EL IMPACTO DE IMPLANTAR UNA RED INALÁMBRICA SEGURA EN UN SISTEMA UNIVERSITARIO PARA LOS DIFERENTES TIPOS DE ACCESOS REQUERIDOS.

Transcripción

1 EL IMPACTO DE IMPLANTAR UNA RED INALÁMBRICA SEGURA EN UN SISTEMA UNIVERSITARIO PARA LOS DIFERENTES TIPOS DE ACCESOS REQUERIDOS por Elías José López Padilla DISERTACION Presentada como Requisito para la Obtención del Grado de Doctor en Administración de Empresas Sistemas de Información Escuela de Negocios y Empresarismo Universidad del Turabo Gurabo, Puerto Rico Julio, 2010

2 UNIVERSIDAD DEL TURABO CERTIFICACION DE APROBACION DE DISERTACION Esta disertación es aceptada como requisito parcial para la obtención del grado de doctor en Administración de Empresas con especialidad en Sistemas de Información de Elías José López Padilla Dr. Macedonio Alanís Director Comité de Disertación 7/30/2010 Dr. Edgar Ferrer Miembro del Comité de Disertación 7/30/2010 Dr. Mariano García Miembro del Comité de Disertación 7/30/2010 ii

3 Copyright, 2010 Elías José López Padilla. All Rights Reserved. iii

4 EL IMPACTO DE IMPLANTAR UNA RED INALÁMBRICA SEGURA EN UN SISTEMA UNIVERSITARIO PARA LOS DIFERENTES TIPOS DE ACCESOS REQUERIDOS por Elías José López Padilla Dr. Macedonio Alanís Resumen Esta investigación nace de una necesidad que identifica su autor, durante su experiencia profesional, académica y de investigación. Por tener la exposición a las diferentes necesidades que tienen estos accesos, así como a la forma en que se diseñan y se implantan estas tecnologías, es que se decide tomar este tema de investigación. Esta investigación tiene como objetivo general, identificar si la implantación de una Red Inalámbrica es apropiada, para las diferentes tipos de acceso que esta pueda requerir. Entre los objetivos específicos, está el lograr establecer y documentar la metodología apropiada para hacer este tipo de evaluación confirmando su efectividad e impacto al cliente o empresa al que se le realice la evaluación. Se hace una búsqueda extensa de información relacionada en múltiples recursos, libros, estándares, publicaciones, artículos, o sea, se agotaron las fuentes de información para poder tener las referencias necesarias. Se siguen los procesos adecuados y las recomendaciones para realizar este tipo de iv

5 estudio, así como las reglas establecidas a estos efectos. Las evaluaciones y datos obtenidos, son sometidos a las evaluaciones estadísticas que mejor atienden este tipo de análisis, garantizando que los resultados, hallazgos y conclusiones sean correctos. Los mecanismos utilizados para la investigación, son muy efectivos, así lo comprueban los hallazgos y las conclusiones que se obtienen. De igual forma, la metodología se comprueba que es apropiada, pues el resultado obtenido es excelente. Se logran todos los objetivos, se llegan a unas conclusiones de mucho interés e impacto para el cliente utilizado en el caso de estudio y para cualquier otra universidad o entidad que tenga una implantación semejante, que hoy en día son muchas. Las recomendaciones que surgen de esta investigación, son una aportación de importancia, pero más importante aún es haber documentado la metodología utilizada para lograr llegar a estas recomendaciones y conclusiones. Esta metodología se puede replicar en cualquier tipo de implantación de Redes para llevarla al grado de satisfacción deseado por quién la implanta, asegurándose a su vez de que los usuarios de la misma, están recibiendo el servicio necesario. v

