 y UNE 71502 es
el establecimiento de metodologías, prácticas y procedimientos para proteger la
información como activo valioso.
Se propone los siguientes pasos con el fin de procurar minimizar las amenazas y apaliar los
riesgos:
a) Inventariar Activos: Es importante nominar, categorizar, describir, identificar
usuarios y ubicación de los dispositivos y activos relacionados con la información, esta
es información base para el sistema de gestión de seguridad.
b) Valorar Activos: En base al inventario, se debe realizar valoraciones periódicas,
realizar cálculos de incremento de valor y depreciación, los parámetros que se utilicen
deben estar normalizados en base a disponibilidad, integridad y confidencialidad.
c) Analizar Riesgos: Utilizando cualquier metodología para análisis de riesgos, realizar
una clasificación de ellos de acuerdo a su impacto y recoger datos necesarios que
permitan su tratamiento.
d) Tratar los riesgos y definir controles: Son las actividades que se ejecutarán, esto es:
una vez identificados los riesgos establecer los objetivos de control, es decir,
establecemos criterios de aceptación de riesgos, previo análisis de los aspectos y
normas legales y contractuales, estos riesgos deben ser controlados y revisados
periódicamente de tal manera que no incrementen el poder del riesgo, de ser necesario
subcontratar su tratamiento o en último caso eliminar el riesgo.
Desde luego, que pese a que pongamos todos los controles necesarios, no podremos
garantizar seguridad absoluta, pues nos quedará un riesgo residual.
También se encuentra en pleno auge, la aplicación del estándar TIA-942 y la
categorización de tiers (niveles), ya que gracias a este se puede llevar a cabo un replanteo
91
de las necesidades de la infraestructura de un Data Center de una manera racional y
alineada con las necesidades propias de disponibilidad del negocio en que se encuentran
las organizaciones. La infraestructura debe funcionar ininterrumpidamente, el Data Center,
se considera como la interrelación de una serie de subsistemas de infraestructura que dan
respaldo al equipamiento crítico (hardware). El estándar TIA-942 da recomendaciones y
directrices para diseñar e instalar un Data Center. En este caso, para el GPI, servirá para
prever en la planificación y en la integración con el sistema de cableado y diseño de red.
A continuación se detalla, algunas normas que el
diseñador, implementador y
administrador del Data Center y sistemas de red, debe tomar en cuenta:
4.2.1. UNE-ISO/IEC 17799
“Código de buenas prácticas para la Gestión de la
Seguridad de la Información”
El objetivo es asegurar los parámetros básicos de confidencialidad, disponibilidad e
integridad, es decir que la información pueda ser accedida únicamente por personal
autorizado, que se pueda acceder a ella en cualquier momento y que esté operativa, sin
ser manipulada en el origen ni en el destino, por ejemplo la norma sobre firmas
electrónicas se basa en este principio, el funcionamiento del D.N.I. electrónico9, las
acciones tomadas para protección de datos personales, etc.
4.2.2. Política de Seguridad
De acuerdo a los procedimientos, realizamos la identificación y evaluación de los
riesgos, vulnerabilidades y amenazas en el tratamiento de la información, luego
delinear y definir la(s) política(s) de gestión de seguridad, que contendrán los
siguientes aspectos:
9
DNI: Documento Nacional de Identidad Electrónico. En el 2006, España logró poner en marcha este
ambicioso proyecto de identidad electrónica, que ha situado a éste país en la vanguardia tecnológica
mundial.
En la actualidad, España es líder en esta tecnología, pues la Policía Nacional ha expedido hasta la fecha más
de 21 millones de DNI electrónicos.
92
·
Asignar y documentar los roles de usuarios para gestionar la información, ellos
garantizarán el cumplimiento de las políticas de seguridad, en lo referente a:
supervisión y revisión, soporte informático, permiso de acceso a servidores y a
equipos de escritorio y comunicaciones.
·
La Institución debe observar y dar cumplimiento a la normativa vigente:
Constitución, tratados internacionales, ley de comercio electrónico, propiedad
intelectual, propiedad industrial, normas y reglamentos internos.
·
Las principales funciones y competencias del personal que labore en esta área
se orientan a crear, monitorear y actualizar las normas catalogadas como
políticas de seguridad; luego, el personal para fijar los roles de usuario en el
acceso a la información, incluye permisos y soporte, control de entrada y salida
de datos, caracterización y solución de incidencias, etc.; además, debe
orientarse al usuario final a tratar la información con ética, sujetándose a las
políticas y normas de gestión de la organización.
·
Dentro de las normas es importante puntualizar el valor de la información que
sirve de apoyo en las transacciones internas y sobre todo externas, asegurando
su confidencialidad mediante firma de acuerdos entre pares.
·
Definidas las políticas, normas, procedimientos y el personal relacionado con la
seguridad informática, se precisa establecer las acciones a implementar para
asegurar la información, por ejemplo todo el proceso para almacenamiento de
backups, proceso para cambio periódico de claves, proceso para elaboración,
revisión y custodio de manuales técnicos, etc.
Comúnmente, en el ámbito de seguridad informática se ha utilizado la norma ISO
27001, misma que sustituye a la BS 7799-2:2002 y que complementa a la UNEISO/IEC 17799.
4.2.3. UNE 71502
Esta norma fue certificada por AENOR (Asociación Española de Normalización y
Certificación). Se le denominó: Especificaciones para los sistemas de Gestión de la
Seguridad de la información (SGSI). Fue anulada por UNE-ISO/IEC 27001:2007, su
93
aparición en el 2004, aportó en procesos y procedimientos para adecuar la seguridad de la
información, el principal producto desarrollado fue MAGERIT10, ampliamente utilizado en
la administración pública española, dirigida especialmente para declarar, evaluar y
gestionar los riesgos informáticos.
4.2.4. ISO 27000
Para la adecuada gestión de la seguridad de la información, es necesario implantar un
sistema que aborde esta tarea de una forma metódica, documentada y basada en unos
objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la
información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por
ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
A continuación se presenta un resumen de las distintas normas que componen la serie ISO
27000 y se indica cómo puede una organización implantar un sistema de gestión de
seguridad de la información (SGSI) basado en ISO 27001 [11].
La serie 27000
Enfrenta la seguridad de la información de una forma sistémica, metódica, con
documentación detallada y con una definición de objetivos precisos de seguridad y
evaluación de riesgos informáticos dentro de una organización.
10
MAGERIT: Es un método formal para investigar los riesgos que soportan los Sistemas
de Información y para recomendar las medidas apropiadas que deberían adoptarse para
controlar estos riesgos.
94
Se le denomina serie porque lo componen varios estándares, algunos normalizados
oficialmente, otros en proceso por la ISO (Organización Internacional de Estandarización)
y por la IEC (Comisión Internacional Electrotécnica).
Con el fin de no obviar ciertos aspectos que podrían ser excluidos en este trabajo, se
propone al lector recurrir al sitio oficial: http://www.iso27000.es/iso27000.html, donde se
encontrará a detalle la metodología de acuerdo a estas normas de como una organización
puede implementar un sistema de seguridad de la información, basada sobre todo en ISO
27001. A continuación se muestra un gráfico, que clarifica el proceso para implementar
estas normas, identificando las fases de: planificación, implementación, seguimiento y
mejora continua.
Gráfico 11: Fases de: Planificación, Implementación, Seguimiento y mejora continua.
Fuente: www.ISO27000.es
En cuestión de normas y metodologías relacionadas con la seguridad de la información y
de los procesos informáticos, existen diversas fuentes, el objetivo es el mismo, cambian
ciertos pasos en las fases, a continuación sólo mencionaremos algunas:
95
·
ISO del comité SC27 (2010) .- http://www.jtc1sc27.din.de/cmd?level=tplhome&contextid=jtc1sc27&languageid=en
·
ISO/IEC 20000 (2011).http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber
=51988
Gráfico 12: ISO/IEC 20000 (2011)
Fuente: www.ISO27000.es
·
ITIL (IT Infraestaructure Library).- http://www.itilofficialsite.com/home/home.aspx
Gráfico 13: ITIL (IT Infraestaructure Library)
Fuente: http://www.itil-officialsite.com/home/home.aspx
·
NIST
(National
Institute
of
Standards
and
Technology)
Serie
800.-
http://csrc.nist.gov/publications/PubsSPs.html
96
·
CobiT (Objetivos de control para tecnologías de la información y similares).http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx
Gráfico 14: Objetivos de control para tecnologías de la información y similares
Fuente: http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx
·
COSO (Committe of Sponsoring Organizations of treadway Commission) .http://www.coso.org/publications.htm
Gráfico 15: Committe of Sponsoring Organizations of treadway Commission
Fuente: http://www.coso.org/publications.htm
97
Existen otras normas relacionadas como UNE 71502, BS 25999, BS 25777, algunas que ya
han sido retiradas o sustituidas por las anteriores.
4.2.5. TIA_942
Esta norma se relaciona con las particularidades de todos los componentes y dispositivos
que intervienen en la infraestructura sobre la cual corre o se guarda la información, desde
su diseño, implementación hasta el monitoreo y gestión.
Fue aprobado por TIA
(Asociación de Industrias de Telecomunicaciones) y ANSI (Instituto de Estándares
Nacionales
Americanos),
propone
cuatro
capas
redundantes,
que
garantizan
disponibilidad, confiabilidad y los costos en la construcción y mantenimiento. Se puede
emplear una, dos, tres o cuatro capas, a mayor número, los parámetros serán más elevados
en su calidad. Esta norma toma en cuenta los siguientes módulos: telecomunicaciones,
arquitectura, sistema eléctrico y sistema mecánico del Data Center; la siguiente tabla
ilustra los aspectos concernientes a cada módulo.
Tabla 15: Subsistemas de la Infraestructura de un Data Center
Fuente: http://www.areadata.com
Las diligencias de la norma deben ejecutarse de acuerdo a la realidad de la
organización y al grado necesario de seguridad. Para el efecto, se realiza un análisis de
98
impacto de negocio, que cuantifica económicamente el impacto que produce una
parada del Data Center en el negocio de la organización [12]. (Ver gráfico 16).
Gráfico 16: Clasificación de la Criticidad de los sistemas para distintas áreas de actividad
Fuente: http://www.areadata.com.
Un Data Center se lo calificará si cumple todos los requerimientos de la capa o nivel
correspondiente, caso contrario se lo calificará en la inmediata anterior, como se ilustra
en la siguiente tabla:
Tabla 16: Requerimientos de un data Center
Fuente: http://onunezm.blogspot.com/2010/01/data-centers.html
A continuación se describen brevemente lo que debe tomar en cuenta en cada capa o
nivel:
99
Tier I: Se refiere a la Infraestructura básica, es susceptible a complicaciones por
cualquier suceso, planificado o no, sus fallos inciden en el funcionamiento del Data
Center, generalmente se utiliza en negocios pequeños, que utilizan solo procesos
internos y a la web como herramienta de mercadeo, organizaciones que no necesitan de
calidad de servicios.
Tier II: Infraestructura que ya incluye componentes redundantes, cumple con todos los
requerimientos de la Tier I, además es necesario el generador y UPS redundante, se
aplica generalmente a negocios pequeños, es limitado el uso de equipos en las horas
normales de trabajo, estas compañías no ofrecen servicios online o realtime, su negocio
se basa en internet, pero igual no es necesaria la calidad de servicios.
Tier III: En esta infraestructura se aplica el mantenimiento continuo o redundante, los
paths de distribución son redundantes (activa y pasivas), los componentes de
preferencia son cambiables en caliente, sin interrumpir el sistema, pueden ocurrir
eventos no planeados, se eleva el riesgo durante el mantenimiento. Se aplica a
organizaciones que dan soporte continuo, es decir, online o realtime, trabajan
óptimamente en empresas transnacionales.
Tier IV: Infraestructura con tolerancia a fallas, cumple con las características de las
capas anteriores, en este caso tiene varios paths de distribución activos y pasivos de
carácter redundante, los eventos no planeados no generan interrupción, únicamente
podría suceder por alarmas de incendio y apagado de energía de emergencia. Se
aplican a organizaciones internacionales, que realicen operaciones de mercadeo activo
y online, entidades financieras, etc.
A continuación se muestra una tabla de máximo tiempo fuera que puede estar el Data
Center de acuerdo a la tier correspondiente:
TIER I
TIER II
TIER III
TIER IV
Downtime anual
28.8 h
22.0h
1.6h
0.8h
Disponibilidad
99.671%
99.741%
99.982%
99.995%
Tabla 17: TIER - Máximo tiempo fuera de un Data Center
Fuente: White Paper: Tier Classification Defines Site Infraestructure Performance – UPTIME INSTITUTE, INC.
100
4.3. VULNERABILIDAD DE LOS SISTEMAS INFORMÁTICOS.
La alta probabilidad de ocurrencia de un riesgo informático, puede darse por: virus,
códigos malignos, caballos de troya, gusanos, intromisión de hackers, etc., que pueden
afectar por diferentes medios y formas. Existe el denominado “negación de servicio”, que
básicamente ocupa un equipo como intermediario para afectar a otro, ya sea eliminando el
servicio de red, sobresaturando el ancho de banda, cambiar el sitio web de la organización,
etc., como corolario podemos manifestar que el aparecimiento de las redes de
computadoras y las interredes, elevaron el nivel de riesgo y aparecimiento de
vulnerabilidades en el mundo informático y de comunicaciones.
Con el fin de contrarrestar las vulnerabilidades y sus efectos, es necesario establecer
políticas de seguridad, procedimientos y normas específicas, basadas en leyes globales y
particulares.
Las políticas configurarán la seguridad utilizando soluciones tecnológicas, la implantación
de un plan de acción que maneje incidentes y recuperación, con ello se disminuirá el
impacto sobre los datos y también sobre los equipos.
Es necesario realizar un estudio cuantitativo y cualitativo que demuestre un costo/beneficio
positivo, al momento de planificar la implementación de seguridades, ya que no existe la
seguridad absoluta. Gastos que podrían incurrir en: utilización de antivirus, firewalls,
autenticación, definición de controles, establecimiento de políticas, elaboración de
procedimientos y redundancia de lo actuado.
4.4. AMENAZAS A LA SEGURIDAD INFORMÁTICA
4.4.1. Amenazas Lógicas
Este tipo de amenazas se refieren a las puertas abiertas que se deja al instalar y configurar
sistemas operativos y aplicaciones, también en ciertas empresas los usuarios desconocen el
tema de seguridad de la información. Sin embargo los últimos años, las empresas se han
101
dado cuenta que proteger este activo intangible es prioritario y se asigna significativo
presupuesto tendiente a solucionar este problema.
Periódicamente la CERT11 publica los "advisories", que contienen avisos de seguridad,
resultado de las investigaciones de vulnerabilidades y riesgos en el software.
4.4.2. Acceso - Uso - Autorización
La combinación de los tres conceptos pueden ocasionar que sea lícita o ilícita la acción, es
decir, si a un usuario se le asigna acceso autorizado, quiere decir que está autorizado a usar
cierto recurso; los atacantes no tienen acceso autorizado por lo tanto hacen uso de recursos
de una forma desautorizada, pero internamente el sistema lo comprende como autorizado.
Un ataque es el acceso o intento de acceso a un sistema de una forma desautorizada,
usando recursos que tampoco estaban autorizados. Un incidente es un conjunto de ataques.
John D. Howard [13] en un estudio realizado en 1995, sobre análisis de seguridad en
Internet, realiza una clasificación del número de ataques que puede tener un incidente,
concluyendo que varía entre 10 y 1000, estimando un promedio por incidente de 100
ataques.
4.4.3. Identificación de las Amenazas
El objetivo del atacante, el tipo de ataque, la forma de acceso y cómo opera, configuran la
identificación de las amenazas en un sistema informático.
Como consecuencia del ataque podría ocurrir: corrupción de los datos, denegación de
servicios y fuga de información (o redireccionamiento en la comunicación). A diario se
producen más ataques informáticos, cuyas características son, ser más sofisticados,
difíciles de encontrarlos y automáticos. En el gráfico 17 se muestra una breve síntesis de
11
CERT: Empresa de servicios especializados en las áreas de consultoría y educación para la conectividad de
redes y telecomunicaciones.
102
algunos tipos de atacantes, las herramientas que utilizan, método de acceso para el ataque,
los resultados y el objetivo de la infracción [14].
Gráfico 17: Detalle de Ataques
Fuente: HOWARD, Jhon D. Thesis: An Analysis of security on the internet 1989-1995. Carnegie Institute of Technology.
Capítulo 6 – pág. 73
4.4.4. Tipos de Ataques
Las categorías generales de amenazas o ataques [15], son las siguientes:
·
Interrupción: afecta la disponibilidad, porque pueden llegar a destruir un recurso o
dejarlo inhabilitado. Típicos ejemplos: código que formatea discos, produce cortos
entre tarjetas, bajar líneas de comunicación, etc.
·
Intercepción: afecta la confidencialidad, usuario no autorizado logra acceder, el
usuario puede ser un equipo, programa o persona. Se producen al pinchar líneas de
comunicaciones, copiar ilícitamente programas o datos, etc.
·
Modificación: afecta la integridad, usuario no autorizado accede a los recursos y
los modifica. Los programas luego del ataque funcionan de forma diferente, han
cambiado valores de configuración, administración y/o gestión.
·
Fabricación: afecta la autenticidad, entidad o usuario no autorizado inserta objetos
falsos en el sistema.
103
De acuerdo al impacto, los ataques se clasifican en pasivos y activos.
Ataques pasivos
El atacante lo que hace es escuchar y/o monitorizar la transmisión de datos,
intercepta y analiza el tráfico. Generalmente, se ocupa de obtener fuente y destino
de un mensaje, medir el volumen de tráfico, medición de hábitos en las
transmisiones para capturar información de misión crítica.
Su detección es
complicada por cuanto no altera a los datos, su contra es la utilización de
sofisticados métodos de cifrado.
Ataques activos
En este caso el atacante tiene como objetivo modificar los datos y redireccionar el
destino de la transmisión. Los principales ataques categorizados en este tipo son:
suplantación de identidad, reactuación, modificación de mensajes y degradación
fraudulenta del servicio.
Los ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo,
usando diferentes protocolos, etc. Hace varios años, los ataques involucraban poca
sofisticación técnica. Los Insiders (operadores, programadores, data entrys que
están dentro de la empresa) utilizaban sus permisos para alterar archivos o registros.
Los Outsiders ingresaban a la red simplemente averiguando una password válida. A
través de los años se han desarrollado formas cada vez más sofisticadas de ataque
para explotar "agujeros" en el diseño, configuración y operación de los sistemas, a
continuación se exponen diferentes tipos de ataques perpetrados, principalmente,
por hackers [13].
a) Ingeniería Social.- Es la manipulación de las personas para convencerlas de
que ejecuten acciones o actos que normalmente no realizan para que revele todo
lo necesario para superar las barreras de seguridad.
104
b) Ingeniería Social Inversa.- Consiste en la generación, por parte de los intrusos,
de una situación inversa a la originada en Ingeniería Social.
c) Trashing (Cartoneo).- Generalmente, un usuario anota su login y password en
un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este
procedimiento por más inocente que parezca es el que puede aprovechar un
atacante para hacerse de una llave para entrar el sistema..."nada se destruye,
todo se transforma".
El Trashing puede ser físico (como el caso descrito) o lógico, como analizar
buffers de impresora y memoria, bloques de discos, etc.
El Trashing físico suele ser común en organizaciones que no disponen de alta
confidencialidad, como colegios y universidades.
d) Ataques de Monitorización.-Este tipo de ataque se realiza para observar a la
víctima y su sistema, con el objetivo de establecer sus vulnerabilidades y
posibles formas de acceso futuro.
e)
Denial of Service (DoS).- Los protocolos existentes actualmente fueron
diseñados para ser empleados en una comunidad abierta y con una relación de
confianza mutua. La realidad indica que es más fácil desorganizar el
funcionamiento de un sistema que acceder al mismo; así los ataques de
Negación de Servicio tienen como objetivo saturar los recursos de la víctima de
forma tal que se inhabilita los servicios brindados por la misma.
f) Ataques de Modificación
(Daño.-Tampering o Data Diddling).- Esta
categoría se refiere a la modificación desautorizada de los datos o el software
instalado en el sistema víctima (incluyendo borrado de archivos).
4.4.5. Errores de Diseño, Implementación y Operación
Muchos sistemas están expuestos a "agujeros" de seguridad que son explotados para
acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades
ocurren por variadas razones, y miles de "puertas invisibles" son descubiertas (cada
día) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de
Internet, correo electrónico y todas clase de servicios informático disponible.
105
Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros más conocidos
y controlados que aquellos que existen en sistemas operativos cerrados (como
Windows©). La importancia (y ventaja) del código abierto radica en miles de usuarios
analizan dicho código en busca de posibles bugs y ayudan a obtener soluciones en
forma inmediata.
Constantemente encontramos en Internet avisos de nuevos descubrimientos de
problemas de seguridad (y herramientas de Hacking que los explotan), por lo que hoy
también se hace indispensable contar con productos que conocen esas debilidades,
puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.
4.4.6. Implementación de las Técnicas
En internet existen diferentes tipos de programas que son la aplicación de las distintas
técnicas, están en versiones ejecutables, y de otros se encuentra el código fuente,
generalmente en lenguaje C, Java y Perl.
Cada una de las técnicas explicadas (y más) pueden ser utilizadas por un intruso en un
ataque. A continuación se intentarán establecer el orden de utilización de las mismas,
pero siempre remarcando que un ataque insume mucha paciencia, imaginación
acumulación de conocimientos y experiencia dada (en la mayoría de los casos) por
prueba y error.
a) Identificación del problema (víctima): en esta etapa se recopila toda la
información posible de la víctima. Cuanta más información se acumule, más exacto
y preciso será el ataque, más fácil será eliminar las evidencias y más difícil será su
rastreo.
b) Exploración del sistema víctima elegido: en esta etapa se recopila información
sobre los sistemas activos de la víctima, cuales son los más vulnerables y cuales se
encuentran disponibles. Es importante remarcar que si la victima parece apropiada
en la etapa de Identificación, no significa que esto resulte así en esta segunda etapa.