6 Curriculum Vitae Personal Information Elías J. López Padilla Office: PMB RD 19, Guaynabo PR, Telephone: (787) , Facsimile: (787) Home: Princesa # 674 Ext. El Comandante, Carolina PR Telephone: (787) , Celular: (939) elopez@insolpr.com, ac.elopez@gmail.com Academic Background DBA in Information Systems (In Progress 2010) Universidad del Turabo, Gurabo, Puerto Rico (3.77GPA) Emphasis: Information Systems implementations and administration Dissertation: How to implement a Secure Wireless Network in a University environment, with the proper security measures without limiting the academic needs. Advisor: Dr. Macedonio Alanis MBA in Information Systems - Telecommunications (2005) Universidad del Turabo, Gurabo, Puerto Rico (3.76GPA) Emphasis: Evaluation and implementation of Information Systems, specialized on the Network environment, Wireless connections and Security implementations Dissertation: The impact of implementing a Secure Wireless Network in a University environment Advisor: Dr. Jose Gerardo Martinez Professional Experience Partner & Vice President of Professional Services since Oct Innovative Solutions Guaynabo, Puerto Rico Evaluation and recommendation for Business Process Management and Content Management implementations, including all digitalization strategies and implementations for documents, files, images, videos, or any other requirement. - Responsible for the proper implementation BPM & CM strategies on all clients. - Supervise all Project Managers and Consultants on various clients. - Support in Networks Analysis & Security Evaluation, Implementation and recommendations. - Budget development and administration. - Maintenance Contracts management and enforcement. Network & Telecommunications Manager Sistema Universitario Ana G. Méndez, Rio Piedras, Puerto Rico Operations Manager vi

7 Information & Telecommunications Management Services Inc. (I.T.E.M.S.) at Sistema Universitario Ana G. Méndez, Rio Piedras, Puerto Rico Languages: Bilingual, Oral and written fluency in English and Spanish Academic/Teaching Experience Electronic Commerce Integrated Project (Final course for Master degree, Thesis equivalent) Interamerican University Information Systems and Management (Master degree) Interamerican University Introduction to Computer Sciences Universidad Metropolitana Relational Databases Universidad Metropolitana Computer Security I Network Security Program at Universidad del Turabo Computer Security II Network Security Program at Universidad del Turabo Research/Scholarly Activities Flooding and its impact on the Local Economy - how government agencies responded E-Commerce Project Making a Telecommunications Center Puerto Rico Telephone Company Optical Network analysis and evaluation E-Business evaluation and recommendations for improvement on SUAGM s Web Site NextNet Wireless - its presence in the US and in the Multinational Arena How to publish an article in a Journal Case Study In depth analysis of Journals and Dissertations, related to the development of a Decisions Support System to determine the vulnerability level of a Company in terms of Security in IT Distance Learning Developed a Chess curriculum for Private High Schools in PR Enterprise Systems Security Review on PESI (Programa Educativo de Salud Integral) Enterprise Systems Security Review on Best Option Health Care Case Study Building the new Networks for the Future and the Twelve Commandments for the Mega-Highways of Telecommunications Conferences, Speaking Engagements Telecommunications environments on Universities in PR - Nortel Networks Tradeshow Sistema Universitario Ana G. Mendez Congress (first, second and third edition) ACACIA Congress 2009 (México) Article presentation - A Technological Infrastructure Development Assessment to enable a knowledge society into a smart city. VIII Encuentro de Investigadores, Universidad del Turabo 2do CoIDINE Segundo Congreso de Investigación en Disciplinas de Negocios y Empresarismo, Universidad del Turabo Article presentation on TecnoCaribe Expo 2010 IACIS (International Association of Computer Information Systems) Article Reviewer Article presentation on the 50th Annual IACIS International Conference Article publication on Issues in Information Systems - A Technological Infrastructure Development Assessment to enable a knowledge society into a smart city. vii

8 DEDICATORIA A mis padres, Dios los tenga en su Gloria, por haberme enseñado la importancia de la educación y de mantenerse al día en la misma y por haberme enseñado los valores morales necesarios para subsistir en la sociedad de hoy. A mi querida esposa Katy y a mis hijos, Katita, Alejandro y Christian, que han estado a mi lado, por los pasados treinta y cinco (35) años, dándome amor y apoyo en todas las empresas y retos que he emprendido. viii