106
c) Enumeración: en esta etapa se identificaran las cuentas activas y los recursos
compartidos mal protegidos. La diferencia con las etapas anteriores es que aquí se
establece una conexión activa a los sistemas y la realización de consultas dirigidas.
Estas intrusiones pueden (y deberían) ser registradas, por el administrador del
sistema, o al menos detectadas para luego ser bloqueadas.
d) Intrusión propiamente dicha: en esta etapa el intruso conoce perfectamente el
sistema y sus debilidades y comienza a realizar las tareas que lo llevaron a trabajar,
en muchas ocasiones, durante meses.
Contrariamente a lo que se piensa, los sistemas son difíciles de penetrar si están bien
administrados y configurados. Ocasionalmente los defectos propios de la arquitectura de
los sistemas proporciona un fácil acceso, pero esto puede ser, en la mayoría de los
casos, subsanado aplicando las soluciones halladas.
4.4.7. ¿Cómo defenderse de estos Ataques?
La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a
Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son
"solucionables" en un plazo breve de tiempo.
La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de
ataques existentes y las actualizaciones que permanentemente lanzan las empresas
desarrolladoras de software, principalmente de sistemas operativos.
4.5.
NIVELES DE SEGURIDAD A IMPLEMENTAR EN EL GPI.
Los niveles de seguridad son: el nivel físico y el lógico, en los cuales siempre se regirán los
estándares ISO de la serie 2700 y también el TIA-942
En el Nivel Lógico, un aspecto vital para el GPI es la protección de datos confidenciales y
delicados, en el posible evento de que tal información se haga pública, el GPI puede llegar
a enfrentar consecuencias legales o financieras. Por lo menos sufrirán la pérdida de la
107
confianza de los ciudadanos. En la mayoría de los casos, se puede recuperar de las pérdidas
a nivel financiero y de otras con una inversión o una compensación apropiada.
El tener información de diferentes niveles de seguridad en el mismo sistema implica una
amenaza real. No es fácil aislar diferentes niveles de seguridad de información aunque los
diferentes usuarios inician sesión utilizando diferentes cuentas con permisos diferentes y
controles de acceso diferentes.
Algunas organizaciones incluso llegan a comprar sistemas especiales para cada nivel de
seguridad; sin embargo, con frecuencia esto es excesivamente costoso. Se requiere un
mecanismo para habilitar a los usuarios en diferentes niveles de seguridad para acceder
sistemas de manera simultánea sin el temor de sufrir contaminación de la información.
Al GPI se le recomienda utilizar una seguridad Multi-Nivel, en la cual se debe clasificar el
tipo de usuario del sistema de información. Se debe otorgar a los usuarios las
autorizaciones apropiadas antes de que puedan ver información clasificada. Aquellos con
autorización
confidencial
solamente
tienen
autorización
para
ver
documentos
confidenciales y no se les permite ver información secreta o reservada. Las reglas que
aplican al flujo de datos operan desde los niveles más bajos a los más altos y nunca de
manera inversa (ver gráfico 18).
Usuario con autorización reservada
(Máximaa Seguridad)
Segu
Usuario con autorización)
(Seguridad
uridad Secreta)
S
Usuario Confidencial
(Seguridad
idad Moderada)
M
Usuario sin ninguna
clasificación
Gráfico 18: Seguridad Multinivel en el GPI
108
CAPÍTULO V:
POLÍTICAS Y PROCEDIMIENTOS
5.1 DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD
En el Gobierno Provincial de Imbabura, todos los empleados tienen acceso a Internet, se
tiene aplicaciones que corren sobre la web, los ciudadanos tienen acceso a estas
aplicaciones, por esta razón se ha definido los recursos que necesitan protección, de esta
forma se controla el acceso a los sistemas y se administra los diferentes roles de usuario,
tanto para acceso a la Intranet, así como el acceso desde Internet.
Para los casos cuando los usuarios no se encuentran en sitio, o por algún motivo deben
alejarse del lugar habitual de trabajo, los directivos y empleados pueden realizar su
trabajo remotamente, especialmente en el sistema de gestión documental y en el sistema
administrativo – financiero, además del uso de la telefonía IP utilizando un túnel VPN,
especialmente configurado para el efecto.
Una de las políticas implementadas para salvaguardar la Información, es el realizar
backups diarios de la información, misma que se graba en medios externos con el fin de
protegerla y custodiarla con altos niveles de seguridad.
El GPI, reconoce que la información tiene el carácter de:
§
Crítica, porque es indispensable para garantizar la continuidad operativa de la
institución.
§
Valiosa, que inclusive para el análisis costo / beneficio, se ha tomado en cuenta
la premisa que dice que el valor de la información es igual al patrimonio de la
Institución.
§
Sensitiva, es apropiada para los funcionarios de acuerdo a su rol o competencia
dentro de la Institución.
109
Identificados los riesgos de la Información, se concluye que la seguridad informática
debe garantizar al menos:
§
Disponibilidad
§
Recuperación de fallo.
§
Integridad de la información.
§
Confidencialidad de la información.
5.2 TIPOS DE MEDIDAS DE SEGURIDAD
Tienen como objetivo definir las directrices que orientan al departamento de gestión
tecnológica, a implementar procesos para proteger la información del GPI y los recursos
involucrados. Al entrar en el proceso de elaboración de un nuevo Plan Informático, la
política de la Dirección se encaminan a la utilización de estándares internacionales,
observando criterios de austeridad económica, eficiencia, eficacia, efectividad, que
tengan indicadores que puedan ser medibles y fáciles de utilizar para optimizar su validez
y desempeño.
Uno de los problemas que enfrenta el proyectista informático, es la falta de criterios
estandarizados para cuantificar los riesgos y amenazas. Pero, al momento de poner en
marcha un proyecto, se debe equilibrar la implementación de medidas de seguridad
interna o externa, ya que lo que ganemos en algo, podemos perder en otra actividad.
En el GPI, se recomienda adoptar los siguientes tipos de medidas de seguridad:
5.2.1 Medidas Físicas
Se relacionan con los accesos físicos que no han sido autorizados, también entran en este
tipo las amenazas causadas por fenómenos naturales o efectos nocivos medioambientales,
por lo que en este caso se recomienda seguridades físicas en el perímetro donde se ubica
el Data Center.
A manera de resumen, se procede a enumerar algunas medidas en concreto:
110
§
Control de condiciones medioambientales (temperatura, humedad, polvo, etc....).
§
Prevención de catástrofes (incendios, tormentas, cortes de fluido eléctrico,
sobrecargas, etc.).
§
Vigilancia (cámaras, guardias, etc.).
§
Sistemas de contingencia (extintores, fuentes de alimentación eléctrica ininterrumpida,
estabilizadores de corriente, fuentes de ventilación alternativa, etc.).
§
Sistemas de recuperación (copias de seguridad, redundancia, sistemas alternativos
geográficamente separados y protegidos, etc.).
§
Control de la entrada y salida de material (elementos desechables, consumibles,
material anticuado, etc.).
5.2.2 Medidas Lógicas
En este caso, se recomienda medidas para preservar el acceso a los sistemas y a la
información almacenada, a la implementación de estrictas normas en la definición de
roles de usuarios.
Las principales medidas que se sugiere al GPI, tomar en cuenta en este campo son:
§
Definición por escrito de políticas de control de acceso, que incluya normativa para
autentificar e identificar a los usuarios autorizados, implementando altos niveles de
seguridad.
§
Definir un reglamento de instalación y copia de software.
§
Uso de la criptografía para proteger los datos y las comunicaciones.
§
Uso de FireWall y reglas de control de acceso.
§
Reglamento para sacar backups y su conservación.
§
Establecimiento de una base de datos maestra, que tenga controles de logeo y pistas de
auditoría.
§
Definición clara de los roles de usuario (administrador del sistema, administrador de
seguridad, usuarios, operadores, etc.).
5.2.3 Medidas Administrativas
111
Son todas aquellas que se deben tomar en cuenta para la correcta aplicación de la
normativa general y la normativa particular acerca de la seguridad informática de la
institución, para el efecto se debe socializar y difundir las políticas de seguridad, que
todos los involucrados conozcan quienes son los que fijan estas políticas y se encargan de
su ejecución, debe considerarse en el plan de capacitación del personal.
El plan de capacitación se debe organizar para anclar el trabajo o función del usuario con
los módulos de los sistemas que correspondan, haciendo hincapié en las cosas más obvias
que puedan suceder y que a veces se convierten en fallos involuntarios, pero que pueden
causar serios inconvenientes de seguridad, es decir se debe crear conciencia en el
funcionario sobre los problemas que pueden ocurrir y afectar a la seguridad de la
información.
5.2.4 Medidas Legales
Se recomienda en este caso, crear y adoptar un vademécum legal que se relacione con los
procesos y procedimientos de la seguridad informática, aspecto que debe publicarse,
socializarse y concientizarse a lo interno y externo del GPI. Se debe crear un reglamento
interno que sea concomitante con lo que dictaminan las prevenciones y sanciones
estipuladas en el Código Penal ecuatoriano.
5.3 RIESGO RESIDUAL
A lo interno del GPI, se ha tomado muy en serio la administración del riesgo informático,
no sólo desde el campo de responsabilidad de los encargados de las TIC´s, sino también
de las autoridades y demás miembros de la institución.
Se precisa realizar un análisis inicial y continuo de los riegos informáticos, mantener
documentado y actualizado el desktop de activos tecnológicos (tanto en hardware como
en software), definir las principales vulnerabilidades y amenazas a las que son propensos
esos activos y el impacto que generarían en la Institución. En base a esa información, se
aplica los controles necesarios que permitan mitigar los riesgos, inclusive en caso de que
112
existan vulnerabilidades que no puedan controlarse, debe declararse como riesgo sin
control.
Dentro del análisis de riesgo es necesario elaborar una matriz de impactos en la que
conste todo tipo de riesgo, proponer pesos para valorar los impactos tanto cuantitativa y
cualitativamente y al final podamos priorizar los controles y acciones de mitigación. Es
importante que la administración de riesgos identifique el riesgo residual y el riesgo total,
así como la propuesta de tratamiento, evaluación y gestión del riesgo.
Se ha generalizado en el campo de la gestión de riesgos, la utilización de la siguiente
fórmula: [4]
RT (Riesgo Total) = Probabilidad x Impacto Promedio
Donde interviene la probabilidad anual de ocurrencia del riesgo multiplicada por el
impacto promedio en términos monetarios.
Por definición el riesgo remanente que queda luego de aplicar controles para mitigar el
riesgo total es el riesgo residual.
La norma BS ISO / IEC 27001:2005 nos señala que el riesgo residual no es el remanente
que queda, sino que es un teórico calculado durante el análisis de riesgos.
En el GPI, se realizará lo siguiente para analizar la gestión de riesgos:
·
Identificar el parque computacional y de TIC´s.
·
Identificación de los procedimientos legales y de servicio que caracterizan los
activos de TIC´s.
·
Valoración (tomando en cuenta depreciaciones) de los activos de TIC´s
·
Valorar los impactos en riesgos de: confidencialidad, integridad y disponibilidad.
·
Priorizar las amenazas y vulnerabilidades
·
Evaluación del riesgo.
·
Cálculo del riesgo.
113
Seguidamente se define las acciones o controles a implementar para mitigar el riesgo
total y las acciones a tomar para los riesgos residuales.
Las acciones deben tender a robustecer los controles existentes o proponer nuevos, en
caso de necesidad eliminar los activos que son causa de riesgo, se debe continuar en
acciones como el traspaso de riesgos a terceros (aseguradoras) o en último caso en la
imposibilidad de eliminar el riesgo, se recomienda convivir con él con el máximo
cuidado.
El siguiente esquema nos ilustra de mejor manera los pasos a seguir:
Gráfico 19: Gestión del Riesgo en ISO 27005
Fuente: http://www.miguelangelhernandez.es/?p=607 [16]
114
En caso de que la evaluación de riesgo no sea la adecuada, podemos repetir
iterativamente, mejorando los análisis contextuales, de acuerdo al siguiente
esquema:
Gráfico 20: Tratamiento del Riesgo
Fuente: http://www.miguelangelhernandez.es/?p=607 [16]
5.4 EVALUACIÓN Y GESTIÓN DE RIESGOS
La administración de riesgos se convierte en el GPI, en una actividad continua, es decir,
se debe evaluar constantemente los cambios en la estimación de existencia de los
riesgos por activo identificado, así como también la valoración del impacto en los
procesos y en la institución. El gráfico 21, ilustra este procedimiento.
Gráfico 21: Proceso de Administración del Riesgo
Fuente: http://www.securityartwork.es/2009/01/30/seguridad-y-riesgos-en-las-tic-iv-proceso-de-administracion-delriesgo/ [17]
115
5.4.1
Los riesgos considerados en el GPI, se dividen en dos categorías:
• Riesgos relacionados con el Proceso de Desarrollo (PD);
• Riesgos relacionados con el Talento Humano (RH).
El rango de importancia definido es el siguiente:
• 1, importancia baja
Probabilidad
De
Ocurrencia
Importancia.
• 10, alta importancia
Descripción
Impacto
Estrategia
mitigación
4
Desconocimiento
de metodología de
desarrollo ágil del
personal de planta
Bajo.
Puede ocurrir que no se
apliquen estándares en el
proceso de desarrollo,
desviando los objetivos del
proyectos y obteniendo
resultados de baja calidad
• Charlas y cursos
sobre métodos
ágiles
• Investigación de
cada miembro del
equipo sobre AD.
7
Una parte
considerable del
proyecto es la
integración con
sistemas
adquiridos
Alto.
• Establecer contacto
Podría retrasar la integración
con autores para
o definir de manera
conocer detalles de
inadecuada los aspectos
los sistemas
técnicos para compartir
adquiridos
datos entre sistemas
5
Proceso de
adquisición de
licencias sobre
herramientas de
desarrollo.
Bajo.
Podría retrasar las tareas de
• Agilitar el proceso
programación debido a
de compra
problemas de licenciamiento
de software.
Tabla 18: Riesgo Categoría Proceso de Desarrollo en el GPI
116
Probabilidad
De
Ocurrencia
Importancia.
Descripción
Impacto
Estrategia mitigación
10
El talento humano
posee actividades
laborales que
podrían generar
restricciones.
Alto.
Podría dilatarse el
cumplimiento de tareas.
• Establecer
cronogramas de
trabajo
• Evitar asignaciones
de tareas fuera del
contexto del proyecto
• Practicantes
9
Falta de personal
técnico para
actividades de
programación.
Alto.
La magnitud del proyecto
requiere la colaboración de
programadores
• Contratar personal
técnico en
programación
• Practicantes
Tabla 19: Riesgo Categoría Recurso Humano en el GPI.
5.4.2 Matriz de Riesgos en el GPI
Para el análisis y evaluación de Riesgos en el GPI se toma en cuenta las amenazas tanto
físicas como lógicas.
La matriz de riesgos, (ver tabla 20):
·
En cada columna se presenta una Amenaza identificada
·
En la fila de probabilidad se indica cuán probable es que esa amenaza actúe con
independencia de los controles que existan o que se establezcan. La certeza es el
100% y la imposibilidad es del 0%. El porcentaje de cada columna es manejado
independientemente.
·
En las filas siguientes se indica para cada uno de los Activos a proteger cuál es el
importe de la pérdida media estimada que ocasionaría esa amenaza en ese activo.
Por ejemplo, por:
-
Servidores se entiende las computadoras centrales que soportan las
bases de datos, la gestión del correo electrónico, la red interna y
otros servicios.
-
Las terminales son los puestos de trabajo computarizados.
117
-
Los datos son la información de la organización.
-
Instalaciones se refiere a toda la parte física, incluyendo edificio,
mobiliario, componentes de red (cableados, routers, bridges,
switches), etc.
·
Personal son los recursos humanos.
Los datos precedentes permiten calcular la fila siguiente, Riesgo Total, el cual suma
los productos de la probabilidad de la amenaza por el impacto, de toda la columna.
·
A continuación se presenta la Efectividad del Control actuante, o sea qué nivel de
riesgo se puede mitigar. Por ejemplo los accesos no autorizados vía internet pueden
ser mitigados con un firewall, correctamente configurado.
·
En la última fila, se indica el Riesgo Residual, que resulta de aplicar la efectividad
del control al Riesgo Total.
118
8,1
30%
Efectividad
del Control
Riesgo Residual
27
500
100
1000
100
1000
1%
Incendio
Riesgo Total
Personal
Instalaciones
Datos
Terminales
Servidores
ACTIVOS
Probabilidad
AMENAZAS
Inundación
12,6
95%
13,25
0
5
50
10
200
5%
Condiciones
Climatológicas
5,4
95%
5,75
0
5
50
10
50
5%
Señales
de Radar
4,4
80%
5,5
0
0
50
0
5
10%
Instalaciones
Eléctricas
5,9
95%
6,25
0
5
5
5
10
25%
Ergometría
0
10
1000
100
1000
90%
30%
Utilización de Guardias
Sabotaje
60% 30%
Seguridad con
animales
5%
Utilización de
Detectores de Metal
5%
Utilización de
Sistema Biométrico
50%
50%
Verificación
Automática de Firmas
15%
1414
0
0
1000
20
60
0
0
50
50
18
0,07
10%
0,7
0
2
5
2
5
0,085
10%
0,85
0
2
5
5
5
32,25
30%
107,5
5
5
100
5
100
3
30%
10
0
0
10
0
10
80%
60
%
50
5
5
672
41,6
40% 20%
1680 208
0
0
1000 100
100
1000 100
34,5
10%
345
0
0
50
25
500
0
0
50
25
100
50%
17,5
20%
87,5
(en miles de dólares)
80%
Tabla 20: Riesgo Total - Riesgo Residual del GPI
144
20% 30%
720
0
0
100
100
1000 1000 100
Pérdida media estimada que ocasionaría la Amenaza
70%
Fraude
12,7 569,7 212,1
30%
42,4 1899
20
3
5
5
20
80%
Robo
SEGURIDAD LOGICA
Restringir acceso a los
Programas y Archivos
Asegurar que los operadores
puedan trabajar sin supervisión
minuciosa
Utilizar correctamente
Archivos
Información recibida
por el Destinatario
SEGURIDAD FÍSICA
60
30%
200
0
0
100
50
100
80%
57,5
50%
115
0
0
100
50
1000
10%
Información
Recibida sea igual que la
transmitida
Que existan Sistemas
Alternativos de
Transmisión
RIESGO RESIDUAL DEL GPI
Virus
Fallas
90
4,25
2,15
72
50% 80%
0
0
100
30
50
0
0
2
5
10
25% 50%
Riesgo con el P.D.
50
0
100
50
50
50%
50%
119
63,75 62,5
50%
127,5 125
50
0
100
5
100
50%
Riesgo con el R.H.
5.4.3
CONTROLES
Del resultado de la matriz de riesgos del GPI (ver tabla 20), se observa que los valores
son muy altos, por lo tanto es necesario que se realice una propuesta de acciones o
controles que permitan mitigar las amenazas y vulnerabilidades tanto en la seguridad
física como en la seguridad lógica. Se debe tomar en cuenta que la inversión en la
implementación del control no debe superar el estimado de pérdida por presencia o
actuación del riesgo.
5.5 POLÍTICAS Y PROCEDIMIENTOS A SER IMPLEMENTADAS EN EL GPI
El departamento de TIC´s del GPI en el 2011 ha propuesto una reingeniería de la red de
datos y comunicaciones, así como también está elaborando el plan informático tendiente
a integrar los procesos de software, los mencionados proyectos al momento se encuentran
en fase de aprobación y asignación de recursos económicos.
En ese sentido, al Gobierno Provincial de Imbabura se le propone adoptar las siguientes
políticas y procedimientos, a ser tomadas en cuenta en el desarrollo de la reingeniería,
durante y después de que implementen sus proyectos.
·
Definir un marco gerencial para iniciar y controlar la implementación de la seguridad
de la información, así como la distribución de funciones y responsabilidades.
·
La gestión de activos informáticos para que estos reciban un apropiado nivel de
protección.
·
Asegurar a un nivel razonable que todos los medios de procesamiento o conservación
de información cuenten con medidas de protección física que evite el acceso o
utilización indebida por personal no autorizado, así como permitan la continuidad de
las operaciones.
·
Funcionamiento correcto y seguro de las instalaciones de procesamientos de la
información y comunicación.
·
Asegurar a un nivel razonable que la información y la capacidad de procesamiento
manual y automático, esté disponible en el momento necesario para los usuarios
120
autorizados. Considerando la continuidad de la operación tecnológica que soporta los
procesos institucionales.
·
Asegurar que los datos o transacciones cumplan con los niveles de autorización
correspondiente para su utilización y divulgación.
·
El registro e identificación inequívoca de los usuarios de los sistemas.
·
Evitar casos de suplantación de identidad por medio de los recursos tecnológicos.
·
Mantener registro de auditoría de los eventos ocurridos así como el responsable de su
ejecución.
·
Mantener los niveles de operación razonables en los sistemas e infraestructura
estratégica para el GPI.
·
La identificación de riesgos relacionados al ambiente tecnológico que no permitan
soportar al GPI en su cumplimiento de objetivos.
·
Monitorear periódicamente eventos de intrusos en la red del GPI, utilizando
herramientas adecuadas para el efecto.
·
Uso adecuado de Passwords, con cambios periódicos de las mismas
·
Establecer lineamientos necesarios que permitan resguardar la información
institucional.
·
Establecer lineamientos necesarios que permitan resguardar los recursos tecnológicos
relacionaos a su gestión y consumo.
·
Mantener las máquinas actualizadas y seguras físicamente
·
Mantener personal especializado en cuestiones de seguridad (o subcontratarlo).
·
Aunque una máquina no contenga información valiosa, hay que tener en cuenta que
puede resultar útil para un atacante, a la hora de ser empleada en un DoS12
coordinado o para ocultar su verdadera dirección.
·
No permitir el tráfico "broadcast"(transmisión de un paquete que será recibido por
todos los dispositivos de la red) desde fuera de nuestra red. De esta forma evitamos
ser empleados como "multiplicadores" durante un ataque Smurf (ataque de
denegación de servicio que utiliza mensajes de ping a la dirección de broadcast con
spoofing que es el uso de técnicas de suplantación generalmente con usos maliciosos
o de investigación, para inundar).
12
DoS (Denial of Service): Servicios que deberían estar disponibles no lo están.
121
·
Filtrar el tráfico IP Spoof.
·
Auditorias de seguridad y sistemas de detección.
·
Mantenerse informado constantemente sobre cada una de las vulnerabilidades
encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas
que brinden este servicio de información.
·
Capacitación continua al usuario.
Responsabilidades
Se recomienda la integración del Comité de Seguridad de la Información, que estará
integrado por los Directores de: Tecnologías de la Información y Comunicación,
Administrativo, Financiero y de Recursos Humanos.
La responsabilidad del comité será:
ü Revisar y aprobar la Política de Seguridad de la Información.
ü Supervisar el Plan de Seguridad de la Información a través de la revisión anual del
Plan Estratégico del Área de Seguridad.
ü Definir proyectos de tecnologías que fortalezcan la seguridad de la información del
servicio, producto e información.
ü Aprobar el manual de gestión de seguridad de la información y el plan de difusión
respectivo hacia el interior del GPI.
Entre otras responsabilidades se destacan:
·
El Área de Seguridad de la Información, elaborará las políticas necesarias para
proteger la información generada en el ambiente tecnológico del GPI.
·
El director de cada dependencia, cumplirá la función de notificar a todo el personal
que ingresa de sus obligaciones respecto del cumplimiento de la Política de Seguridad
de la información y de todas las normas, procedimientos y prácticas que de ella
surjan.
122
·
La Dirección de Tecnologías de la Información y Comunicación, tiene la
responsabilidad de otorgar las facilidades para la implementación del sistema de
Gestión de Seguridad de la Información y tomar decisiones estratégicas en el proceso.
·
El responsable del Área Legal, brindará la asesoría necesaria en el ámbito legal y
regulatorio, así mismo otorgará los lineamientos necesarios para no incurrir en
incongruencias legales dentro del ámbito de seguridad de la información.
·
El Área de Control Interno del Departamento de Informática, es responsable de
practicar auditorías periódicas sobre el cumplimiento de las normas y procedimientos
asociados al Sistema de Gestión de Seguridad de la Información.
Control de cumplimiento
En caso de que haya incumplimiento de esta Política de Seguridad de la Información por
parte de cualquier funcionario del GPI, se comunicará a la Dirección General de Recursos
Humanos desde donde se tomarán las medidas de sanción respectivas.
123
CAPÍTULO VI:
INGENIERÍA DEL PROYECTO
6.1.
MODELOS,
TÉCNICAS
Y
HERRAMIENTAS
TECNOLÓGICAS
UTILIZADAS EN LA METODOLOGÍA DE INVESTIGACIÓN EN LA
INFORMÁTICA FORENSE
6.1.1. La Evidencia Digital
Así como se han establecido diferentes definiciones para los delitos informáticos, se han
establecido diferentes y especiales consideraciones para su principal y especial insumo
que es la evidencia digital.
ü Casey define la evidencia de digital como “cualquier dato que puede establecer que un
crimen se ha ejecutado (commit) o puede proporcionar una enlace (link) entre un
crimen y su víctima o un crimen y su autor” [18].
ü
“La evidencia digital es un tipo de evidencia física. Está construida de campos
magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con
herramientas y técnicas especiales” [18].
ü “El conjunto de datos en formato binario, esto es, comprende los ficheros, su contenido
o referencia a estos (metadatos) que se encuentran en los soportes físicos o lógicos del
sistema vulnerado o atacado” [19].
ü La evidencia digital es la materia prima para los investigadores, donde la tecnología informática es parte
fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen
un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad: Es volátil,
es anónima, es duplicable, es alterable y modificable, es eliminable. Estas características advierten sobre
la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en
procedimientos, como en técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y
presentar la evidencia presente en una escena del delito. Además, revela con respecto al tratamiento de la
124
evidencia digital, que se debe guardar especial cuidado a: su debido registro, admisibilidad, valor
probatorio, preservación transformación y recuperación
[20].
ü De acuerdo con el Guidelines for the Management of IT Evidence, la evidencia digital
es: "cualquier información, que sujeta a una intervención humana u otra semejante, ha
sido extraída de un medio informático". En este sentido, la evidencia digital, es un
término utilizado de manera amplia para describir "cualquier registro generado por o
almacenado en un sistema computacional que puede ser utilizado como evidencia en un
proceso legal [21].
6.1.1.1.
Dónde debe ser ubicada y cómo debe ser usada la Evidencia.
Según Santiago Acurio Del Pino, es necesaria la categorización de la evidencia para
diferenciar entre: un sistema informático o hardware (evidencia electrónica) y la evidencia
contenida en éste (evidencia digital), con el fin de establecer procedimientos adecuados
para el manejo de cada tipo de evidencia, en la tabla 21 se muestra un detalle físico y
lógico para reconocimiento de la evidencia.
SISTEMA INFORMÁTICO
1.
HARDWARE
(Elementos Físicos)
EVIDENCIA ELECTRÓNICA
ž El hardware es una mercancía ilegal cuando su posesión no
El hardware es mercancía ilegal o
fruto del delito.
ž
está autorizada por la ley. Ejemplo: en el caso de los
decodificadores de la señal de televisión por cable, su
posesión es una violación a los derechos de propiedad
intelectual y también un delito.
El hardware es fruto del delito cuando este es obtenido
mediante robo, hurto, fraude u otra clase de infracción.
ž Es un instrumento cuando el hardware cumple un papel
El hardware es un instrumento
ž
El hardware es evidencia
importante en el cometimiento del delito, podemos decir que
es usada como un arma o herramienta, tal como una pistola o
un cuchillo. Un ejemplo serían los snifers y otros aparatos
especialmente diseñados para capturar el tráfico en la red o
interceptar comunicaciones.
En este caso el hardware no debe ni ser una mercancía ilegal,
fruto del delito o un instrumento. Es un elemento físico que
se constituye como prueba de la comisión de un delito. Por
ejemplo el scanner que se usó para digitalizar una imagen de
pornografía infantil, cuyas características únicas son usadas
como elementos de convicción.
125
2. INFORMACIÓN
(Elementos Lógicos)
EVIDENCIA DIGITAL
ž La información es considerada como mercancía ilegal
cuando su posesión no está permitida por la ley, por
ejemplo en el caso de la pornografía infantil. De otro
lado será fruto del delito cuando sea el resultado de la
ilegal o el fruto del delito
comisión de una infracción, como por ejemplo las
copias pirateadas de programas de ordenador, secretos
industriales robados.
ž La información es un instrumento o herramienta
cuando es usada como medio para cometer una
infracción penal. Son por ejemplo los programas de
La
información
es
un ordenador que se utilizan para romper las seguridades
instrumento
de un sistema informático, sirven para romper
contraseñas o para brindar acceso no autorizado. En
definitiva juegan un importante papel en el
cometimiento del delito.
ž Esta es la categoría más grande y nutrida de las
anteriores, muchas de nuestras acciones diarias dejan
un rastro digital. Uno puede conseguir mucha
La información es evidencia
información como evidencia, por ejemplo la
información de los ISP’s, de los bancos, y de las
proveedoras de servicios las cuales pueden revelar
actividades particulares de los sospechosos
La información es mercancía
Tabla 21: Detalle físico y lógico para reconocimiento de la Evidencia
Fuente: Detalle físico y lógico para reconocimiento de la Evidencia [22]
Acurio Del Pino también sugiere clasificar las fuentes de evidencia digital, con el fin de
que los investigadores forenses tengan una idea dónde buscar la evidencia digital, ésta
clasificación es:
a)
SISTEMAS DE COMPUTACIÓN ABIERTOS, son aquellos que están compuestos de las
llamadas computadores personales y todos sus periféricos como teclados, ratones y monitores, las
computadoras portátiles, y los servidores. Actualmente estos computadores tiene la capacidad de
guardar gran cantidad de información dentro de sus discos duros, lo que los convierte en una gran
fuente de evidencia digital.
b) SISTEMAS DE COMUNICACIÓN, estos están compuestos por las redes de telecomunicaciones,
la comunicación inalámbrica y el Internet. Son también una gran fuente de información y de
evidencia digital.
c) SISTEMAS CONVERGENTES DE COMPUTACIÓN, son los que están formados por los
teléfonos celulares llamados inteligentes o Smartphones, los asistentes personales digitales PDAs,
las tarjetas inteligentes y cualquier otro aparato electrónico que posea convergencia digital y que
puede contener evidencia digital [22].
126
6.1.1.2.
Procedimiento para la Incautación de Equipos Informáticos o Electrónicos
Cuando el investigador forense tiene sospecha o indicios de que existe evidencia digital en
cualquier material (hardware y/o software), relacionado con un delito, debe seguir el
siguiente procedimiento:
Antes de realizar un allanamiento e incautación de Equipos Informáticos o Electrónicos se debe tomar
en cuenta lo siguiente:
a) ¿A qué horas debe realizarse?
-
Para minimizar destrucción de equipos, datos.
-
El sospechoso tal vez estará en línea.
-
Seguridad de investigadores.
b) Entrar sin previo aviso
-
Utilizar seguridad.
-
Evitar destrucción y alteración de los equipos, o la evidencia contenida en esta.
c) Materiales previamente preparados (Cadena de custodia)
-
Embalajes de papel.
-
Etiquetas.
-
Discos y disquetes vacíos.
-
Herramienta.
-
Cámara fotográfica.
d) Realizar simultáneamente los allanamientos e incautación en diferentes sitios
-
Datos pueden estar en más de un lugar, sistemas de red, conexiones remotas.
-
Examen de equipos.
-
Aparatos no especificados en la orden de allanamiento.
e) Creación de Respaldos en el lugar, creación de imágenes de datos.
-
Autorización para duplicar, reproducir datos encontrados (por ejemplo, un aparato
contestador).
f) Fijar/grabar la escena.
g) Cámaras, videos, etiquetas.
h) Códigos/claves de acceso/contraseñas.
i)
Buscar documentos que contienen información de acceso, conexiones en redes, etc.
j)
Cualquier otro tipo de consideración especial (consideraciones de la persona involucrada: médicos,
abogados, información privilegiada, etc.).
127
La falta de una orden de allanamiento e incautación que ampare las actuaciones (sobre los equipos y
sobre la información) de la Policía Judicial y la Fiscalía puede terminar con la exclusión de los
elementos probatorios por violación de las Garantías Constitucionales. Art. 66 de la Constitución [22].
6.1.1.3.
Escena del Delito
Los Investigadores que llegan primero a una escena del Delito tienen ciertas
responsabilidades, las cuales según Santiago Acurio Del Pino se resumen así:
a)
“Observe y establezca los parámetros de la escena del delito: El primero en llegar a la escena,
debe establecer si el delito está todavía en progreso, luego tiene que tomar nota de las
características físicas del área circundante. Para los investigadores forenses esta etapa debe ser
extendida a todo sistema de información y de red que se encuentre dentro de la escena. En estos
casos dicho sistema o red pueden ser blancos de un inminente o actual ataque como por ejemplo
uno de denegación de servicio (DoS).
b) Inicie las medidas de seguridad: El objetivo principal en toda investigación es la seguridad de
los investigadores y de la escena. Si uno observa y establece en una condición insegura dentro de
una escena del delito, debe tomar las medidas necesarias para mitigar dicha situación. Se deben
tomar las acciones necesarias a fin de evitar riesgos eléctricos, químicos o biológicos, de igual
forma cualquier actividad criminal. Esto es importante ya que en una ocasión en una
investigación de pornografía infantil en Estados Unidos un investigador fue muerto y otro herido
durante la revisión de una escena del crimen.
c)
Facilite los primeros auxilios: Siempre se deben tomar las medidas adecuadas para precautelar
la vida de las posibles víctimas del delito, el objetivo es brindar el cuidado médico adecuado por
el personal de emergencias y el de preservar las evidencias.
d) Asegure físicamente la escena: Esta etapa es crucial durante una investigación, se debe retirar de
la escena del delito a todas las personas extrañas a la misma, el objetivo principal es el prevenir el
acceso no autorizado de personal a la escena, evitando así la contaminación de la evidencia o su
posible alteración.
e)
Asegure físicamente las evidencias: Este paso es muy importante a fin de mantener la cadena de
custodia2 de las evidencias, se debe guardar y etiquetar cada una de ellas. En este caso se aplican
los principios y la metodología correspondiente a la recolección de evidencias de una forma
práctica. Esta recolección debe ser realizada por personal entrenado en manejar, guardar y
etiquetar evidencias.
f)
Entregar la escena del delito: Después de que se han cumplido todas las etapas anteriores, la
escena puede ser entregada a las autoridades que se harán cargo de la misma. Esta situación será
diferente en cada caso, ya que por ejemplo en un caso penal será a la Policía Judicial o al Fiscalía
128
General del Estado; en un caso corporativo a los Administradores del Sistema. Lo esencial de esta
etapa es verificar que todas las evidencias del caso se hayan recogido y almacenado de forma
correcta, y que los sistemas y redes comprometidos pueden volver a su normal operación.
g) Elaborar la documentación de la explotación de la escena: Es Indispensable para los
investigadores documentar cada una de las etapas de este proceso, a fi n de tener una completa
bitácora de los hechos sucedidos durante la explotación de la escena del delito”
[22].
En el Manual de Manejo de Evidencias Digitales y Entornos Informáticos, versión 2.0 del
Dr. Santiago Acurio Del Pino Director Nacional de Tecnología de la Información, se
indica claramente los pasos a seguir en: la Reconstrucción de la Escena del Crimen, al
encontrar un dispositivo Informático o electrónico y cómo manejar ésta situación en el
caso de que no exista un técnico.
6.1.1.4.
Ciclo de vida para la administración de evidencia digital
Según el Manual de Directrices para la Gestión de la evidencia Digital el ciclo de vida de
la Evidencia Digital consta de seis etapas:
Gráfico 22: Ciclo de Vida de la Administración de la Evidencia Digital.
Fuente: http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf [21]
a)
Diseño de la Evidencia.- En ésta etapa se debe considerar la infraestructura
tecnológica, la correcta utilización de las medidas tecnológicas de seguridad
informática, clasificar la información relevante de la institución con el fin de que se
pueda determinar los tiempos de retención, la transformación y la disposición final
de los documentos electrónicos.
129
b)
Producción de la Evidencia.- Corresponde aquí diseñar, desarrollar y documentar
los mecanismos de seguridad (certificados digitales), para las aplicaciones con el
fin de poder contar y validar que es a aplicación la que genera los registros
electrónicos de una manera confiable e íntegra, de tal manera que se pueda
identificar los cambios que se hayan presentado en dichos registros electrónicos.
c)
Recolección de la Evidencia.- A ésta etapa concierne construir un razonamiento
lógico para la recolección de la evidencia digital, asegurar el área y registrar en
medios fotográficos y/o video la escena del delito en dónde se observe lo mayor
posible todos los elementos informáticos involucrados, sin olvidar de documentar
todas y cada una de las actividades desarrolladas por el investigador informático,
sin dejar de lado el fortalecimiento permanente de la cadena de custodia de la
evidencia.
d)
Análisis de la Evidencia.- Se debe contar con profesionales capacitados técnica y
legalmente con el fin de que garanticen los trabajos realizados o a realizarse como:
copias autenticadas de los registro electrónicos en medios forenses, validar y
verificar la confiabilidad y limitaciones de las herramientas hardware y software
utilizados en las labores forenses y sobre todo mantener la perspectiva de los
análisis efectuados sin descartar lo obvio.
e)
Reporte y Presentación.- En ésta etapa se debe mantener una copia de la cadena
de custodia de la evidencia digital y preparar una presentación lo más clara y en
términos sencillos, el reporte debe tener características similares pero además debe
incluir las irregularidades encontradas, las conclusiones de los análisis y evitar los
juicios de valor no verificables.
f)
Determinar la Relevancia de la Evidencia.- La relevancia de la evidencia digital
se demuestra con hechos y documentación sobre los procedimientos aplicados en la
recolección y análisis de los registros electrónicos, éstos pueden incluir la auditoría
periódica de los procedimientos realizados y el fortalecimiento de las políticas,
procesos y procedimientos de la seguridad de la información asociados con el
manejo de la evidencia digital.
6.2.
Modelos Conocidos
130
En internet existen varias guías que tienen por objetivo identificar la evidencia digital con
el fin de que pueda ser usada en una investigación y/o en un proceso legal, a continuación
se enuncian brevemente cinco guías existentes a nivel mundial de mejores prácticas en
computación forense.
6.2.1. RFC 3227
El “RFC 3227: Guía Para Recolectar y Archivar Evidencia” (Guidelines for Evidence
Collection and Archiving) [23], es una guía de alto nivel para recolectar y archivar datos
relacionados con delitos, muestra las mejores prácticas para determinar la volatilidad de los
datos, decidir que recolectar, desarrollar la recolección y determinar cómo almacenar y
documentar los datos, también explica algunos conceptos relacionados a la parte legal.
6.2.2. Guía de la IOCE
La IOCE [24], publicó “Guía para las mejores prácticas en el examen forense de tecnología
digital”. (Guidelines for the best practices in the forensic examination of digital
technology). Esta Guía provee una serie de estándares, principios de calidad y
aproximaciones para la detección prevención, recuperación, examinación y uso de la
evidencia digital para fines forenses. Cubre los sistemas, procedimientos, personal, equipo
y requerimientos de comodidad que se necesitan para todo el proceso forense de evidencia
digital, desde examinar la escena del crimen hasta la presentación en un proceso legal. Su
estructura se resume en 4 fases principales, ver gráfico 23:
131
Circunstancias de la Investigación
Recolección de la evidencia
Autenticación
Análisis
Reporte Final
Presentación de Resultados
Gráfico 23: Metodología Forense
Fuente: http://www.ioce.org
6.2.3. Investigación en la Escena del Crimen Electrónico (Guía DoJ 1)
El Departamento de Justicia de los Estados Unidos de América (DoJ EEUU), publicó
“Investigación En La Escena Del Crimen Electrónico” (Electronic Crime Scene
Investigation: A Guide for First Responders) [25], ésta guía se enfoca más en la
identificación y recolección de evidencia. Su estructura es:
a)
Dispositivos electrónicos (tipos de dispositivos que pueden encontrar y cuál puede ser la posible
evidencia).
b) Herramientas para investigar y equipo.
c)
Asegurar y evaluar la escena.
d) Documentar la escena.
e)
Recolección de evidencia.
f)
Empaque, transporte y almacenamiento de la evidencia.
g) Examen forense y clasificación de delitos.
h) Anexos (glosario, listas de recursos legales, listas de recursos técnicos y listas de recursos de
entrenamiento).
6.2.4. Examen Forense de Evidencia Digital
El Departamento de Justicia de los Estados Unidos, también publicó la guía “Examen
Forense de Evidencia Digital” (Forensic Examination of Digital Evidence: A Guide for
132
Law Enforcement) [25], la cual está pensada para ser aplicada en el momento de examinar
la evidencia digital. Su estructura es:
a)
Desarrollar políticas y procedimientos con el fin de darle un buen trato a la evidencia.
b) Determinar el curso de la evidencia a partir del alcance del caso.
c)
Adquirir la evidencia.
d) Examinar la evidencia.
e)
Documentación y reportes.
f)
Anexos (casos de estudio, glosario, formatos, listas de recursos técnicos y listas de recursos de
entrenamiento).
6.2.5. Computación Forense - Parte 2: Mejores Prácticas (Guía Hong Kong)
El ISFS, Information Security and Forensic Society (Sociedad de Seguridad Informática y
Forense) creada en Hong Kong, publicó “Computación Forense - Parte 2: Mejores
Prácticas” (Computer Forensics – Part 2: Best Practices). (Computer Forensics – Part 2:
Best Practices) [26], la cual cubre los procedimientos necesarios para el proceso forense,
desde el examen de la escena del crimen hasta la presentación de los reportes en un
proceso judicial. Su estructura es:
a)
Introducción a la computación forense.
b) Calidad en la computación forense.
c)
Evidencia digital.
d) Recolección de Evidencia.
6.3.
e)
Consideraciones legales (orientado a la legislación de Hong Kong).
f)
Anexos.
HERRAMIENTAS FORENSES.
A continuación se presenta un análisis de varias herramientas forenses, que podrían ser
utilizadas en caso de presentarse un delito informático, no se intenta establecer una
clasificación o que la omisión de otras herramientas signifique la desaprobación de las
mismas, o que no existan otras posibles formas de delitos informáticos (ver tabla 22).
133
X
X
Edición de contenido de documentos
Apropiación ilícita claves Robo de claves mediante uso de aparatos
tarjetas magnéticas.
computacionales y programabas.
Casinos en Internet, donde la ruleta virtual
suele estar trucada.
Enviar mensajes de amenazas a terminales
móviles.
Conseguir los datos necesarios para realizar
transferencia bancaria.
Difunde rumores sobre la valoración. Su fin
es alterar los precios
Carácter obsceno de una obra literaria.
Registrar todo lo que la pc realiza. Se utiliza
para obtener información confidencial
Robar información de un servidor y
propagarla.
Falsificación
informática.
Estafa.
Injurias y amenazas a
través del teléfono
móvil.