9 AGRADECIMIENTO Al Dr. Mecedonio Alanís, mi consejero de Tesis, por haberme guiado en la preparación y desarrollo de este estudio. A los doctores Edgar Ferrer y Mariano García por su colaboración, lectura y recomendaciones y muy en especial a la Dra. Eulalia Márquez, que aunque no pertenece al grupo de lectores, siempre ha colaborado y apoyado este trabajo. A mis colegas de trabajo y estudio, quienes me han apoyado durante el transcurso de los años conducentes al grado de Doctorado y en especial a mis socios de empresa, Herman y Julio, que han sido muy condescendientes con este servidor para que pudiera dedicar el tiempo y esfuerzo que requiere completar este trabajo de investigación. A mi familia, el mayor de los agradecimientos por su apoyo y confianza en mí, a mi esposa Katy que siempre me ha alentado a continuar con este esfuerzo y a mis hijos, Katita, Alejandro y Christian que me han dado ánimo y fortaleza para completarlo. ix

10 Tabla de Contenido CAPÍTULO I TRASFONDO Y PRESENTACIÓN DEL PROBLEMA Trasfondo histórico Presentación del problema Problemas de acceso Problema de abuso de política Problemas de autenticación Problemas de confidenciabilidad Objetivos Específicos Preguntas asociadas a los objetivos Específicos Hipótesis del estudio Hipótesis 1: Hipótesis 2: Importancia del estudio Definición de términos CAPÍTULO II DISCUSIÓN DE LECTURAS RELEVANTES Estándares y mejores prácticas Implicaciones legales al implantar una Red Inalámbrica Implantaciones relacionadas Implantaciones comparables Implantaciones semejantes Aspectos de Seguridad en la implantación CHAPÍTULO III METODOLOGÍA Introducción Procedimiento y Metodología Modelo de Investigación Diseño de la investigación Variables del Estudio Instrumento del estudio x

11 Procedimientos operacionales Población y muestra del estudio Análisis estadístico CAPÍTULO IV DISCUSIÓN Y ANÁLISIS DE LOS RESULTADOS Mecanismo y herramientas utilizados para el análisis Instrumentos utilizados y su estructura Participación en el Cuestionario Área de Políticas Adecuadas Políticas Requeridas y en uso Actualidad de Políticas Diseminación de Políticas Área de Seguridad Adecuada Vulnerabilidades de Seguridad Crítica Vulnerabilidades de Seguridad Mediana o Sencilla Otras consideraciones de Seguridad Capacidad de acceso del usuario con este tipo de Seguridad Análisis de las hipótesis y resultados según análisis estadísticos Hipótesis Hipótesis Resumen de la evaluación y resultados de las Hipótesis Conclusión CAPÍTULO V CONSLUSIONES, APORTACIONES Y RECOMENDACIONES Introducción Conclusiones Conclusiones sobre Políticas Conclusiones sobre Seguridad Aportaciones Aportaciones específicas Recomendaciones Recomendaciones Generales Recomendaciones al SUAGM u otras universidades o entidades con implantaciones semejantes xi

12 Limitaciones Conclusión Referencias Apéndice A - Instrumento de Evaluación de Accesos a Servicios de la Red Inalámbrica del SUAGM Apéndice B Survey Results & Analysis Apéndice C - Acrónimos Apéndice D Traffic Categorization and Data Classification xii

13 Lista de Tablas Tabla Artículos y referencias vs variables Tabla Constructos y especificaciones Tabla Políticas de Seguridad y accesos a Redes, requeridas, implantadas, diseminadas y actualidad de estas.. 58 Tabla 4.3 Determinación de aceptación o rechazo de Hipótesis 76 xiii

14 Lista de Figuras Figura 1.1 Red Inalámbrica ubicada en una Red segura y a su vez con puntos de accesos a diferentes usuarios y/o áreas. (Leovinci Consulting, S.L., Barcelona, 2006).. 13 Figura Modelo de Investigación. 37 Figura 3.2 Modelo de Investigación con Hipótesis asociadas 40 Figura Reporte de Vulnerabilidades Críticas ejecutado a Puntos de Acceso ( AP s ) Figura 4.2 Reporte de Vulnerabilidades Medianas ejecutado a Puntos de Acceso 64 Figura 4.3 Ejemplo de Redes Virtuales con las que se manejan los accesos inalámbricos en las Instituciones. 65 Figura 4.4 Controles de accesos o filtros configurables en los equipos de seguridad ( Allowed Control Filtres ). 66 xiv