Duplicar páginas de
entidades bancarias.
Informaciones falsas
sobre valores bursátiles
en Internet.
Pornografía Infantil.
Espionaje por medios
informáticos.
Piratería informática.
5
6
7
8
9
10
11
12
dañar
4
para
Uso de instrucciones
información.
Destrucción maliciosa
de documentos.
3
X
X
X
El sabotaje o espionaje informático.
Obtención y uso no
autorizado.
2
X
Robo de claves para acceder a sistemas y
dañarlos u obtener información valiosa.
DESCRIPCIÓN
Violentando claves o
sistemas.
DELITOS
INFORMÁTICOS
SSL
Proxis
1
Nro
SSL
Checkers
X
X
X
X
X
Metasploit
X
X
X
NMAP
X
X
X
X
WEB
VULNERABILITY
SCANNER
X
SOAP UI
X
Web Applicative
Proxies
FIRE
DEFT
Tcptraceroute
HERRAMIENTAS FORENSES
Wireshark
X
X
X
EnCase
AIRCRACK
Network Login
Auditors Brutter
2.0
POF
Cain&Abel
134
X
Se utiliza un terminal para realizar los
fraudes. Ocasiona perjuicio en dinero para
propietario.
Difusión de contenidos o material ilícito.
Incitación al odio o a la discriminación.
Es el acceso no autorizado a sistemas
informáticos ajenos, utilizando las redes
públicas de telefonía.
Uso de aplicaciones con fines maliciosos.
Interferencia a procesos importantes en un
empresa.
Sustracción de datos.
Modificar los programas existentes en el
sistema de computadoras o en insertar
nuevos programas.
El acceso se efectúa a menudo desde un
lugar exterior, situado en la red de
telecomunicaciones
Tráfico de esas reproducciones no
autorizadas a través de las redes de
telecomunicaciones.
Uso no autorizado de información
almacenada en una base de datos.
Uso ilegítimo de un
terminal de
telecomunicaciones.
Utilización de Internet
como medio criminal.
Acceso ilícito a sistemas
informáticos.
Abuso de dispositivos
que faciliten la comisión
de delitos.
Interferencia en el
funcionamiento de un
sistema informático.
Manipulación de los
datos de entrada.
La manipulación de
programas.
Piratas informáticos o
hackers.
Reproducción no
autorizada de
programas informáticos
de protección legal
Infracción al copyright
de bases de datos.
15
16
17
18
19
20
21
22
23
24
X
X
X
Poner en venta órganos en internet.
Tráfico de órganos.
14
Realizan ataques a la parte lógica del
ordenador. Producen modificaciones o
borrados de ficheros.
Colocación de bombas
lógicas.
13
X
X
X
X
X
X
X
X
X
X
X
X
X
135
Interceptación de email.
30
31
32
X
Robar o destruir información valiosa,
realizar transacciones ilícitas, o impedir
funcionamiento de redes.
Reenviar mensajes de la misma con
información de carácter privado.
Empresas ficticias que se valen de la buena
fe de las personas consiguen embolsar
grandes cantidades
Cracking.
Apropiación de una
cuenta de correo ajena.
Ventas ilegales en
Internet.
Blanqueo de dinero.
Clonación de tarjetas.
33
34
35
36
Los ladrones conectan un skimer a una
computadora para copiar la información de
una banda magnética.
Transferencia electrónica de mercancías o
dinero para lavar las ganancias que deja el
delito.
X
Lectura de un mensaje electrónico ajeno.
X
X
El fraude con tarjetas de La realización de copias ilegales de
crédito.
software, violando los derechos de autor.
29
X
El fraude en un banco.
28
X
Incluyendo en los listados beneficiados de
pólizas inexistentes.
El fraude de una
compañía de seguros.
27
X
X
Cotización de acciones, bonos y valores o la
venta de equipos de computadora en
regiones donde existe el comercio
electrónico.
Fraude en la
administración de
personas jurídicas.
Adulterando movimientos o saldos de
cuentas.
X
Mensajes anónimos aprovechados por
grupos terroristas, existencia de hosts que
ocultan la identidad.
Terrorismo.
X
26
Ocultar computadoras que se "parecen"
electrónicamente a otras para lograr
acceso a algún sistema.
Estratagemas.
25
X
X
X
X
X
X
136
Quien sin estar autorizado, se apodere,
utilice o modifique, en perjuicio de tercero,
datos reservados de carácter personal o
familiar de otro.
Uso de artificios técnicos de escucha,
transmisión, grabación o reproducción del
sonido o de la imagen o de cualquier otra
señal de comunicación
Alteración de balances económicos.
Obtener información no autorizada.
Delitos informáticos
contra la privacidad.
Interceptación de las
comunicaciones.
Variación de los activos
y pasivos en la situación
contable de las
empresas.
Interrupciones en la
De igual manera programación maliciosa
lógica interna de los
que afecte información valiosa
programas.
Es una serie de claves programáticas que
pueden adherirse a los programas legítimos
y
propagarse
a
otros
programas
informáticos
Revisión macrofilm.
Virus informáticos.
Obtención de
información residual
impresa en papel luego
de la ejecución de
trabajos.
Espionaje industrial.
37
38
39
40
41
42
43
44
Accesos no autorizados a sistemas
informáticos de grandes compañías,
usurpando diseños industriales, fórmulas,
sistemas de fabricación y know how
estratégico.
Es una técnica de archivamiento de
documentos basado fundamentalmente en
el cambio de soporte de los documentos
electrónicos
X
X
X
X
X
X
X
X
X
X
137
Entre los que figure información valiosa con
fines de chantaje (pago de rescate, etc.)
Programación de aplicaciones que afecten al
sistema de información
Se encuentra usted, su cara o algún rasgo
que por el cual se le pueda identificar, y ese
montaje se ha difundido a través del correo
electrónico o se ha publicado en Internet, y
usted se siente dañado o perjudicado.
Nota que alguien está utilizando su
ordenador o el de su empresa para dar
algún tipo de servicio en Internet porque los
programas van más despacio y siente que su
sistema se ha vulnerado.
El juego electrónico de azar se ha
incrementado a medida que el comercio
brinda facilidades de crédito y transferencia
de fondos en la Red.
Engañar a usuarios nuevos e incautos de la
Internet para que revelen sus claves
personales.
Secuestro de soportes
magnéticos.
Programación de
instrucciones que
producen un bloqueo
total al sistema.
Xenofobia por web.
Montaje fotográfico.
Delito de defraudación
en el fluido de las
telecomunicaciones.
Acceso no autorizado.
Juegos de azar.
Pesca u "olfateo" de
claves secretas
46
47
48
49
50
51
52
53
Uso ilegitimo de passwords y la entrada de
un sistema informático sin la autorización
del propietario.
Insulto por medio de redes sociales
Atentado físico contra la
Daños computacionales físicos.
máquina o sus
accesorios.
45
X
X
X
X
138
La falsificación de datos de cómputo en la
fase de adquisición de datos.
Acceso a los programas establecidos en un
sistema de información, y manipulación
para obtener una ganancia monetaria.
Estos ataques se basan en utilizar la
mayor cantidad posible de recursos del
sistema objetivo.
Manipulación
informática.
Sabotaje informático.
Gusanos.
Acceso no autorizado en
sistemas informáticos o Acceso no autorizado a Sistemas o Servicios.
de servicio.
Acto de hacer algo para desestabilizar un
país o aplicar presión a un gobierno.
Manipulación de datos
de salida.
La técnica del salami
(Salami
Technique/Rounching
Down).
Pishing.
Ciberterrorismo.
Ataque de denegación
de servicio.
54
55
56
57
58
59
60
61
62
63
Diseñada con la finalidad de robarle la
identidad al sujeto pasivo.
“Rodajas muy finas ”, Apenas perceptibles
, de transacciones financieras , se van
sacando repetidamente de una en una.
Se fabrica de forma análoga al virus con
miras a infiltrarlo en programas legítimos de
procesamiento de datos o para modificar o
destruir los datos.
Cuando se establece una operación tanto de
programas de cómputo, como un suministro
de electricidad o cortar líneas telefónicas
intencionalmente.
Manipulación de datos de entrada al
computador con el fin de producir o lograr
movimientos falsos en transacciones de
una empresa.
Datos falsos o
engañosos (data
dinddling).
X
X
X
X
X
X
X
139
Aprovechamiento de la información
abandonada sin ninguna protección como
residuo de un trabajo previamente.
El delincuente utiliza la suplantación de
personas para cometer otro delito
informático.
Consiste en la práctica de
introducir
interrupciones en la lógica de los programas
con el objeto de chequear en medio.
Abre en forma no permitida cualquier
archivo por muy protegido que esté, con el
fin de alterar, borrar, etc. los datos.
Consiste en interferir las líneas telefónicas
de transmisión de datos para recuperar
la información que circula por ellas.
Los estafadores recopilan toda
información necesaria de las víctimas.
Conocen bien las redes de información de
una empresa y pueden ingresar a ella para
alterar datos como generar información
falsa que los beneficie.
Apropiación de
informaciones
residuales (scavening).
Parasitismo informático
(piggibacking) y
suplantación de
personalidad.
Puertas falsas (trap
doors).
La llave maestra
(superzapping).
Pinchado de lineas
(wiretapping).
Phreacker.
Spam.
Estafa informática.
Alterar el ingreso de
datos de manera ilegal.
67
68
69
70
71
72
73
74
la
Correos electrónicos, no solicitados para
propósito comercial.
Es el especialista en telefonía(Cracker de
teléfono).Un Phreaker posee conocimientos
profundos de los sistemas de telefonía,
tanto terrestres como móviles
las
66
de
Hurto del tiempo de
computadoras en Internet.
Hurto del tiempo de
computador.
65
uso
Una variedad del espionaje industrial que
sustrae información confidencial de una
empresa.
Fuga de datos (data
leakage).
64
X
X
X
140
Hostigamiento / acoso.
Narcotráfico.
Lammers.
Gurus.
Bucaneros.
Newbie.
Trashing.
Espionaje.
Pharming.
75
76
77
78
79
80
81
82
83
Consiste en la manipulación de las
direcciones DNS logrando así que la URL
tecleada en el navegador de Internet no nos
lleve a la página web de la entidad bancaria
buscada.
Acceso no autorizado a sistemas
informáticos gubernamentales y de grandes
empresas e interceptación de correos.
Apunta a la obtención de información
secreta o privada que se logra por la
revisión no autorizada de la basura.
Es alguien que empieza a partir de una WEB
basada en Hacking. Inicial-mente es un
novato, no hace nada y aprende.
Se trata de comerciantes. Los bucaneros
venden los productos crackeados como
tarjetas de control de acceso de canales de
pago.
Son los maestros, enseñan a los futuros
Hackers. Normalmente se trata de personas
adultas.
Aquellos que aprovechan el conocimiento
adquirido y publicado por los expertos. Si el
sitio web que intentan vulnerar los detiene,
su capacidad no les permite continuar más
allá.
Transmisión de fórmulas para la fabricación
de estupefacientes, para el blanqueo de
dinero.
Se dirige de manera específica a un
individuo o grupo con comentarios
peyorativos a causa de su sexo, raza,
religión, nacionalidad, orientación sexual,
etc.
X
X
X
X
141
IP spoofing.
Jamming / flooding.
Consisten en la ejecución de código Script,
son ataques dirigidos contra los usuarios y
no contra el servidor Web, un atacante
Cross-site scripting (xss).
puede realizar operaciones o acceder a
información en un servicio Web en nombre
del usuario afectado.
Es una técnica usada para infiltrarse en una
red Ethernet conmutada (basada en switch
y no en hubs), que permiten al atacante
husmear paquetes de datos en LAN,
modificar el tráfico o incluso detener el
tráfico.
Inyección SQL.
85
86
87
88
89
Arp poisoning o arp
poison routing.
Atacan los sitios Web que dependen de
bases de datos relacionadas, en este tipo de
páginas Web los parámetros se pasan como
una consulta de SQL.
84
Desactivan o saturan los recursos del
sistema aquí el atacante satura el sistema
con mensajes que requieren establecer
conexión.
Sustituir la dirección IP origen de un
paquete TCP/IP por otra dirección IP a la
cual se desea suplantar, puede ser usado
para cualquier protocolo dentro de TCP/IP
como ICMP,UDP o TCP.
Clientes poco expertos, suscriben contratos
Timos de ISP
on-line sin haber leído el clausulado, por lo
(proveedores de servicio
que pueden encontrarse amarrados a un
de internet).
contrato de larga duración.
X
X
X
X
X
142
X
Afectan a fragmentos de paquetes, algunas
implementaciones de colas IP no vuelven armar
correctamente los fragmentos que se superponen
haciendo que el sistema se cuelgue.
Puede afectar a los usuarios atendidos
directamente por el servidor comprometido o
indirectamente por los servidores dependientes
del servidor, el atacante explota una
vulnerabilidad en el software de DNS que puede
hacer que este acepte información incorrecta.
Website-vandalism.
Keyhost.
Teardrop i y ii-newtearbonk-boink.
Envenenamiento de
cache.
Spyware.
Hacking wireless.
Fingerprinting.
93
94
95
96
97
98
99
X
Modificación del contenido y de la apariencia de
determinadas páginas Web las cuales podrían
tomar el control de estos equipos para extraer
información.
Se basa en analizar una serie de patrones que se
obtienen de diversas formas de la máquina
remota de la cual quieren obtener información
Tabla 22: Herramientas Forenses Vs Delitos Informáticos
Ingreso a redes inalámbricas privadas.
Conexiones a redes no autorizadas.
X
Consiste en bug (error) en la implementación de
la pila TCP/IP de las plataformas Windows.
X
X
Los mensajes de correo podrían ser redirigidos
hacia los servidores de correo autorizados donde
podrían ser leídos, modificados o eliminados.
Land attack.
92
Es un tipo de ataque enviado a una computadora
que consiste en mandar numerosos paquetes
ICMP muy pesados mayores a 65.535 bytes con el
fin de colapsar el sistema atacado.
Ping de la muerte.
X
91
X
Ping flood.
90
Consiste en saturar una línea lenta con un número
de paquetes ICMP suficientemente grande. Esta
saturación causará una degradación del servicio
importante.
X
X
X
143
6.4. METODOLOGÍA PARA EL ANÁLISIS FORENSE DEL GPI
6.4.1. CONCEPTUALIZACIÓN DE LA METODOLOGÍA
Considerando que el análisis Forense Informático es una técnica de capturar, procesar e
investigar información procedente de sistemas informáticos utilizando técnicas
predefinidas y en base al estudio realizado se propone la siguiente metodología para
detectar o tratar un incidente en la seguridad de la información en el GPI.
6.4.2. Revisiones operativas
6.4.2.1.
Revisión y correlación de eventos
6.4.2.2.
Revisión de alarmas
6.4.3. Metodología.
Si tenemos indicios de que existe algún evento irregular procedemos a seguir la
siguiente, (Ver gráfico 24):
METODOLOGÍA PARA EL ANÁLISIS
FORENSE DEL GPI.
IDENTIFICAR
Documentar los
antecedentes de
la investigación
Organizar y
definir el equipo
de investigación
Realizar una
investigación
preliminar
Almacenar y
archivar
PRESERVAR
Obtener copia
exacta del Disco
Duro
Recopilar Datos
ANALIZAR
Análisis de datos
de la red
Análisis de Datos
de Host
DOCUMENTAR
Organización de
la
documentación
Cadena de
custodia de la
evidencia
Análisis de medios
de almacenamiento
Informe final
Gráfico 24: Metodología del Análisis Forense GPI
144
·
IDENTIFICAR los equipos que pueden tener evidencia, reconociendo la frágil
naturaleza de los datos digitales.
·
PRESERVAR la evidencia contra daños accidentales e intencionales, usualmente
esto se realiza efectuando una copia o imagen espejada exacta del medio analizado.
·
ANALIZAR la imagen copia de la original buscando la evidencia o información
necesaria
·
REPORTE, después de terminada la investigación se debe realizar el reporte de
los hallazgos a la persona indicada para tomar las decisiones, por ejemplo a un
“Juez”.
6.4.3.1.
FASE DE IDENTIFICACIÓN:
En esta fase, realizamos una evaluación de los recursos, alcance y objetivos necesarios
para realizar la investigación interna (ver gráfico 25).
FASE DE IDENTIFICACIÓN
a) Autorización por escrito (Solicitud
Forense)
b) Organizar y Definir el Equipo de
Investigación
c) Investigación Preliminar
d) Cadena de Custodia de la Evidencia
Gráfico 25: Fase de Identificación
En forma secuencial seguimos los siguientes pasos:
145
a) Autorización por escrito.- Se refiere
a obtener la solicitud forense
que es un
documento donde el administrador del equipo afectado notifica de la ejecución de un
incidente y para ello solicita a la unidad de seguridad la revisión del mismo, donde
incluye toda la información necesaria para dar inicio al proceso de análisis, se debe
tomar en cuenta los acuerdos de confidencialidad. Se procede a llenar el siguiente
formulario de solicitud (ver tabla 23):
SOLICITUD DE ANÁLISIS FORENSE
DESCRIPCIÓN DEL DELITO INFORMÁTICO
Fecha del Incidente:
Duración del incidente:
Detalles del incidente:
INFORMACIÓN GENERAL
Área:
Nombre de Dependencia:
Apellidos y Nombres:
Cargo:
Responsable del
E-mail:
sistema afectado
Teléf. Convencional:
Extensión
Teléf. Móvil:
Fax:
INFORMACIÓN SOBRE EL EQUIPO AFECTADO
Dirección IP:
Nombre del Equipo:
Marca y modelo:
Capacidad de la RAM:
Capacidad de Disco Duro:
Modelo del Procesador:
Sistema Operativo (Nombre y Versión):
Función del Equipo:
Tipo de información procesada por el equipo:
Tabla 23 : Ejemplo de Solicitud Forense.
146
Es necesario documentar todas las acciones y antecedentes que preceden la
investigación, los acontecimientos y decisiones que se adoptaron durante el incidente y
su respuesta al incidente, esto determinará el curso de acción a seguir en la
Investigación.
b) Organizar y definir el Equipo de Investigación, estableciendo límites, funciones y
responsabilidades. Esto nos permite asegurar que tanto los procesos como las
herramientas sean las más idóneas.
c) Realizar una Investigación preliminar (documentada) que permita describir la
situación actual, hechos, las partes afectadas, posibles sospechosos, gravedad y
criticidad de la situación, infraestructura afectada, para lograr una compresión total de
la situación actual del incidente y definir un curso de acción acorde a la situación, se
puede obtener el valor crítico de los daños producidos por el ataque, utilizando la
siguiente tabla:
EFECTOS DEL INCIDENTE Y RECURSOS AFECTADOS
Criticidad de los
Daños Producidos
Recursos Afectados
Incidente
Graves Moderados Leves
Alta
Media Baja
Acceso no Autorizado
Servidor Web
Servidor de Archivos
Servidor de
Aplicaciones
Otros
Infección de Virus
Servidor
Estación de Trabajo
Otros
Observación:
Firma Responsable:
Fecha:
Hora:
Tabla 24: Ejemplo de formato para receptar Efectos del incidente y Recursos Afectados
147
Además para la investigación preliminar se recomienda
-
Identificar el Impacto y la sensibilidad de la información (de clientes,
financieros, comerciales, de Investigación y Desarrollo, etc.).
-
Analizar el Impacto de los servicios, negocios, transacciones o acciones a través
de la investigación del Incidente. Como, tiempos de inactividad, costos de
equipos afectados o dañados, pérdida en ingresos, costos de recuperación,
pérdida de información confidencial, pérdida de credibilidad e imagen, etc.
-
Identificar la topología de red y equipos afectados (servidores, estaciones,
Sistemas Operativos, Router, Switches, etc).
-
Identificar los dispositivos de almacenamiento o elementos informáticos
(Discos Duros, Pen drive, memorias, tarjetas flash, Tapes, Zip Disk, Ópticos,
Disquetes, Cds, Dvd, etc) que se consideren comprometidos y sean
determinados como evidencia, su marca, modelo, características, seriales, etc.
-
Identificar a los posibles implicados o funcionarios que tengan relación con la
investigación
y efectuar entrevistas, con usuarios o administradores
responsables de los sistemas, documentando todo, para lograr un conocimiento
total de la situación.
-
Realizar una recuperación de los logs13 de los equipos de comunicación y
dispositivos de red, involucrados en la topología de la red.
El producto final de la investigación preliminar, es un documento detallado con la
información que permita definir un punto de inicio para la adquisición de datos y
para la elaboración del documento final.
d) Cadena de custodia de la evidencia.- Iniciamos la cadena de Custodia, llenando el
formato correspondiente, iniciando un registro de los procesos que se llevan a cabo y el
embalaje de la Evidencia, se debe determinar:
-
Dónde, cuándo y quién es el primero en tener la evidencia.
-
Dónde, cuándo y quién examino la evidencia.
-
Quién va a tener custodia de la evidencia y por cuanto tiempo la tendrá.
13
Logs: Es usado para registrar datos o información sobre quién, qué, cuándo, dónde y por qué un evento
ocurre para un dispositivo en particular o aplicación
148
-
Quién y cómo se embaló y almacenó la evidencia.
-
Cuándo se realiza el cambio de custodia y como se realiza la transferencia.
6.4.3.2.
FASE DE PRESERVACIÓN
En esta segunda fase, se procede a obtener la evidencia sin alterarla o dañarla, se garantiza
que la información de la evidencia sea igual a la original, es necesario definir los procesos
adecuados para el almacenamiento y etiquetado de las evidencias. Cuando están las
evidencias listas es preciso conservarlas intactas ya que son las “huellas del ilícito”, se las
debe asegurar y resguardar a toda costa, para ello se sigue el siguiente proceso, (Ver
gráfico 26).
FASE DE PRESERVACIÓN
a) Obtener copia de seguridad exacta del Disco
Duro
b) Recopilar Datos
c) Almacenar y archivar
Gráfico 26: Fase de Preservación.
a) Obtener una copia de seguridad exacta del disco.- Realizar copia imagen de los
dispositivos (bit a bit), con una herramienta apropiada, y firmar su contenido con un
hash de MD514 o SHA115, generando así el segundo original, a partir de este se
14
MD5 (Algoritmo de Hash, Message-Digest Algorithm 5 o Algoritmo de Firma de Mensajes 5): Desarrollado
por Ron Rivest. Procesa mensajes de una longitud arbitraria en bloques de 512 bits generando un
compendio de 128 bits.
15
SHA-1 (Secure Hash Algorithm 1 o Algoritmo de Hash Seguro 1): El SHA-1 toma como entrada un mensaje
64
de longitud máxima 2 bits (más de dos mil millones de Gigabytes) y produce como salida un resumen de
160 bits.
149
generaran las copias para la fase de Análisis de datos, cada copia debe ser comprobada
con firmas digitales nuevamente de MD5 o SHA1, cada copia debe estar totalmente
etiquetada.
b) Recopilación de Datos.- Es importante considerar las buenas prácticas para conservar
la información y la evidencia, tales como:
·
Asegurar de manera física un lugar para almacenar los datos, evitando su
manipulación y documentar.
·
Proteger los equipos de almacenamiento de los campos magnéticos (estática).
·
Realizar como mínimo el segundo original y una copia del segundo original para el
análisis y almacenar el segundo original en un sitio seguro, y documentar.
·
Asegurar que la evidencia está protegida digital y físicamente (por ejemplo, en una
caja fuerte, asignar una contraseña a los medios de almacenamiento).
·
Actualizar el documento de cadena de custodia (incluye información como el
nombre de la persona que examina la evidencia, la fecha exacta y el tiempo que da
un vistazo a las pruebas, y la fecha exacta y hora en que lo devuelva).
De igual forma, se toman otras fuentes de información de los sistemas vivos, los datos
volátiles como:
·
Cache del Sistema
·
Archivos temporales
·
Registros de sucesos.
·
Registros de internos y externos que los dispositivos de red, tales como firewalls,
routers, servidores proxy, etc.
·
Logs del sistema, Aplicaciones.
·
Tablas de enrutamiento (arp, cache de Netbios, lista de procesos, información de la
memoria y el kernel)
·
Registros remotos e información de monitoreo relevante.
Es importante documentar la evidencia con un documento del embalaje (y cadena de
custodia) que puedan garantizar que se incluye información acerca de sus
configuraciones, por ejemplo, anote el fabricante y modelo, configuración de los
puentes, y el tamaño del dispositivo. Además, tenga en cuenta el tipo de interfaz y de la
condición de la unidad.
150
b) Almacenar y archivar.- Iniciar una Bitácora, que nos permita documentar de manera
precisa e identificar y autenticar los datos que se recogen. Se puede iniciar contestando
el siguiente cuestionario:
-
¿Quién realiza la acción y por qué lo hicieron.
-
¿Qué estaban tratando de lograr?
-
¿Cómo se realiza la acción, incluidas las herramientas que utilizaban y los
procedimientos que siguieron.
-
Cuando se realizó la acción (fecha y hora) y los resultados.
Se pretende que esta información sea: Auténtica, Correcta, Completa, Convincente.
Para que en caso de un proceso judicial sea legal y admisible.
6.4.3.3.
FASE DE ANÁLISIS.
FASE DE ANÁLISIS
a) Análisis de datos de la Red
b) Análisis de Datos de Host
c) Análisis de Medios de Almacenamiento
Gráfico 27: Fase de Análisis
Primeramente debemos preparar: un entorno de trabajo adecuado, las herramientas
técnicas, autorizaciones de monitoreo y soporte administrativo; luego empezamos a
cumplir con el objetivo de ésta fase que es reconstruir con todos los datos disponibles la
línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar
desde el inicio del ataque, hasta el momento de su descubrimiento; siempre trabajando en
151
las imágenes de los dispositivos. Este análisis se dará por terminada cuando se descubra
cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se
produjo, cuál era el objetivo del ataque, qué daños causaron, etc.
En ésta fase se seguirá tres pasos:
a) Análisis de Datos de la Red.- Se identifica los dispositivos de comunicación y de
defensa perimetral (Servidores Web, Firewall, IDS’s, IPS’s, Proxys, Filtros de
Contenido, Analizadores de Red, Servidores de Logs, etc) que están en la Red, con la
finalidad de recuperar los logs que se han tomado como parte de la gestión de red.
b) Análisis de los Datos del Host.- Generalmente se logra con la información obtenida
de los sistemas vivos, de la lectura de las Aplicaciones y los Sistemas Operativos. Para
nuestro caso, debemos de limitarnos a tratar de recuperar estos archivos de la
evidencia en procesos de Data Carving (proceso de extraer una serie de datos de un
gran conjunto de datos. La técnica de Data Darving se utiliza habitualmente durante
una investigación digital cuando se analiza el espacio no ubicado de un sistema de
ficheros para extraer archivos. Los archivos son “desenterrados” del espacio no
ubicado utilizando valores para las cabeceras y pies específicos del tipo de archivo.) o
recuperación de datos, y definir criterios adecuados de búsqueda, debido a que lo más
probable es que encontremos una gran cantidad de información que nos puede
complicar o facilitar el análisis de datos, dependiendo de nuestros objetivos de
búsqueda. Posteriormente se define a que archivos le realizaremos la búsqueda.
c) Análisis de los Medios de Almacenamiento.-Igual que el punto anterior debemos
definir criterios de búsqueda con objetivos claros, debido a la gran cantidad de
información disponible, que nos puede desviar la atención o sencillamente complicar
el proceso de análisis de la información se debe tener en cuenta las siguientes puntos:
-
No olvidemos, que se debe utilizar la copia del segundo original, a su vez el
segundo original preservarlo manteniendo un buen uso de la cadena de custodia.
-
Determinar si los archivos no tienen algún tipo de cifrado (varias claves del
registro no lo pueden determinar).
-
Preferiblemente descomprimir los archivos con sistemas de compresión.
-
Crear una estructura de Directorios y Archivos recuperados.
152
-
Identificar y recuperar los archivos objetivo (determinados por algunos criterios,
por ejemplo aquellos que han sido afectados por el incidente).
-
Estudio de las Metadatos (en especial identificar las marcas de tiempo, creación,
actualización, acceso, modificación, etc.).
-
La evidencia debe ser cargada de solo lectura, para evitar daños o alteraciones
sobre las copias del segundo original.
Si la intensión es plantear un procedimiento judicial, es necesario también averiguar quién
o quienes lo hicieron para esto será de utilidad consultar nuevamente algunas evidencias
volátiles que se recopiló en las primeras fases, revisar las conexiones que estaban abiertas,
en qué puertos y qué direcciones IP las solicitaron, además buscar entre las entradas a los
logs de conexiones. También se puede investigar entre los archivos borrados que se
recuperó por si el atacante eliminó alguna huella que quedaba en ellos, se podría utilizar
técnicas Hacker, pero en una forma ética, todo depende de la pericia y habilidad del
investigador forense.
6.4.3.4.
FASE DE REPORTE Y DOCUMENTACIÓN
FASE DE REPORTE Y DOCUMENTACIÓN
a) Organización de la Documentación
b) Informe Técnico e Informe Final
Gráfico 28: Fase de Identificación
Es la fase más delicada e importante (ver gráfico 28), en donde ya se genera el documento
que sustentará una prueba en un proceso legal, si fuera el caso, básicamente tener en cuenta
estos dos pasos:
153
a) Organización de la Información:
-
Retomar toda la documentación generada en las fases anteriores de la metodología
propuesta, e igual cualquier información anexa como notas, antecedentes o
informe policial, documentos de custodia de la evidencia, formularios de:
identificación de equipos y componentes, publicación, recogida de evidencias. etc.
-
Identificar lo más importante y pertinente de la investigación.
-
Realizar conclusiones (tenga en cuenta los hechos) y crear una lista de las pruebas
para presentar en el informe.
b) Informe Final:
Debe ser claro, conciso y escrito en un lenguaje entendible para gente común (no muy
técnico). Debe contener como mínimo:
-
Propósito del Informe.-. Explicar claramente el objetivo del informe, el público
objetivo, y por qué se preparó el informe.
-
Autor del informe. Todos los autores y co-autores del informe, incluyendo sus
posiciones, las responsabilidades durante la investigación, y datos de contacto.
-
Resumen de Incidentes.- Introducir el incidente y explicar su impacto. El
resumen deberá estar escrito de manera que una persona no técnica, como un juez
o jurado sería capaz de entender lo que ocurrió y cómo ocurrió.
-
Pruebas.- Proporcionar una descripción de las pruebas de que fue adquirido
durante la investigación. Cuando el estado de la evidencia que describen la forma
en que fue adquirida, cuándo y quién lo adquirió.
-
Detalles:
ž
Proporcionar una descripción detallada de lo que en la evidencia se
analizó y los métodos de análisis que se utilizaron.
ž
Explicar los resultados del análisis.
ž
Lista de los procedimientos que se siguieron durante la investigación y de
las técnicas de análisis que se utilizaron.
ž
Incluir una prueba de sus resultados, tales como los informes de servicios
públicos y las entradas de registro.
ž
Justificar cada conclusión que se extrae del análisis.
154
Sellar documentos de apoyo, el número de cada página, y se refieren a
ž
ellos por el nombre de la etiqueta cuando se examinan en el análisis; por
ejemplo, “registro de Firewall de servidor, documento de apoyo D.”
ž
Además, proporcionar información sobre aquellos individuos que
realizaron o participaron en la investigación. Si es necesario proporcione
una lista de testigos.
-
Conclusión.- Resumir los resultados de la investigación. La conclusión debe ser
específica de los resultados de la investigación. Citar pruebas concretas para
demostrar la conclusión, pero no dar excesivos detalles acerca de cómo se
obtuvieron las pruebas (tal información debe estar en la sección “Detalles”).
Incluir una justificación para su conclusión, junto con las pruebas y la
documentación. La conclusión debe ser lo más clara y sin ambigüedades como sea
posible.
-
Documentos Justificativos.- Incluir cualquier información de antecedentes a que
se refiere en todo el informe, tales como diagramas de red, los documentos que
describen los procedimientos de investigación de equipos usados, y un panorama
general de las tecnologías que intervienen en la investigación. Es importante que
los documentos justificativos proporcionen información suficiente para que el
lector del informe pueda comprender el incidente tan completamente como sea
posible. Los documentos de apoyo deben estar etiquetados con letras y números
en cada página del documento y además proporcionar una lista completa de los
documentos justificativos
Si el informe es presentado a un público heterogéneo, considerar la creación de un glosario
de términos utilizados en el informe. Un glosario es especialmente valioso si el organismo
de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez o
jurado debe revisar los documentos.
6.4.4. Aplicaciones de Herramientas Forenses en el GPI
Como objetivo principal de ésta investigación es el análisis forense informático en el GPI,
es así que se ha seleccionado un grupo de herramientas “gratuitas” para cumplir con éste
155
objetivo, cabe recalcar que en el GPI no se ha reportado, ni presentado ataques
informáticos, pero la investigación pretende poner en alerta a sus directivos para que
consideren y minimicen las vulnerabilidades que les podemos hacer notar que existen en
sus instalaciones.
Si bien es cierto que en los últimos años el número de herramientas forenses se han
diversificado y multiplicado y se puede encontrar en el mercado desde las más sencillas y
económicas, como programas de prestaciones muy limitadas y con costos de menos de
US$300, hasta herramientas muy sofisticadas que incluyen tanto software como
dispositivos de hardware. Es necesario tomar en cuenta que no todos los productos sirven
para todo, algunos están diseñados para tareas muy específicas y más aún, diseñados para
trabajar sobre ambientes muy específicos, como determinado sistema operativo. Se ha
utilizado herramientas gratuitas por la facilidad de adquisición ya que en el GPI por la
eventualidades conocidas por todos no cuenta con presupuesto para un estudio de esta
naturaleza.
6.4.4.1.
Herramienta AIRCRACK NG 1.0
Aircrack es la herramienta por excelencia para el crackeo de redes WiFi [27]. Con esta
herramienta se pueden lanzar gran cantidad de ataques estadísticos y de fuerza bruta sobre
los protocolos WEP16 y WPA17. Además también incluye en su suite, gran cantidad de
herramientas adicionales que podrían proporcionar a un atacante la capacidad de llevar
complejos ataques informáticos sobre las redes que ellos elijan. Se eligió esta herramienta
porque permite obtener las contraseñas a partir de capturas de tráfico y los diccionarios de
claves como:
•
airodump: programa para la captura de paquetes 802.11
•
aireplay: programa para la inyección de paquetes 802.11
•
aircrack: crackeador de claves estáticas WEP y WPA-PSK
•
airdecap: desencripta archivos de capturas WEP/WPA
16
WEP (Wired Equivalent Privacy) "Privacidad Equivalente a Cableado".
WPA (Wi-Fi Protected Access, Acceso Protegido Wi-Fi) es un sistema para proteger las redes
inalámbricas (Wi-Fi);
17
156
Además de esta herramienta se necesita utilizar los siguientes programas:
•
COMMVIEW FOR WIFI: Permite capturar el tráfico wifi de nuestros ingenuos
vecinos. Será el sustituto del programa "airodump-ng" de Wifislax.
•
WIFI DECRYPTER: Genera el diccionario de posibles claves. Es el sustituto del
programa "wlandecrypter" de Wifislax; pero mucho mejor, porque además de generar
diccionarios para las redes WLAN_XX, sirve también para redes DLINK,
ADSLXXXXXX y SpeedTouchXXXX.
a) Instalación.
Creamos una Carpeta común en el escritorio y la llamamos "WIFI ATTACK".
•
Commview for wifi.
Este programa no soporta todas las tarjetas de red pero, probamos de todas formas
y en caso de no funcionar adquirimos una compatible. Instalarlo es un poco
tedioso, hay que aceptar unas cuantas licencias. En determinado momento,
pregunta sobre las tarjetas Intel, buscamos la nuestra y damos ok.
•
Tarjeta WiFi:
Se debe averiguar la marca y modelo de la tarjeta wifi (por si es integrada o no
aparece por ningún lado), para esto tenemos que ir al "Administrador de
dispositivos" de Windows, cuya localización varía dependiendo del SO.
Instalación: Damos click en setup del programa y nos aparece la siguiente
pantalla, donde nos da la bienvenida a esta herramienta. Damos click en Next para
continuar con la instalación, aceptando los términos de instalación.
157
Click en Next para la siguiente pantalla, en donde nos da dos opciones a escoger.
Aquí escogemos la opción 2 el modo estándar.
En esta pantalla nos indica el lugar donde se instalara el software, en este caso es en
C:\ Program Files\CommViewWiFi.
158
Escogemos el idioma para la instalación y damos Next y esperamos a que se
instale.
Cuando se termine la instalación nos aparecerá la siguiente pantalla:
Cuando termine de instalar, movemos el acceso directo a la carpeta "Wifi attack".
Si no hay icono en el escritorio, copiamos el del menú inicio.
•
WIFI DECRYPTER
Para instalarlo, descomprimimos el contenido del archivo en la carpeta "Wifi
Decrypter" dentro de la "Wifi Attack" (el programa descompresor, normalmente
WinRar o WinZip, creará la carpeta automáticamente). Copiamos el archivo
ejecutable y lo pegamos como acceso directo en "Wifi Attack".
•
AIRCRACK-NG PARA WINDOWS.
Lo descomprimimos igual que el Wifi Decrypter, en la carpeta "Wifi Attack" del
escritorio. En mi caso se encuentra en la carpeta "aircrack-ng-1.0-win", pero el
159
nombre puede variar según la versión. Nos vamos a la carpeta "bin" dentro de la
carpeta del aircrack, copiamos el archivo "Aircrack-ng GUI.exe" y lo pegamos
como acceso directo en la carpeta "Wifi Attack". Una vez hecho todo lo anterior
la carpeta nos queda de la siguiente manera:
b) Hacker.
•
Buscar Redes.
Abrimos el Commview.
Para iniciar la captura damos clic en el botón Play, ubicado en la parte superior
izquierda; inmediatamente aparece una ventana en la que se puede observar todas
las redes al alcance, para ello hacemos clic en el botón Iniciar exploración. Al
final aparecerán todas las redes, se da clic en la red que sea de nuestro interés o
que deseamos hackear (por tratarse de datos confidenciales no exponemos gráficos
de éstas opciones) y damos clic en el botón capturar, allí se puede observar que las
160
separa por canal y las nombra por la marca de router y los últimos seis dígitos de la
MAC, además nos informa la calidad de la señal y el nombre de la red.
•
Capturar tráfico de una red en concreto.
Se cerrará entonces la ventana del explorador de redes y volveremos a la ventana
principal, donde aparecerán las redes que operan en el canal 1. Cuando se ha
capturado 4 ó más paquetes de datos (ubicados en la antepenúltima columna),
hacemos clic en el botón stop (detener captura). Si no se logra hacer ninguna
captura de datos se puede intentar varias cosas como ubicar el ordenador o el wifi
usb por la ventana, hacerlo a otras horas del día, otro día, etc., en ésta clase de
trabajos la paciencia es de mucha importancia ya que no todo el mundo tiene el
ordenador encendido las 24 horas del día.
Es importante conocer que Commview for Wifi captura más paquetes que
Airodump-ng, esto es porque Commview captura, además de los paquetes de datos
(que son los que nos interesan a nosotros), los de control y los de gestión. Para ver
cuántos paquetes de datos se han capturado realmente, deberemos pinchar en la
pestaña Canales y mirar la columna Datos.
Cuando ya tengamos los paquetes necesarios los guardamos dando clic en la red
que nos interesa, luego clic en el menú “Archivo” y seleccionamos “Guardar
registro de paquetes como….”, nos permite guardar el archivo en varios formatos,
Seleccionamos "Archivos Wireshark/Tcpdump (*.cap)" y lo guardamos con el
nombre que deseamos.
161
Para obtener la MAC del router, damos clic derecho en la red escogida y
seleccionamos "Copiar dirección física (MAC)", la tendremos en el portapales, por
lo que deberemos pegarla en el bloc de notas o similar para tenerla a mano.
Podemos desmarcar "Mostrar nombre del fabricante en direcciones físicas" para
que no aparezca la marca del router y así poder ver la MAC completa. En nuestro
ejemplo la dirección MAC es la siguiente: 1C:BD:B9:94:07:FE.
c) Generar el Diccionario de Claves.
Para generar el Diccionario de claves abrimos el Wifi Decrypter.es recomendable no cerrar el
Commview porque podemos volver a necesitar algo, sobre todo las primeras veces.
Lo primero que tenemos que hacer es ir al menú desplegable y seleccionar el tipo de
router que queremos atacar. En nuestro caso es D-LINK. Ahora escribimos la MAC,
por pares de caracteres en BSSID, y escribimos el nombre de la red en ESSID
(ejemplo D-LINK), y como archivo de salida escribimos: nombre.txt (ejemplo
Diccionario.txt) y le damos a "Crear diccionario".
d) Obtener la Clave.
Abrimos el Aircrack.
162
De las 5 pestañas que aparecen, las 4 primeras son diferentes herramientas; pero sólo
necesitaremos la primera, el aircrack-ng, para las demás se necesitan drivers
especiales. En el primer campo, Filenames, seleccionamos el archivo .cap (que
generamos en el Commview). En la encriptación, dejamos la WEP de 128 bits y
marcamos "Use wordlist". En el campo que aparece, seleccionamos el diccionario de
claves que generamos con el Wifi Decrypter. Ahora damos clic en "Launch" y se
abrirá una ventana de MS-DOS con el resultado del aircrack. Si en el archivo .cap hay
paquetes de más de una red, preguntará qué red atacar. En tal caso debemos escribir el
número de la red que nos interese y pulsar Enter.
6.4.4.2.
Herramienta CAIN & ABEL.
Caín&Abel es una herramienta de recuperación de contraseñas para sistemas operativos de
Microsoft; diseñada especialmente para administradores de redes con la que se puede
comprobar el nivel de seguridad de una red local doméstica o profesional. Recupera
fácilmente varios tipos de password mediante el sniffing18 de la red en el cual captura los
paquetes (información que se envía por Internet, como usuarios y contraseñas) que envía
por la Red; crackeando passwords encriptados usando diccionarios, fuerza bruta19 y
ataques mediante criptoanálisis. También graba conversaciones VoIP, decodifica
passwords, recupera claves de red o claves almacenadas en cache.
a) Instalación y configuración de sniffer Cain&Abel en una Red
Ejecutamos el archivo de instalación Cain&Abel v4.9.40 en una terminal conectada al
HUB y procedemos con la instalación:
18
sniffer, se define como una pieza de software o hardware que se conecta a una red informática y
supervisa todo el tráfico que pasa por el cable.
19
La fuerza bruta se implementa con un programa que se encarga de probar múltiples claves hasta descubrir la
correcta.
163
Next, y aceptamos los términos de la licencia.
Seleccionamos en dónde se van a almacenar los archivos de instalación.
Next, y luego finalizar.
Una vez finalizada la instalación del sniffer se nos pide instalar el WinPcap que
sirve para configurar la Placa de Red en modo escucha.
Procedemos a instalar el WinPcap 4.1.2
164
Aceptamos los términos de licencia
165
Instalamos WinPcap
Después de finalizar la instalación del sniffer, se debe reiniciar la máquina y
luego procedemos con la configuración.
b) Configuración.
Ejecutamos Cain&Abel:
166
Configuración de la placa de red, para que se capturen los paquetes que se transmiten
en la red, de la siguiente manera:
•
En la opción “Sniffer”, Seleccionamos la placa de red a utilizar
•
En la opción “Filtres and ports”, Filtramos los protocolos que se desean captar.