15 xv

16 CAPÍTULO I TRASFONDO Y PRESENTACIÓN DEL PROBLEMA Trasfondo histórico Con el advenimiento de los diferentes tipos de accesos a las Redes de Telecomunicaciones, los Sistemas Universitarios comenzaron a evaluar la implantación de Sistemas Inalámbricos para diferentes tipos de requerimientos. En los diferentes ejemplos analizados como parte de este estudio, como la Universidad de Alcalá de Henares, Universidad Nacional Autónoma de México, Universidad Interamericana de PR, Universidad de Sant Luis, la Universitat Oberta de Catalunya, la Universidad de Valencia y el Sistema Universitario Ana G. Méndez, entre otros, pudimos identificar que utilizan metodologías parecidas para la determinación de una mejor y más eficiente implantación. Entre la literatura estudiada y los diferentes artículos que publican estas universidades, se ve claramente la similitud en la metodología que utilizan estas. Entre los ejemplos evaluados está el caso de negocio titulado Diseño de una Red Wireless / WIFI implementando las Mejores Prácticas de Seguridad Informática para WIFI, por Ramón Bayán. Otros ejemplos evaluados, como las prácticas utilizadas por el SUAGM al crear su Red Inalámbrica, nos confirman que por lo general, establecen un comité para determinar las necesidades de las Instituciones y/o unidades que tienen. Luego de determinar estas necesidades, utilizando el resultado de múltiples reuniones con representantes de las diferentes áreas de cada Institución, área o departamento, se acuerda hacer un requerimiento de propuesta, mejor conocido en inglés como RFP ( Request for Proposal ). Estos documentos son distribuidos 16

17 a diferentes entidades o compañías, requiriendo de todas propuestas con las mismas características. Al completarse el recibo de propuestas y presentaciones por las diferentes compañías, se evalúan y se aperciben que implementar este tipo de tecnología tiene un impacto serio por los requerimientos de seguridad que tienen que ser considerados. Para poder completar la evaluación y poder entender mejor la magnitud de la implantación, definitivamente hay que completar un estudio del impacto que tendría esta implantación en sus respectivos entornos. Entender las diferentes limitaciones y problemas que se enfrentan con estas implantaciones y determinar la forma apropiada de implantar una Red segura, fueron pasos básicos en este estudio. En las universidades este reto es mucho mayor pues a diferencia de las empresas privadas u oficinas de negocios, las universidades dan servicios a diferentes tipos de clientes dentro de su entorno. Tienen usuarios administrativos, al igual que cualquier otra empresa, pero tienen el entorno académico, los estudiantes, facultad e investigadores, con unos requerimientos que se tienen que atender, sin que se afecte la seguridad de la Red Empresarial pero siendo laxos en los accesos para que estos últimos puedan realizar sus tareas. Mucho de este entendimiento se logró haciendo búsquedas en la Internet, leyendo artículos y libros al respecto. Para completar el análisis y conclusiones, también se investigaron instalaciones semejantes en diferentes instituciones, que pudieran ser consideradas como base o ejemplo en la implantación de una red inalámbrica adecuada y segura en todos sus aspectos y usos. 17

18 Presentación del problema Los problemas que vienen acompañados de implantaciones de Redes, utilizando los estándares descritos en la IEEE (IEEE Standards Association, 2009), se han discutido en múltiples foros, como el 802 Networks, el Bostonwireless.org, el DFW Wireless Users Group, The Wi-Fi Technology Forum, entre otros. En este estudio se discutirán de forma detallada para tener las bases para poder hacer referencia a los mismos y cómo poder resolverlos o sencillamente eludirlos. Referencias adicionales se proveen al final del documento. Las redes inalámbricas pueden ser separadas en categorías, muchas de las cuales son específicas a las características o regulaciones de la IEEE (IEEE Standards Association, 2009). Se identificaron múltiples situaciones y/o problemas al momento de implantar este tipo de soluciones, para efectos de facilitar su evaluación, se organizaron en los siguientes grupos o tipos de situación: Problemas de acceso Problemas de abuso de políticas Problemas de comportamiento o tiempo de respuesta Problemas de autenticación Problemas de confidencialidad Problemas de acceso Los problemas de acceso van más allá de la tecnología e introducen una serie de situaciones, por el mero hecho de que se gana acceso a una Red utilizando el espacio aéreo público. Es por esto que con el advenimiento del uso 18