•
Se coloca una dirección IP que no exista en nuestra subred, pero que esté en el
rango de la misma.
167
•
Aplicamos los cambios realizados.
•
Iniciamos el sniffer.- en esta ocasión vamos a recuperar wireless passwords.
•
En la opción “Decoders”, seleccionamos Wireless passwords y hacemos clic en el
signo “+”.
•
Observamos los resultados indicados por la herramienta, en la columna password.
También se puede encontrar las Pc que están en la red.
•
En la opción “Network”, seleccionar Microsoft Windows Network y hacemos click
en “+”
168
•
Inmediatamente se observa una ventana con los resultados, los cuales se pueden
expandir en la opción que deseemos, además podemos explorar las opciones de
cualquiera de las pc.
Para encontrar en la red dispositivos con sus propiedades:
•
En la opción sniffer, seleccionamos HSPR Routers y damos click en “+”
•
Como resultado obtenemos los dispositivos en encontrados con sus propiedades.
En el caso de encontrar passwords encriptadas, éstas son enviadas automáticamente
al Cracker.
169
6.4.4.3.
Herramienta ENCASE
EnCase es un ejemplo de herramientas forenses más potentes. Desarrollada por Guidance
Software Inc., la podemos encontrar en http://www.guidancesoftware.com, la cual permite
asistir al investigador forense durante el análisis de un crimen digital.
Se detalla sobre esta herramienta por tratarse del software líder en el mercado, el producto
más ampliamente difundido y de mayor uso en el campo del análisis forense.
Algunas de las características más importantes de EnCase son:
·
Copiado Comprimido de Discos Fuente. Encase emplea un estándar sin pérdida
(loss-less) para crear copias comprimidas de los discos origen. Los archivos
comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera
semejante a los originales. Esta característica ahorra cantidades importantes de espacio
en el disco del computador del laboratorio forense, de esta forma permite trabajar en
una gran diversidad de casos al mismo tiempo, examinándola evidencia y buscando en
paralelo.
·
Búsqueda y Análisis de Múltiples partes de archivos adquiridos. EnCase permite al
investigador buscar y analizar múltiples partes de la evidencia. Muchos investigadores
involucran una gran cantidad de discos duros, discos extraíbles, discos zip y otros tipos
de dispositivos de almacenamiento de información. Con Encase, el investigador puede
buscar todos los datos involucrados en un caso en un solo paso. La evidencia se
clasifica, si esta comprimida o no, y puede ser colocada en un disco duro y ser
examinada en paralelo por el especialista. En varios casos la evidencia puede ser
ensamblada en un disco duro grande o un servidor de red y también buscada mediante
Encase en un solo paso.
·
Diferente capacidad de Almacenamiento. Los datos pueden ser colocados en
diferentes unidades, como Discos duros IDE o SCSI, drives ZIP. Los archivos
pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM
manteniendo su integridad forense intacta, estos archivos pueden ser utilizados
directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas.
170
·
Varios Campos de Ordenamiento, Incluyendo marcas de tiempo. Encase permite al
especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos,
incluyendo campos como las tres marcas de tiempo (cuando se creó, último acceso,
última escritura), nombres de los archivos, firma de los archivos y extensiones.
·
Análisis Compuesto del Documento. EnCase permite la recuperación de archivos
internos y metadatos20 con la opción de montar directorios como un sistema virtual para
la visualización de la estructura de estos directorios y sus archivos, incluyendo el
slack21 interno y los datos del espacio unallocated.
·
Búsqueda Automática y Análisis de archivos de tipo Zip y adjuntos de E-Mail. Al
igual que un antivirus EnCase es capaz de leer este tipo de archivos, pero en este caso
no en busca de virus, sino en busca de evidencia.
·
Firmas de archivos, Identificación y Análisis. La mayoría de los gráficos y de los
archivos de texto comunes contienen una pequeña cantidad de bytes en el comienzo del
sector, los cuales constituyen una firma del archivo. EnCase verifica esta firma para
cada archivo contra una lista de firmas conocida de extensiones de archivos. Si existe
alguna discrepancia, como en el caso de que un sospechoso haya escondido un archivo
o simplemente lo haya renombrado, EnCase detecta automáticamente la identidad del
archivo, e incluye en sus resultados un nuevo ítem con la bandera de firma descubierta,
permitiendo al investigador darse cuenta de este detalle.
·
Análisis Electrónico del Rastro de Intervención. Sellos de fecha, sellos de hora,
registro de accesos y la actividad de comportamiento reciclado son a menudo puntos
críticos de una investigación por computador. EnCase proporciona los únicos medios
prácticos de recuperar y de documentar esta información de una manera no invasora y
eficiente. Con la característica de ordenamiento, el análisis del contenido de archivos y
la interfaz de EnCase, virtualmente toda la información necesitada para un análisis de
rastros se puede proporcionar en segundos.
·
Soporte de Múltiples Sistemas de Archivo. EnCase reconstruye los sistemas de
archivos forenses de DOS, Windows (todas las versiones), Macintosh (MFS, HFS,
HFS+), Linux, UNIX (Sun, Open BSD), CD-ROM, y los sistemas de archivos DVDR.
20
Metadatos: Los metadatos son datos altamente estructurados que describen información, describen el
contenido, la calidad, la condición y otras características de los datos.
21
Salck: Espacio que queda libre en un clúster luego de almacenar un archivo.
171
·
Con EnCase un investigador es capaz de ver, buscar y ordenar archivos desde estos
discos con otros formatos, en la misma investigación de una manera totalmente limpia
y clara.
·
Vista de archivos y otros datos en el espacio Unallocated. EnCase provee una
interfaz tipo Explorador de Windows y una vista del Disco Duro de origen, también
permite ver los archivos borrados y todos los datos en el espacio Unallocated.
·
También muestra el Slack File con un color rojo después de terminar el espacio
ocupado por el archivo dentro del clúster, permitiendo al investigador examinar
inmediatamente y determinar cuándo el archivo reescrito fue creado. Los archivos
Swap y Print Spoolerson mostrados con sus marcas de datos para ordenar y revisar.
·
Integración de Reportes. EnCase genera el reporte del proceso de la investigación
forense como un estimado. En este documento realiza un análisis y una búsqueda de
resultados, en donde se muestra el caso incluido, la evidencia relevante, los
comentarios del investigador, favoritos, imágenes recuperadas, criterios de búsqueda y
tiempo en el que se realizaron las búsquedas.
·
Visualizador Integrado de imágenes con Galería. EnCase ofrece una vista
completamente integrada que localiza automáticamente, extrae y despliega muchos
archivos de imágenes como .gif y .jpg del disco. Seleccionando la Vista de Galería se
despliega muchos formatos de imágenes conocidas, incluyendo imágenes eliminadas.
El investigador puede después escoger las imágenes relevantes al caso e
inmediatamente integrar todas las imágenes en el reporte de EnCase. No es necesario
ver los archivos gráficos usando software de terceros, a menos que el formato de
archivo no sea muy conocido y todavía no sea soportado por EnCase.
EnCase es un software costoso, y permanentemente se está desarrollando nuevas versiones,
es así que para marzo del 2011 ya se contaba con la versión 6.18 y en mayo del mismo año
ya se está hablando de la versión 7.
Para nuestra práctica se ha descargado una versión libre, que es la versión 4.2, la cual
encuentra en el siguiente enlace: http://rapidshare.com/files/37906345/Easyv4.20.rar , este
enlace es una de las opciones que podemos utilizar para la descarga, de la cual
obtendremos el instalador y un archivo .dll el cual nos permitirá utilizar EnCase.
172
a) Instalación y configuración.
Procedemos a la instalación del programa: lo usual siguiente, siguiente y finalizar.
Aceptamos las condiciones de la licencia
173
Una vez terminada la instalación procedemos a ubicar el archivo .dll en la carpeta:
C:\Windows\System32. Y ya podemos utilizar nuestro programa: clic en el acceso
directo del escritorio.
Una vez ejecutado Encase procedemos a utilizar la herramienta:
•
Crear un nuevo caso asignándole un nombre y además el nombre de su creador y
seleccionamos finalizar:
174
•
Ahora añadimos un nuevo Device para seleccionar el disco que queremos analizar.
Seleccionamos Local Drives y siguiente.
En éste caso seleccionamos una memoria USB para el análisis, es necesario
seleccionar un disco y además un disco virtual (que en ocasiones se adiciona
automáticamente).
175
•
Ahora ya podemos analizar el dispositivo ya que nos aparecerá todos los
últimos datos que fueron contenidos en la memoria
176
Se puede manipular el programa para obtener los datos que se encontraban en
la memoria. En la parte inferior se muestran los datos y cuál era su ubicación
en la memoria.
•
Dando clic derecho, seleccionamos el archivo que nos interese recuperarlo,
procedemos a restaurarlo y seleccionamos una ubicación para el archivo y
finalmente lo podemos visualizar.
•
Creamos un registro en el cual nos va a devolver un informe del análisis
realizado.
177
•
Ir al archivo que recuperamos:
178
•
Para el e informe seleccionamos la pestaña “Scripts” y seleccionamos:
Una vez seleccionado este archivo se nos mostrará un código de utilización el
cual, inclusive, podemos modificar para su mejor presentación, en éste caso lo
mostraremos el dado por defecto.
179
•
Clic derecho en la pantalla y seleccionamos “Run”.
Aparece una pantalla para agregar nuestros datos y la ubicación del archivo.
180
•
Entramos a la ubicación que pusimos anteriormente y procedemos a abrir la
página web que se crea, y observamos todo lo que hemos realizado.
181
CAPÍTULO VII:
ANÁLISIS DE IMPACTOS
A continuación se presenta un análisis prospectivo de los posibles impactos que el
proyecto pueda presentar en las diferentes áreas o ámbitos. Para que el análisis a realizar
sea válido técnica y científicamente se ha utilizado una metodología que básicamente
consta de:
1. Selección del área o ámbito donde se realizará el análisis de impactos, para ello se ha
determinado las áreas: académica, científica, socio-cultural y económica.
2. Establecer una tabla de niveles para obtener una ponderación, así tenemos: negativos,
cero y positivos, según se muestra a continuación.
PONDERACIÓN
-3
-3
-1
0
1
2
3
NIVEL DE IMPACTO
Alto Negativo
Medio Negativo
Bajo Negativo
No hay impacto
Bajo Positivo
Medio Positivo
Alto Positivo
Tabla 25: Niveles de Ponderación
3. Para cada área o ámbito se construye una matriz en la que se determina los indicadores
de impacto.
4. Previo a un análisis de cada indicador, se asigna un nivel o ponderación de impacto
sea positivo, cero o negativo dependiendo del caso.
5. En cada matriz se realiza la sumatoria de los niveles de impacto, valor que se divide
para el número de indicadores, obteniéndose de esta manera el nivel de impacto en
esta área o ámbito.
182
6. Bajo cada matriz y por cada indicador se redacta el análisis o argumento del porque se
asignó ese valor numérico al indicador.
7. Finalmente, se elabora una matriz e impacto global o general, en la que en lugar de los
indicadores, se plantean las áreas o ámbito de impacto con su respectivo valor
numérico para determinar el impacto general del proyecto.
7.1.
IMPACTO ACADÉMICO
Nivel de Impacto
Indicadores
-3
1. Universidades que ofrecen carreras de
Ingeniería en Sistemas, Computación,
Derecho o afines
2. Inclusión de materias en pensum académico
de carreras Ingeniería en Sistemas,
Computación, Derecho o afines, orientadas
a la Informática Jurídica y Derecho
Informático
3. Profesionales
con
conocimientos
de
Informática Forense.
4. Creación de Maestrías en Informática
Forense o Afines
5. Fuente de apoyo instituciones públicas o
privadas
Totales
-2-
-1
0
1
2
3
x
x
x
x
x
2
4
6
Tabla 26: Impacto Académico.
Nivel de Impacto Académico = 12/5 = 2,4
El nivel de Impacto Académico es Medio Positivo
ANÁLISIS
§
Existen muchas personas graduadas en las universidades con especialidades de
Ingeniería en Sistemas, Computación o afines, que expresan interés en formarse
académicamente en Informática forense.
183
§
Las universidades que ofrecen carreras afines a la computación, informática y
derecho, manifiestan su intención de incluir en el pensum de las mismas, materias
como la Informática jurídica y Derecho Informático.
§
Cada vez los profesionales en Informática y computación están más interesados en
capacitarse en ésta rama relativamente nueva.
§
Por la necesidad imperiosa de cubrir esta necesidad, las universidades ya analizan
la creación de un Posgrado orientados a cubrir estos aspectos.
§
El estudio y diagnóstico realizado en este proyecto, servirán de base, fuente de
apoyo y consulta para profesionales y otras universidades que requieran formular
una propuesta académica de postgrado.
7.2. IMPACTO CIENTÍFICO
Nivel de Impacto
Indicadores
-3
-2-
1. Investigaciones
en
Seguridad
Informática.
2. Investigaciones en Procedimientos
Forenses.
3. Detección de intrusos en la red.
4. Información
resultante
con
características de: confidencialidad,
integridad,
disponibilidad,
auditabilidad, no repudio, protección
a la réplica.
Totales
-1
0
1
2
3
x
x
x
x
6
3
Tabla 27: Impacto Científico.
Nivel de Impacto Científico = 9/4 = 2,25
El nivel de Impacto Científico es Medio Positivo.
ANÁLISIS
·
Los centros de educación superior son por excelencia los centros de investigación
y desarrollo en todo el mundo, la universidad es el organismo rector de la sociedad
184
en materia de ciencia y tecnología, la sociedad acude a ella en búsqueda del consejo
equilibrado, de un punto de vista imparcial que le sirva de referencia. Por tal
motivo,
son las universidades las que propondrán
y/o apoyarán a las
investigaciones que surjan como consecuencia de la necesidad de brindar seguridad
de la información en la empresa privada y pública.
·
La policía es
la más interesada en estandarizar, conocer y practicar los
procedimientos forenses y además utilizar adecuadamente herramientas forenses;
por lo cual desde ya, muestra un gran interés en generar investigaciones rigurosas
sobre éste tema.
·
Gracias a la adecuada utilización de los procedimientos y herramientas forenses, se
puede terminar en la detección de los intrusos en la red.
·
En lo científico, las máquinas informáticas son capaces de elaborar información, y
ofrecernos información resultante con las
características que la seguridad
informática nos ofrece, muchas veces desconocidas por el hombre, aunque, si bien
es verdad, que el hombre a de enseñar a la máquina cómo obtener la nueva
información, y darle, aunque no siempre (ya que los sensores son capaces de
recoger de la Naturaleza datos con una rapidez, precisión y sensibilidad que en
muchos casos el hombre no puede igualar), los datos a partir de los cuales
obtenerla.
7.3. IMPACTO SOCIO – CULTURAL
Nivel de Impacto
Indicadores
-3
-2-
1. Garantía en la gestión de la
información (Seguridad de la
Información).
2. Cambios en la producción de bienes
materiales y/o servicios y la forma de
distribución de los mismos.
3. Calidad de vida de la sociedad.
4. Mejoramiento de las facultades
morales e intelectuales, mediante la
educación.
Totales
-1
0
1
2
3
x
x
x
x
2
9
Tabla 28: Impacto Socio-Cultural
185
Nivel de Impacto Socio-Cultural = 11/4 = 2,75
El nivel de Impacto Socio-Cultural es Alto Positivo
ANÁLISIS
§
Con la adecuada utilización de los principios de la Seguridad de la Información se
garantiza la gestión de la información, lo cual permite a la sociedad librarse de
preocupaciones.
§
Las personas aprenden a aceptar los avances tecnológicos sin temor a lo
“desconocido”, o al descontento al saber que necesitarán capacitación. Ya que se
requiere personal con mayor preparación.
§
La sociedad en general alcanzarán un conocimiento básico de la ejecución de
operaciones forenses, lo cual redunda en mejoramiento de la calidad de vida.
§
Se incrementa los niveles de ética en las personas al generar su trabajo (bienes
materiales y/o servicio), ya que sabe que nada está oculto.
7.4. IMPACTO ECONÓMICO
Nivel de Impacto
Indicadores
-3
-2-
1. Garantía
de
la
Información
(Seguridad Informática).
2. Prevención de ocurrencia de delitos
informáticos.
3. Inversión en la seguridad de la
información
4. Asignación de presupuestos para la
implementación de la seguridad de la
información.
Totales
-1
0
1
2
3
x
x
x
x
1
2
6
Tabla 29: Impacto Económico.
Nivel de Impacto Económico = 9/4 = 2,25
El nivel de Impacto Económico es Medio Positivo
186
ANÁLISIS
§
La garantía de la información a través de un proceso de seguridad informática
permite participar en forma eficiente y eficaz en los procesos productivos y como
consecuencia aparece un nuevo sector económico en el que la inteligencia e
información son esenciales.
§
La prevención de ocurrencia de delitos informáticos en el procesamiento crítico
como redes financieras y de confidencialidad, constituye la tarea principal en este
mundo globalizado. Conocer que las instituciones están prevenidas y alerta en lo
que a ocurrencia de delitos informáticos se refiere, brinda a las personas mayor
confianza en las instituciones y de acuerdo a la índole de la entidad puede redundar
en inversión económica.
§
En el mundo globalizado y altamente competitivo en que nos desarrollamos, las
empresas reconocen la necesidad de ofrecer al cliente mayor garantía, eficiencia y
eficacia, en el producto o servicio que ofrecen, por lo cual ya ven la necesidad de
invertir en planes de seguridad de la información que manejan.
§
En el caso de la empresa pública el gobierno ya reconoce la imperiosa necesidad de
apoyar con recursos económicos, para comenzar o continuar con los proyectos de
protección y seguridad a la información que manejan. En cambio en la empresa
privada ya lo manejan como una política interna en la cual ya cuentan
permanentemente con recursos para afianzar la seguridad de la información.
7.5. MATRIZ DE IMPACTOS GENERAL
Nivel de Impacto
Indicadores
-3
-2-
-1
0
1
2
1. Académico
x
2. Científico
x
3
x
3. Socio-cultural
4. Económico
x
Totales
6
3
Tabla 30: Matriz de Impactos General.
187
Nivel de Impacto General del Proyecto es = 9/4 = 2,25
El nivel de Impactos General es Medio Positivo
ANÁLISIS
Crear una metodología para el análisis informático forense, en éste caso para el Gobierno
Provincial de Imbabura, es un proyecto que tendrá a corto, mediano y largo plazo un
impacto medio positivo,
sobre todo en beneficio de la sociedad en los ámbitos:
académico, científico, socio-cultural y económico.
Por éste motivo, se propone la
implementación de medidas preventivas para poder detectar a tiempo situaciones delicadas
que ayuden a evitar y/o minimizar las consecuencias del cometimiento de un delito, en el
seno de la institución.
188
CONCLUSIONES
1. La información es un activo intangible, difícil de precisar su valor y sin normas
exactas para aplicar una amortización real, pero en lo que sí se ponen de acuerdo los
autores y quienes trabajan cerca de ella, es que es un activo relevante en el trabajo de
cualquier organización, lo cual motiva para que se tomen las debidas precauciones y
apliquen métodos de seguridad tanto física como lógica, que permita al usuario o
dueño de esa información estar con una alta sensación de tranquilidad.
2. El vocabulario informático ha ido incrementando su acervo,
conforme se han
desarrollado las TIC`s y algunos términos tienden a ser confundidos al momento de
utilizarlos, esto amerita tener claros los siguientes conceptos: informática forense,
computación forense, seguridad informática, derecho informático, informática
jurídica. Sobre todo para tener claro los estados de la información.
3. Las metodologías orientadas a garantizar seguridad informática, deben ser aplicadas
en todo el proceso de vida del software, desde su análisis hasta la implementación,
monitoreo y puesta en producción, de una manera específica y también con
procedimientos de retroalimentación.
4. Es importante que todos los niveles de la estructura orgánica de la institución,
conozcan la infraestructura tecnológica instalada, esto permitirá que el funcionario
también conozca sus deberes y derechos frente a la utilización de las herramientas
computacionales, así también aprenderá a apropiarse y defenderlas.
5. De suma importancia que los administradores de sistemas, tengan implementados
eficientes niveles de seguridad que puedan ser monitoreados en línea, incluidas
alarmas que posibiliten la detección y solución oportuna de intentos de ataque.
6. Los organismos de regulación tecnológica, sean estos estatales o privados deben
trabajar conjuntamente con universidades y entidades de legislación para incentivar y
hasta “obligar” a que el personal encargado de la seguridad de la información sea
aceptablemente capacitado, certificado y calificado en las áreas de seguridad y
forensia informática.
7. Sucedido el delito informático, es necesario la conformación de un equipo
multidisciplinario, que sea capaz de precisar y determinar las áreas afectadas, que
generalmente no es solamente los programas, sino más bien el área de trabajo en la
189
que fue delinquida la información, de tal manera que se pueda cuantificar el daño y
determinar la necesidad o no de aplicar métodos sofisticados de búsqueda de rastros,
que generalmente se lo hace utilizando programas de detección de bajo nivel, de los
cuales existen muchos en el mercado, o en su defecto el departamento de
administración de sistemas puede armarse una estrategia en base a la presente
metodología.
8. Aunque en nuestro país se cuenta con algunas leyes y normas que se refieren a los
delitos informáticos, el código penal no cubre todo el abanico de posibilidades, ya que
fue reformado en base a los artículos de penalización ordinaria, por tal razón es
necesario se proponga una nueva legislación al respecto que sea precisa dentro del
campo de la tipificación de los delitos informáticos y de la penalización de los
mismos, proyectada en base a la cuantificación del daño.
9. Es necesario fortalecer el organismo de la Policía, encargado de la delincuencia
informática, en todas sus etapas, que no solamente se dedique a esperar las denuncias,
sino también a monitorear posibles ataques antes de que lleguen a los firewalls
internos, y de ser posible certificar las seguridades de las empresas.
10. La falta de una verdadera estadística de los delitos informáticos, no permite visualizar
el número de casos reales ni tampoco averiguar las principales tendencias de ataques.
11. La aplicación de herramientas forenses, es un proceso continuo que permite evaluar
controles y seguridades implementadas en la institución.
12. Dada la variedad de formas de delinquir, no existe un especialista que cubra esta
necesidad, así como tampoco existe ciencia o centro de estudios donde pueda aprender
todo al respecto, el informático forense se hace en la práctica.
13. La heterogeneidad del software y del hardware ha generado que la informática forense
no tenga un estricto método de resolución de problemas, es por esta razón que todos
los días aparecen herramientas que solucionan tal o cual situación, esto ha supuesto la
diaria investigación de nuevos casos por parte del informático forense.
14. El sistema de control interno en el GPI, aparte de ser una política institucional, se
constituye como una herramienta de apoyo para las autoridades para modernizar,
cambiar y producir los mejores resultados, con calidad y eficiencia en los servicios que
ofrecen.
190
15. Es imperante hacer conocer a todos los usuarios del GPI, la política de seguridad en la
información con que cuenta la institución, para que aumente la colaboración voluntaria
en la aplicación de las mismas.
16. Las prácticas del análisis forense se realizan utilizando la presente metodología, de
forma continua e iterativa, sin embargo si el delito ha sido consumado y como
consecuencia se ha inutilizado el sistema, el análisis se convierte en post mortem.
17. No existe una metodología que sea estandarizada, sin embargo las metodologías y las
herramientas pueden combinarse para de acuerdo a criterios expuestos en este trabajo,
construir reglas apropiadas para casos particulares.
18. Proponer la metodología para el Análisis Informático Forense del GPI, ha permitido
alcanzar una mejor percepción de la seguridad, tanto a nivel empresarial como
personal, ya que en la actualidad nadie está libre de verse implicado en algún tipo de
delito, donde esté involucrado un ente informático.
19. La metodología para el GPI, o para cualquier otra institución representa un impacto
positivo el cual será reflejado en la confianza del ciudadano común y especializado.
20. Importante para las empresas u organizaciones certificarse con cualquiera de las
normas internacionales establecidas, referidas en este trabajo, esto redundará en
beneficio de los usuarios de los productos digitales ofertados a través de las redes
empresariales o institucionales.
191
RECOMENDACIONES
1. El Gobierno Provincial de Imbabura, debe crear un reglamento e instructivos para
fortalecer el área de administración de Sistemas, que apunte a prever los casos de
delincuencia informática a través de la seguridad, monitoreo y auditoría permanente de
las posibles puertas que queden abiertas al delincuente de esta clase, generando
documentación histórica
2. Las organizaciones y en este caso el Gobierno Provincial de Imbabura, a través de su
Dirección de Gestión de TIC´s debe proponer un esquema organizacional en el que
conste una unidad de administración de sistemas y sus ramas de seguridad, monitoreo
y auditoría, de tal manera que se establezca claramente las funciones de seguridad
informática, informática forense continua y post mortem, además de derecho
informático.
3. En el departamento de TIC´s se debe generar una línea de documentación de gestión
de continuidad, que permitirá la formulación de planes reales de contingencia,
estableciendo puntos o nudos críticos donde se deba aplicar esta metodología iterativa
o en su defecto la post mortem.
4. Se debe publicar internamente un manual de políticas, estrategias y normas referentes
a los delitos informáticos, a la vez dar a conocer de una forma básica, la
infraestructura instalada tanto en software como en hardware, con el objetivo de
promover el uso adecuado de las aplicaciones internas, previniendo de posibles actos
maliciosos y su consecuencia en caso de no acatarlos.
5. De todas las herramientas existentes en el mercado, o también de las de acceso libre,
se debe escoger las más adecuadas, de acuerdo al tamaño de la institución, de tal
manera que se implemente aceptables niveles de seguridad, que entre otras bondades
tenga el monitoreo en línea, alarmas de detección de intrusos y soluciones de primer
nivel.
6. El GPI o cualquier organización, debería capacitar al personal encargado de la
administración de sistemas en temas de seguridad e informática forense.
7. El departamento de TIC`s debe identificar las principales áreas de trabajo y priorizar
las vulnerabilidades por áreas, con el fin de conformar comités de seguridad
192
multidisciplinarios, que evalúen la seguridad específica de la información de cada área
de forma constante y periódica, respetando políticas preestablecidas para el efecto.
8. La Universidad y el sector empresarial tanto público como privado, deben conformar
un equipo de trabajo para realizar una propuesta de cambio en la legislación y el
código penal, que trate directamente los delitos informáticos.
9. Dentro de la legislación ecuatoriana, se debe considerar la creación de un organismo
nacional que regule los requisitos para avalar los centros o departamentos de TIC’s de
las instituciones, como una forma de prevención de los delitos informáticos y
certificación de seguridad informática.
10. El gobierno debe realizar campañas para que las empresas, instituciones y ciudadanos
en general, formalicen las denuncias que por delitos informáticos hayan sido víctimas,
de tal forma que puedan elaborarse estadísticas y se formulen proyecciones y métodos
de prevención.
11. Se debe verificar continuamente la evaluación de controles y seguridades, aplicando
herramientas catalogadas como forenses.
12. Se debe capacitar mínimo a dos funcionarios, para que se encarguen del monitoreo y
dar las facilidades necesarias para que puedan formarse continuamente a través de
intercambio de experiencias. Los delitos informáticos son una especie de delincuencia
emergente en constante crecimiento, globalmente se le ha dado la importancia del caso
y se han creado verdaderas redes que apuntan a solucionar los problemas que genera
esta actividad y a encontrar herramientas que faciliten la búsqueda de evidencias, por
lo que es imperativo que las empresas u organizaciones se asocien a estas redes,
algunas mencionadas en este trabajo.
13. Se debe documentar todos los casos de intentos o hechos de ataques informáticos,
definir las principales vulnerabilidades y ayudarse de la presente metodología para
formular estrategias propias del Gobierno Provincial de Imbabura, que prevengan y
combatan estos riesgos.
14. En el sistema de control interno del GPI, debe reflejarse transversalmente el uso de
técnicas y mecanismos orientados a satisfacer la necesidad de seguridad de la
información en todos sus niveles.
15. Publicar y dar a conocer a todos los funcionarios las resoluciones, políticas, normativa
acerca de la seguridad informática y sus implicaciones.
193
16. La información de las aplicaciones que funcionan en el GPI deben ser debidamente
respaldadas de forma continua, de tal manera que faciliten la comparativa y poder
definir si ha sido alterada o no por un ataque externo para de esta manera implementar
una forensia continua o post mortem.
17. Al aplicar herramientas forenses continuas se debe investigar paralelamente las
novedades que oferta el mundo informático, con el fin de mesclar las bondades de
cada uno y mejorar la posibilidad de prevención y resolución de éste tipo de
problemas.
18. Se recomienda utilizar la presente metodología en su forma estructural, ya que las
herramientas están en constante cambio y actualización.
19. Se debe informar al ciudadano acerca del nivel de seguridad que tienen las
aplicaciones informáticas del GPI, con el fin de generar confianza en el acceso y sus
transacciones en línea.
20. Se recomienda al Gobierno provincial emprender en la certificación COBIT.
194
BIBLIOGRAFÍA
[1.] FBI. Federal Bureau of Investigation. [En línea] 1995. [Citado el: 27 de 12 de 2010.]
www.fbi.gov.
[2.] ACURIO DEL PINO, Santiago. PERFIL SOBRE LOS DELITOS INFORMÁTICOS EN EL ECUADOR.
FIACALÍA GENERAL DEL ESTADO. [Online] Diciembre 2009. [Cited: Noviembre 7, 2011.]
http://www.criptored.upm.es/guiateoria/gt_m592d.htm.
[3.] ZUCCARDI, Giovanni and GUTIÉRREEZ, Juan David. Informática Forense. [Online] 2006.
[Cited: 11 10, 2010.]
http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Fore
nse%20v0.6.pdf.
[4.] WIKIPEDIA. La Enciclopedia Libre. [Online] 2011.
http://es.wikipedia.org/wiki/Seguridad_de_la_información .
[5.] HUERTA, Antonio Villalón. SEGURIDAD EN UNIX Y REDES. Versión 1.2 Digital-Open
Publication License v.10 o Later. [Online] Octubre 2, 2000. [Cited: 11 7, 2010.]
http://www.kriptopolis.org.
[6.] CP4DF Codes of Practices for digital Forensics. Digital Forensics. [Online] 2006. [Cited:
Noviembre 8, 2010.] http://cp4df.sourceforge.net/.
[7.] BEVILACQUA, Matías. Sourceforge. Open Source Computer Forensics Manual . [Online] Julio
17, 2009. [Cited: 11 8, 2011.] http://sourceforge.net/projects/oscfmanual/.
[8.] Informática forense. ADÍN RAMÍREZ, Gerberth. Guatemala : s.n., 2005, Universidad San
Carlos, p. 4.
[9.] Kelsen, Hans. General Theory of Law an State. [aut. libro] Hardward university. s.l. : Porruo,
1945.
[10.] CNUDMI. Ley Modelo sobre firmas Electrónicas. Comisión de las Naciones Unidas para el
Derecho Mercantil Internacional. [Online] 2001-2002. http//www.uncitral.org.
[11.] ISO27000.es El portal del . [Online] 2011.
http://www.iso27000.es/iso27000.html#section3b.
[12.] GARCÍA ENRICH, Gustavo. ÁREADATA. EL ESTÁNDAR TIA-942. [Online] 2011. [Cited: junio 1,
2011.]
[13.] HOWARD, John D. Thesis: An Analysis of security on the internet. 1989 - 1995.
[14.] SEGU-INFO. SEGURIDAD DE LA INFORMACIÓN. Amenazas Lógicas - Tipos de Ataques.
[Online] http://www.segu-info.com.ar/ataques/ataques.htm .
195
[15.] ÁLVAREZ MARAÑÓN, Gonzalo. SEGURIDAD INFOMÁTICA PARA EMPRESAS Y PARTICULARES.
2005 : McGraw-Hill.
[16.] HERNÁNDEZ, Miguel A. EL Mundo Real por Miguel A. Hernández. Consultor de Seguridad,
Perito Informático. [Online] [Cited: Marzo 2, 2011.]
http://www.miguelangelhernandez.es/?p=607.
[17.] ZAMORA, Salvador. Seguridad y riesgos en las TIC (IV): Proceso de Administración del
Riesgo. [Online] Enero 2009, 2009. [Cited: Marzo 3, 2011.]
[18.] CASEY, Eoghan. Digital Evidence and Computer Crimen. 2da. s.l. : Elsevier Ltda, 2004. pág. 9.
[19.] LÓPEZ DELGADO, Miguel. Análisis Forense Digital. 2da. 2007. p. 5.
[20.] Introducción a la Informática forense. CANO M., Jeimy. Colombia : s.n., 2006, Revista de
Sistemas. 96.
[21.] Ajoy Ghosh. Guidelines for the Management of IT Evidence. Directrices para la Gestión de la
evidencia de TI. [Online] 2004.
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf.
[22.] ACURIO DEL PINO, Santiago. Detalle Físico y Lógico para reconocimiento de la Evidencia.
Quito : s.n., 2009.
[23.] BRESINSKI, Dominique and KILLALEA, Tom. Guidelines for Evidence Collection and Archiving.
Networking Group. 2002.
[24.] IOCE. EVIDENCE, INTERNACIONAL ORGANIZACON OF COMPUTER. [Online]
http://www.ioce.org.
[25.] Department of Justice Office of Justice Programs National Institute of Justice. Electronic
Crime Scene Investigation: A Guide for First Responders, Second Edition. [Online] [Cited:
Marzo 7, 2011.] https://www.ncjrs.gov/pdffiles1/nij/219941.pdf.
[26.] Computer Forensics, Part 2: Best Practices. Information Security and Forensics Society (ISFS).
[Online] Agosto 2009. [Cited: Marzo 7, 2011.]
http://www.isfs.org.hk/publications/ISFS_ComputerForensics_part2_20090806.pdf.
[27.] Aircrack | Aircrack-ng . Red Inalámbrica 2.0. [Online] [Cited: Mayo 20, 2011.]
http://aircrack.red-inalambrica.net/.
[28.] CNUDMI. Ley modelo sobre el Comercio Electrónico. Comisión de las Naciones Unidas para
el Derecho Mercantil Internacional. [Online] 1996-1998. [Cited: 01 4, 2011.]
http//www.uncitral.org.
[29.] Faro, Grupo. Acción Colectiva para el bienestar público. Cumplimiento de la ley Lotaip.
[Online] 2007. http://www.grupofaro.org/.
196
[30.] Convenio, Ciber- delincuencia. [Online] http://www.coe.int.
[31.] Defonsoría, del Pueblo. Transparencia en la información pública. El Telégrafo. Nro.45119,
2008/10/27.
[32.] CORREAS, Marta and DE MATEO, Natividad. Principales amenazas de seguridad para el
2009. Mundopc.net. [Online] 2009. http://mundopc.net/principales-amenazas-deseguridad-para-2009.
[33.] ÁLVAREZ MARAÑÓN, Gonzalo and PÉREZ GARCÍA, Pedro. SEGURIDAD INFORMÁTICA PARA
EMPRESAS Y PARTICULARES. s.l. : McGraw-Hill, 2005.
[34.] ASSOCIATION OF CHIEF POLICE OFFIERS. Good Practice guide for Computer bases Electronic
Evidence. [Online] http://www.digital-detective.co.uk/documents/acpo.pdf.
[35.] GHOSH, Ajoy. Guidlines for the Managenent of IT Evidence. Incident Response and Forensics
Workshop. [Online]
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf.
[36.] LIMA, María de la Luz. DELITOS ELECTRÓNICOS. México : Puaorr, 1994.
[37.] TÉLLES VALDÉS, Julio. DERECHO INFORMÁTICO. México : Mc Graw Hill, 1996.
[38.] www.microsoft.com. Centro para Empresasy Profesionales. [Online] 2011.
[39.] BUSINESS, SOFTWARE ALLIANCE BSA. Estudio Anual Global de la Piratería de Software por
BSA e IDC. 2007.
[40.] POSSO YÉPEZ, Miguel Ángel. Métodología para el Trabajo de Grado. 4 a Edición. Ibarra :
Ecuador, 2009.
197
GLOSARIO
ACTIVO. Es un objeto o recurso de valor empleado en una empresa u organización.
AMENAZA. Es un evento que puede causar un incidente de seguridad en una empresa u
organización produciendo pérdidas o daños potenciales en sus activos.
ANÁLISIS. Examinar o descomponer un todo detallando cada uno de los elementos que lo
forman a fin de terminar la relación entre sus principios y elementos.
ANCHO DE BANDA.- Volumen de datos que un sistema de comunicaciones puede
soportar por unidad de tiempo, se mide en bits por segundo (bps).
ATAQUE INFORMÁTICO.- es un método por el cual un individuo, mediante un sistema
informático, intenta tomar el control, desestabilizar o dañar otro sistema informático.
BOTNET.- Es un término que hace referencia a un conjunto de robots informáticos que se
ejecutan de manera autónoma y automática.
CERT.- Es una empresa de servicios especializados en las áreas de consultoría y
educación para la conectividad de redes y telecomunicaciones.
CIBERDELINCUENCIA.- También conocido como delito informático que son aquellas
acciones que se han cometido mediante la utilización de un bien o servicio informático.
CIFRAR.- Escribir en clave.
CLON.- Un clon en informática es un sistema de computación basado en los diseños y
desarrollos de otra compañía, fabricado para tener una compatibilidad del cien por ciento
con el modelo.
Comercio Electrónico.- Actividad comercial realizada a través del Internet que incluye
principalmente la compra y venta de productos y servicios.
CONTROL. Es un mecanismo de seguridad de prevención y corrección empleado para
disminuir las vulnerabilidades
198
DATA CENTER.- Centro de procesamiento de datos (CPD), ubicación donde se
concentran los recursos necesarios para el procesamiento de la información de una
organización.
DATA CORRUPTION: La información que no contenía defectos pasa a tenerlos.
DENIAL OF SERVICE (DOS): Servicios que deberían estar disponibles no lo están.
EVIDENCIA DIGITAL.- Es un tipo de evidencia física que está construida de campos
magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con
herramientas y técnicas especiales.
EXPLOIT.- Término con el que se denomina en el entorno "hacker" a un método concreto
de usar un error de algún programa (bug) para entrar en un sistema informático.
FIRMA DIGITAL.- Es la equivalencia electrónica de la firma manuscrita, tiene la misma
validez legal y se encuentra amparada por la ley de comercio electrónico, firmas
electrónicas y mensaje de datos del Ecuador.
IEEE 802.11.- Estándar, define el uso el uso de dos niveles inferiores de la arquitectura
OSI (capa física y la de enlace de datos).
INFORMACIÓN.- En sentido general, la información es un conjunto organizado de
datos procesados.
INFORMÁTICA FORENSE.- La informática forense, es la rama de la informática que
se encarga de la recuperación, preservación y análisis de evidencias electrónicas y
digitales.
INTERNET.- Red de computadoras extendida por todo el mundo que permite la
comunicación y transferencia de información entre personas u organizaciones conectadas a
dicha red.
ISO.- Es la organización internacional para la estandarización, que regula una serie de
normas para: fabricación, comercio y comunicación, en todas las ramas.
199
KNOW HOW.- Conocimiento que se adquiere en base a la experiencia
LEAKAGE: Los datos llegan a destinos a los que no deberían llegar.
MD5.- (Algoritmo de Hash, Message-Digest Algorithm 5 o Algoritmo de Firma de
Mensajes 5): Desarrollado por Ron Rivest. Procesa mensajes de una longitud arbitraria en
bloques de 512 bits generando un compendio de 128 bits.
METADATOS: Los metadatos son datos altamente estructurados que describen
información, describen el contenido, la calidad, la condición y otras características de los
datos.
PATCH PANELS.- Es el elemento encargado de recibir todos los cables del cableado
estructurado. Sirve como un organizador de las conexiones de la red.
PERITAJE INFORMÁTICO.- Estudios e investigaciones orientados a la obtención de
una prueba informática de aplicación en un asunto judicial para que sirva a un juez para
decidir sobre la culpabilidad o inocencia de una de las partes.
PERITO INFORMÁTICO.- es un perito judicial, que en su carácter de auxiliar de la
justicia tiene como tarea primordial la de asesorar al juez respecto a temas relacionados
con la informática
PHISHING.- Es un término informático que denomina un tipo de delito encuadrado
dentro del ámbito de las estafas cibernéticas.
POST MORTEN.- Después de la muerte.
RED.- Una red de computadoras, también llamada red de ordenadores o red informática,
es un conjunto de equipos informáticos conectados entre sí por medio de dispositivos
físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas o cualquier otro
medio para el transporte de datos con la finalidad de compartir información y recursos.
RIESGO. Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño
potencial a servicios, recursos o sistemas de una empresa.
200
ROUTES.- Dispositivo de hardware para interconexión de red de ordenadores.
SALCK.- Espacio que queda libre en un clúster luego de almacenar un archivo.
SERVIDORES.- Es una computadora que, formando parte de una red, provee servicios a
otras computadoras denominadas clientes.
SNIFFER.- Es un programa de para monitorear y analizar el tráfico en una red de
computadoras, detectando los cuellos de botellas y problemas que existan en ella.
SPOOFING.- En términos de seguridad de redes hace referencia al uso de técnicas de
suplantación de identidad generalmente con usos maliciosos o de investigación.
SWITCH´S.- Es un dispositivo digital de lógica de interconexión de redes de
computadores.
TIC.- Las tecnologías de la información y la comunicación (TIC) son un conjunto de
servicios, redes, software y dispositivos que tienen como fin la mejora de la calidad de vida
de las personas dentro de un entorno, y que se integran a un sistema de información
interconectado y complementario
VLAN´S.- Es un método de crear redes lógicamente independientes dentro de una misma
red física
VULNERABILIDAD.- Es una debilidad que puede ser explotada con la materialización
de una o varias amenazas a un activo.
WEB.- Es el sistema de documentos (o páginas web) interconectados por enlaces de
hipertexto, disponibles en Internet;
WEP.- (Wired Equivalent Privacy) "Privacidad Equivalente a Cableado".
WEP.- (Es un protocolo) acrónimo de Wired Equivalent Privacy o "Privacidad
Equivalente a Cableado", es el sistema de cifrado incluido en el estándar IEEE 802.11
como protocolo para redes Wireless que permite cifrar la información que se transmite.
201
WIFI.- Es una de las tecnologías de comunicación inalámbrica mediante ondas más
utilizada hoy en día.
WIRELESS.- Es la transferencia de información entre dos o más puntos que no están
conectados físicamente.
WPA.- (Wi-Fi Protected Access, Acceso Protegido Wi-Fi) Es un sistema para proteger las
redes inalámbricas (Wi-Fi).
202
ANEXOS
A1
Cuestionario para la entrevista dirigida a los funcionarios del departamento
de Gestión de Tecnologías de la Información y Comunicación del GPI.
A2
Plan de Trabajo de Grado (Anteproyecto).
203
PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR
SEDE IBARRA
A 1: Cuestionario para la entrevista de los funcionarios del Departamento de Gestión de
Tecnologías de la Información y comunicación del GPI.
-
El Departamento de Gestión de Tecnologías de la Información y Comunicación cuenta con
infraestructura física, diseño e implementación adecuada y necesaria para que sus
funcionarios realicen sus labores?
-
¿Cuentan con equipos robustos en tecnología?
-
¿Existe una planificación informática?
-
¿En el GPI se desarrolla el software para fortalecer la integración de la información?
-
¿Cómo ha sido la gestión de la información en el GPI?
-
¿Se cumple con las normas y estándares de cableado estructurado en el GPI?
-
¿Conocen cuántos puntos de red tienen en el GPI y si éstos funcionan adecuadamente?
-
¿Qué tipo de cableado horizontal tienen?
-
¿El cableado horizontal está diseñado apropiadamente siguiendo las reglas, normas y
estándares?
-
¿El cableado vertical está diseñado apropiadamente siguiendo las reglas, normas y
estándares?
-
¿El ambiente del cuarto de telecomunicaciones cuenta con un ambiente físico apropiado
para su buen funcionamiento?
-
¿Qué accesos de seguridad tiene el cuarto de equipos?
-
¿Monitorean los canales utilizados y las frecuencias en tiempo real?
-
¿Conoce Ud. los requerimientos de los usuarios?
-
¿Los puntos de red cuentan con una certificación en base a las normas y estándares
internacionales?
-
¿Cuentan con un mapa de cableado?
-
¿Defina las características del “Data Center” del GPI?
-
¿La red de datos está instalada de acuerdo a las normas y estándares internacionales?
-
¿Conoce Ud. hace que tiempo se implementó la primera red LAN en el GPI?
-
¿A qué estructura corresponde la red LAN?
-
¿Cómo se podría mejorar la situación actual del software en el GPI?
-
¿Qué porcentaje de aplicaciones desarrolladas hasta julio del 2009, presentan un nivel de
integración con el resto de software?
-
¿Cómo trabajan éstas aplicaciones?
-
¿Para qué actividades del GPI han contratado aplicaciones a terceros?
-
¿Para qué actividades del GPI están desarrollando aplicaciones y todavía no están
concluidas?
A2: Plan de Trabajo de Grado (Anteproyecto)
PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR
SEDE IBARRA
ESCUELA DE INGENIERÍA
PLAN DE TRABAJO DE GRADO
(MODALIDAD PROYECTO)
TEMA:
“Metodología para el Análisis Informático Forense del
Gobierno Provincial de Imbabura (GPI)”
LINEA DE INVESTIGACIÓN:
I: 4 “Investigación de nuevas tendencias tecnológicas
PREVIO A LA OBTENCIÓN DEL TITULO DE:
Magister en Gerencia Informática
Autora: Ing. Alexandra Elizabeth Jácome Ortega
Docente revisor: Dr. Miguel Ángel Posso Yépez.
Ibarra, Diciembre del 2010
TABLA DE CONTENIDO
NOMBRE DEL PROYECTO: .......................................................................................... 4
CONTEXTUALIZACIÓN DEL PROBLEMA ................................................................... 4
JUSTIFICACIÓN ............................................................................................................. 4
OBJETIVOS ......................................................................................................................... 6
GENERAL ........................................................................................................................ 6
ESPECIFICOS ...................................................................... ¡Error! Marcador no definido.
PRINCIPALES IMPACTOS ............................................................................................ 7
DESCRIPCIÓN DEL PROYECTO .................................................................................. 8
Descripción teórica........................................................................................................ 8
Descripción Operacional .............................................................................................. 9
Esquema de Contenidos ............................................................................................. 10
Conclusiones y Recomendaciones ........................................................................... 11
ORGANIZACIÓN METODOLÓGICA ..................................................................................... 13
CRONOGRAMA DE ACTIVIDADES ...................................................................................... 14
RECURSOS ........................................................................................................................ 15
a.
Humanos ___________________________________________________________ 15
b.
Materiales ___________________________________________________________ 15
c.
Tecnológicos ________________________________________________________ 15
d.
Económicos _________________________________________________________ 15
Resumen_________________________________________________________________ 165
FINANCIAMIENTO ................................................................................................... 166
FUENTES DE INFORMACIÓN...................................................................................... 166
3
NOMBRE DEL PROYECTO: “Metodología para el Análisis Informático Forense del
Gobierno Provincial de Imbabura (GPI)”
CONTEXTUALIZACIÓN DEL PROBLEMA
Los últimos años se ha intensificado la globalización por el crecimiento vertiginoso y
la alta influencia de la Tecnología Informática, dado que permite procesar datos de
forma práctica, fácil y cómoda. Estos datos son, en muchos casos, objetivo de
personas mal intencionadas, que aprovechando las vulnerabilidades que presentan
las tecnologías tanto en hardware como software, son capaces de acciones no
autorizadas, generalmente con fines ilegales.
El Gobierno Provincial de Imbabura, con su departamento de Tecnologías
informáticas y de Comunicación,
hace seis meses aproximadamente, pretende
obtener una solución a conflictos tecnológicos relacionados con seguridad
informática y protección de datos; ya que gracias a ella, se obtendrán una respuesta
a problemas de privacidad, competencia desleal, fraude, robo de información
confidencial y/o espionaje institucional, que surgen a través de uso indebido de las
tecnologías de la información. Mediante sus procedimientos se identifican, aseguran,
extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para
que puedan ser aceptadas en un proceso legal. Todo esto, justifica inminentemente
que sea impostergable y urgente el desarrollo de una metodología para el análisis
Informático Forense.
JUSTIFICACIÓN
Informática Forense, también llamado Cómputo Forense, Computación Forense,
Análisis Digital o Examinación Forense Digital; se denomina al soporte conceptual y
de procedimiento, a la investigación de la prueba indiciaria informática, es decir, es la
aplicación de técnicas científicas y analíticas especializadas en la infraestructura
4
tecnológica que permite identificar, preservar, analizar y presentar datos que sean
válidos dentro de un proceso legal; lo cual involucra el desarrollo de un conjunto
multidisciplinario de teorías, técnicas y métodos de análisis; dichas técnicas incluyen
reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar
las características técnicas del uso aplicado a los datos de bienes informáticos.
De esto se deduce que se requiere de un alto grado de conocimientos en materia
informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico
lo que ha sucedido, ya que por ejemplo el simple hecho de darle doble clic a un
archivo, modificaría la fecha de acceso del mismo.
La informática forense sirve para garantizar la efectividad de las políticas de
seguridad y la protección tanto de la información como de las tecnologías que
facilitan la gestión de esa información; consiste en la investigación de los sistemas de
información con el fin de detectar evidencias de la vulneración de los sistemas. Su
finalidad es perseguir objetivos preventivos, anticipándose al posible problema u
objetivos correctivos, para una solución favorable una vez que la vulneración y las
infracciones ya se han producido.
Las metodologías que la Informática Forense utiliza son distintas, pero todas incluyen
la recogida segura de datos de diferentes medios digitales y evidencias digitales, sin
alterar los datos de origen; cada fuente de información se cataloga preparándola
para su posterior análisis y se documenta cada prueba aportada. Las evidencias
digitales recabadas permiten elaborar un dictamen claro, conciso, fundamentado y
con justificación de las hipótesis que en él se barajan a partir de las pruebas
recogidas.
Todo el procedimiento debe hacerse, teniendo en cuenta los requerimientos legales
para no vulnerar en ningún momento los derechos de terceros que puedan verse
afectados. Todo ello para que, llegado el caso, las evidencias sean aceptadas por los
5
tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un
litigio, para alcanzar un resultado favorable.
Para realizar un adecuado análisis de Informática forense se requiere un equipo
multidisciplinario que incluya profesionales expertos en derecho de las TI y expertos
técnicos en metodología forense. Esto es así porque se trata de garantizar el
cumplimiento tanto de los requerimientos jurídicos como los requerimientos técnicos
derivados de la metodología forense.
En nuestro país, se han comenzado a dar los pasos necesarios para crear
mecanismos y hasta organizaciones tanto en el orden jurídico como policial,
orientados a definir leyes claras con respecto a los delitos informáticos y también
reglamentos que posibiliten declarar a las evidencias informáticas como válidas en
juicios que tengan a la informática de por medio.
OBJETIVOS
GENERAL
Proponer, aplicar y evaluar una guía metodológica para realizar Análisis Informático
Forense, en el Gobierno Provincial de Imbabura.
ESPECÍFICOS
Ø Recopilar,
revisar
y
analizar
información,
conceptos
fundamentales,
herramientas y procedimientos de la informática forense en general.
Ø Diagnosticar la situación del Departamento de Informática del GPI, a través de
un análisis estadístico informático, en un período determinado.
Ø Analizar la situación jurídica y normativa legal en el Ecuador, referente a los
delitos informáticos y Aplicar los estándares y procedimientos que se utilizan
en una investigación de crímenes e incidentes informáticos.
6
Ø Diseñar e implementar
varios niveles de seguridad dentro del sistema de
información del GPI.
Ø Definir políticas y procedimientos de:
§
Seguridad física y del entorno informático.
§
Defensa de red y de equipos
§
Defensa de aplicaciones y de datos
Ø Analizar los impactos que genere la guía metodológica del análisis informático
forense en las instituciones públicas locales.
PRINCIPALES IMPACTOS
Los impactos del presente proyecto inciden en los aspectos:
ü Académico, Pocas son las Universidades que en el país han tomado en cuenta
esta nueva tarea, a excepción de un posgrado sobre derecho informático,
organizado en la Universidad de Cuenca, los demás intentos han tenido menor
impacto, por ello estoy segura, que las universidades en general deberán incluir
en sus pensum de estudios, tanto de derecho como de ingeniería de sistemas,
materias orientadas a la informática jurídica y al derecho informático. Además
por la necesidad imperiosa de cubrir esta necesidad, creo que nuestra
Universidad debe pensar en la creación de Diplomado, Especialidad y Posgrado
orientados a cubrir estos aspectos.
Por lo tanto, la expectativa es que, el
impacto de esta investigación en el aspecto académico es de alta incidencia ya
que generará algunos campos de especialización y motivará muchas
investigaciones, y estimo hasta serán las universidades quienes propongan
nuevas leyes es estos aspectos.
ü Científico, las máquinas informáticas son capaces de elaborar información, y
ofrecernos información resultante con características de: confidencialidad,
integridad, disponibilidad, auditabilidad, no repudio, protección a la réplica,
7
referencia temporal (certificación de fechas), muchas veces desconocidas por el
hombre, aunque, si bien es verdad, que el hombre a de enseñar a la máquina
cómo obtener la nueva in formación, y darle, aunque no siempre (ya que los
sensores son capaces de recoger de la Naturaleza datos con una rapidez,
precisión y sensibilidad que en muchos casos el hombre no puede igualar), los
datos a partir de los cuales obtenerla. Por lo tanto el impacto científico, propone
nuevas investigaciones en seguridad informática y en procedimientos forenses.
ü Cultural, esta nueva alternativa de garantizar en todos sus aspectos la gestión
de la información permite a la sociedad liberarse preocupaciones, ya que la
información está ocasionando cambios en la forma de producir bienes
materiales y/o de servicios, que necesariamente hará cambiar también la forma
de distribución de los mismos (para lo que se encontrarán criterios distintos al
salario) y, por tanto, cambiará todo el entramado social.
ü Económico, la información garantizada a través de un proceso de seguridad
informática, participar en forma eficiente y eficaz en los procesos productivos y
como consecuencia aparece un nuevo sector económico en el que inteligencia e
información son esenciales. Además, la tarea principal es prevenir la ocurrencia
de delitos informáticos sobre sistemas de procesamiento crítico, como redes
financieras y de confidencialidad.
DESCRIPCIÓN DEL PROYECTO
Descripción teórica
Hace unos cuantos años se comenzó a masificar el uso de expertos en informática
para que desarrollen tareas como peritos. Debiendo cumplir en su labor como asesor
en carácter de testigo, respecto del tribunal que ha requerido sus servicios. Lo cual
trajo aparejado el desarrollo de un conjunto multidisciplinario de teorías, técnicas y
8
métodos de análisis, que brindan soporte conceptual y de procedimiento, a la
investigación de la prueba indiciaria informática. A lo que se denominó Informática
Forense.
El análisis forense en computadoras pretende averiguar lo ocurrido durante un delito
o intrusión informática. Busca dar respuesta a los interrogantes que se desatan luego
de haber sido detectado en incidente o el delito: quién lo realizó, que hizo y como lo
hizo, qué activos de información se vieron afectados; la metodología de la informática
forense con todas sus normas trata en lo máximo de evitar contaminar la evidencia
en la fase de análisis presentando unos resultados fiables, pudiendo ser presentados
como prueba en cualquier instancia dentro de un proceso legal o extrajudicial. Siendo
este uno de los propósitos de la aplicación del análisis de la informática forense.
Descripción Operacional
En el presente proyecto se detallan los pasos a seguir para el cumplimiento de cada
uno de los objetivos, tal y como se muestra a continuación:
·
Bases teóricas: Se recopilará información científica sobre: conceptos,
métodos, estándares, técnicas y procedimientos concerniente a la aplicación
de la Informática Forense,
·
Diagnóstico situacional: Se realizará un análisis estadístico sobre los delitos
informáticos que ha sufrido el gobierno provincial en el período enero 2009 –
junio 2010, lo cual permitirá tener una perspectiva específica de dónde es
prioritario aplicar de manera inmediata la informática forense. La información
se la obtendrá de los empleados, autoridades del GPI.
·
Análisis de la situación jurídica en el Ecuador y aplicación de estándares
y procedimientos. Se realizará un análisis
sobre delitos informático
de la Legislación ecuatoriana
y se aplicará los estándares y procedimientos
estándar que se utilizan en una investigación de crímenes e incidentes, para
9
enfocarlos hacia el análisis de datos y evidencia digital, todo esto soportado
por herramientas tecnológicas de extracción y análisis de datos
·
Diseño de niveles de seguridad: Del análisis y los resultados estadísticos
que se obtengan en el análisis situacional del Departamento de Informática se
definirán los niveles de seguridad a implementar en el GPI.
·
Definir
políticas
y
procedimientos:
Se
elaborará
las
políticas
y
procedimientos a ser implementadas en el GPI, para proteger y salvaguardar el
entorno informático, red, equipos, aplicaciones y datos.
·
Análisis de impactos: Se realizará un análisis de los impactos que producirá
la elaboración de la Metodología para el Análisis Informático Forense del GPI.
ESQUEMA DE CONTENIDOS
Capítulo I: Bases teórico científicas
1.1 Principios de seguridad informática
1.1.1.1.
Seguridad Física
1.1.1.2.
Seguridad Lógica
1.1.1.3.
Análisis Forense en Sistemas informáticos
1.1.2. Estándares, Técnicas y procedimientos para el análisis forense
Capítulo II: Diagnóstico Situacional
2.1.
Antecedentes diagnósticos
2.2.
Objetivos diagnósticos
2.3.
Variables diagnósticas
2.4.
Indicadores
2.5.
Resultados estadísticos
Capítulo III: Análisis de la situación jurídica en el Ecuador y aplicación de
estándares y procedimientos.
3.6.
Legislación ecuatoriana sobre delitos informáticos
3.7.
Modelos conocidos
10
3.8.
Técnicas y procedimientos
3.9.
Herramientas forenses
3.10. Ciclo de vida para la administración de evidencia digital
Capítulo IV: Niveles de Seguridad
4.6.
Servicios de Seguridad informática
4.7.
Gestión en la seguridad en la información
4.8.
Vulnerabilidad de los sistemas informáticos
4.9.
Amenazas de la seguridad informática
Capítulo V: Políticas y Procedimientos
5.1.
Defensas, salvaguardas o medidas de seguridad.
5.2.
Tipos de medidas de seguridad
5.3.
Riesgo residual
5.4.
Evaluación y gestión de riesgos
Capítulo VI: Análisis de impactos
6.5. Impacto académico
6.6. Impacto científico
6.7. Impacto socio - cultural
6.8. Impacto económico
CONCLUSIONES Y RECOMENDACIONES
Ø En conclusión, estamos hablando de la utilización de la informática forense con
una finalidad preventiva, en primer término, que sirva a las instituciones para
auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos
de protección instalados y las condiciones de seguridad aplicadas a los sistemas
de información sean suficientes.
11
Ø Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de
corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas
sobre uso de los sistemas de información facilitados a los empleados para no
atentar contra el derecho a la intimidad de esas personas.
Ø Cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense
permite recoger rastros probatorios para averiguar, siguiendo las evidencias
electrónicas, el origen del ataque (si es una vulneración externa de la seguridad)
o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a
nivel interno de la empresa para determinar las actividades realizadas desde uno
o varios equipos concretos.
12
ORGANIZACIÓN METODOLÓGICA
Método
Técnica
Instrumento
Capítulo
Bases teórico científicas
Análisis
(Capítulo I)
Síntesis
Fichaje
Ficha
FODA
Ficha
Fichaje
Ficha
Notas
Cuadernillo
Inductivo
Deductivo
Diagnóstico situacional
Descriptivo
(Capítulo II)
Análisis de la situación jurídica en Análisis
el Ecuador
y aplicaciones de Síntesis
Estándares
y
procedimientos
estándares.
(Capítulo III)
Niveles de
Descriptivo
Seguridad
Practico
de notas
(Capítulo IV)
Políticas y Procedimientos
Descriptivo
Notas
(Capítulo V)
Cuadernillo
de notas
Principales
Análisis
Impactos
Síntesis
(Capítulo VI)
Inductivo
Encuesta
Cuestionario
estructurado
Deductivo
13
CRONOGRAMA DE ACTIVIDADES
Tiempo
Meses
Semanas
Objetivos /Actividades
1 mes
1
2
2 mes
3
4
1
2
3 mes
3
4
1
2
4 mes
3
4
1
2
5 mes
3
4
1
2
3
Bases teórico científicas
1 Investigación en textos
referentes Informática
Forense
2 Redacción del capítulo
3 Revisión para su
mejoramiento
Diagnóstico situacional
1 Estructurar el instrumento
para obtener la
información
2 Aplicación del
instrumento
3 Tabulación de los
resultados
4 Análisis de los resultados
5 Socialización de
resultados con el Director
de Tecnologías y
Comunicación del GPI.
Aplicaciones de Estándares y procedimiento estándares
1 Versión 1
2 Versión 2
3 Versión 3
Niveles de Seguridad
1 Versión 1
2 Versión 2
3 Versión 3
Políticas y Procedimientos
Propuesta 1
Propuesta 2
Propuesta final
Análisis de impactos
1 Realizar el análisis de
impactos
Elaborar las conclusiones y
recomendaciones
Redacción y presentación
del informe final
Digitación
14
RECURSOS
a. Humanos
Recursos
Costo actual
Costo real
Ing. Sistemas
1000
1000
Dr. en Jurisprudencia
1000
1000
300
300
2300
2300
Encuestadores
Subtotal
b. Materiales
Recursos
Costo actual
Costo real
Papel
15
15
Tinta
50
50
100
100
165
165
Copias y anillados, empastados
Subtotal
c. ecnológicos
Recursos
Costo actual
Computadora
Internet
Subtotal
Costo real
1100
0
100
100
1200
100
d. Económicos
Recursos
Costo actual
Movilización
Subtotal
Costo real
20
20
20
20
15
Resumen
Recurso
Costo actual
Costo real
Humanos
2300
2300
materiales
165
165
1200
100
Económicos
20
200
SUBTOTAL
3685
2765
15% IMPREVISTOS
552,75
414,74
TOTAL
4237,75
3179,75
Tecnológicos
FINANCIAMIENTO
Todos los materiales necesarios y la asistencia en asesoría técnica y legal , para
la elaboración del presente proyecto será facilitada por el Gobierno Provincial de
Imbabura .
FUENTES DE INFORMACIÓN
BIBLIOGRÁFICA
[P0S09]
POSSO, Miguel. (2009): Metodología para el trabajo de Grado.
[GOM06]
GÓMEZ, Álvaro. (2006): Enciclopedia de seguridad informática
[ALV08]
ÁLVAREZ
GONZALO.
(2008):
Seguridad
informática
para
empresas particulares
INTERNET
[WWW01]
[WWW02]
Ø [WWW03]
Ø
Ø
http://es.wikipedia.org/wiki/Cómputo_forense
http://www.segu-info.com.ar
http://www.forensic.mspx
16
Related documents
Envenenamiento ARP
Envenenamiento ARP
Aircrack-ng Aircrack-ng es una suite de seguridad inalámbrica que
Aircrack-ng Aircrack-ng es una suite de seguridad inalámbrica que
Delincuencia Informatica
Delincuencia Informatica
LA INFORMACION COMO ACTIVO ESTRATEGICO
LA INFORMACION COMO ACTIVO ESTRATEGICO
Superintendencia de Servicios de Certificación Electrónica
Superintendencia de Servicios de Certificación Electrónica
Mapa de Riesgos Gestión de las TICs
Mapa de Riesgos Gestión de las TICs
2.1 Líneas de trabajo en grupos de investigación en TIC trabajo
2.1 Líneas de trabajo en grupos de investigación en TIC trabajo
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
Diseño de un Laboratorio Forense Digital
Diseño de un Laboratorio Forense Digital
HERRAMIENTAS PARA LA COMPUTACION FORENSE CONTROL
HERRAMIENTAS PARA LA COMPUTACION FORENSE CONTROL
i UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA
i UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA
Lineamientos para trabajo con los ATI`s externos al departamento
Lineamientos para trabajo con los ATI`s externos al departamento
Wireless y algunos datos mas
Wireless y algunos datos mas
estado del analisis forense digital en colombia diego alejandro
estado del analisis forense digital en colombia diego alejandro
Repositorio CISC - Universidad de Guayaquil
Repositorio CISC - Universidad de Guayaquil
1 resumen - tesis de grado autores leonard david lobo parra
1 resumen - tesis de grado autores leonard david lobo parra
Introducción - DSpace de la Universidad Catolica de Cuenca
Introducción - DSpace de la Universidad Catolica de Cuenca
tesis de grado ingeniero en sistemas informáticos
tesis de grado ingeniero en sistemas informáticos
ELIMINACIÓN DE LAS BRECHAS DE SEGURIDAD
ELIMINACIÓN DE LAS BRECHAS DE SEGURIDAD
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
Diapositiva 1
Diapositiva 1
Solución de gestión de amenazas de seguridad
Solución de gestión de amenazas de seguridad