19 de los estándares, como el , en las capitales más grandes del mundo, las redes inalámbricas son fáciles de acceder o encontrar por todo tipo de usuario. Como las señales enviadas por los puntos de acceso ( Access Points ) no utilizan ningún tipo de encripción o protección en primera instancia, cualquier persona con una computadora portátil y una tarjeta inalámbrica, integrada o externa, logra identificar la presencia de este tipo de redes. Este tipo de acceso es discutido en el artículo publicado por Mathew Gast (2002) en el que indica: Nearly all of the access points running with default configurations have not activated WEP (Wired Equivalent Privacy) or have a default key used by all the vendor's products out of the box. Without WEP, network access is usually there for the taking. De hecho, actualmente una persona guiando su automóvil, puede encontrarse con múltiples redes inalámbricas. Problema de abuso de política Como expresado en el artículo Redes Locales Inalámbricas (Alan Freedman, Steve Rigney y José A. Carballar), las principales ventajas que presentan las redes de este tipo son su libertad de movimientos, sencillez en la reubicación de terminales y la rapidez consecuente de instalación. De otra parte, si vemos las desventajas, según expresadas en WiFinotes.Com, en su artículo Wireless Network Technology Limitations - It is simple to set Wi-Fi network but keeping it secure takes much more effort, Access points of Wi-Fi do not deploy encryption methods. It is required to be done as network is enabled. Secure Wi-Fi network can be easily attacked by hackers to steal private information. Como resultado 19

20 podemos decir que la gran disponibilidad y bajos costos de los componentes para las redes inalámbricas, combinado con la facilidad de configurar los mismos y la poca seguridad que traen como parte de su configuración inicial, promueven implantaciones de poca calidad o seguridad e incluso ilegales. Es común que se encuentren puntos de acceso ( Access Points ) no autorizados en las compañías, instalados por gerentes de departamentos con poco o ningún conocimiento de las mejores prácticas de seguridad en adición a poco interés en las políticas de la compañía y sus procedimientos. Lamentablemente es poco lo que se puede hacer para mitigar o reducir estos riesgos, que no sea implantar medidas de seguridad rigurosas, monitoreo continuo de la Red y verificación de equipos no autorizados conectados en la Red. Prueba de esto lo son las múltiples implantaciones y/o soluciones de seguridad que se están desarrollando para prevenir estas implantaciones o al menos poder identificarlas y mitigarlas. Un ejemplo es la implantación de Sistemas de Prevención de Intrusos Inalámbricos, desarrollado por Airtight Networks ( The Business Justification for Wireless Intrusion Prevention, 2005) y la publicación de artículos relacionados a este tema. Problemas de autenticación Los problemas de autenticación son los que más preocupan al que administra Redes, tanto en el caso de redes alambradas como en las inalámbricas. De hecho, las redes inalámbricas tienen muchos de los mismos problemas encontrados en redes típicas de Ethernet. El estándar no tiene requerimientos de autenticación de frames. Como dicta el mismo estándar (IEEE 20

21 std i 2004 p.23) In a robust security network association (RSNA), IEEE provides functions to Project data frames, IEEE X provides authentication and Controlled Port, and IEEE X collaborate to provide key management. Sistemas abiertos de autenticación son el mecanismo base para la autenticación en el estándar , autenticando a todo aquel que solicita autenticación. Sin importar la habilidad de poder tener autenticaciones compartidas de una clave, hay vulnerabilidades que permiten al atacante autenticar sin conocer la clave secreta. Es por esto que es posible inyectar frames en una red inalámbrica, haciendo spoofing a la dirección MAC de quien trata de conectarse. Debido a que la dirección fuente de un usuario autorizado puede ser fácilmente obtenida, para un atacante conocedor es una tarea fácil redirigir el tráfico inalámbrico, robarse una conexión ya establecida y confiable o imitar ser un punto de acceso ( Access Point ) para capturar credenciales de autenticación. Según Mathew Gast (2002), For corporate users extending wired networks, access to wireless networks must be as tightly controlled as for the existing wired network. Strong authentication is a must before access is granted to the network. En esta cita se confirma la gran necesidad de que se implanten medidas de seguridad severas al trabajar con redes inalámbricas. Mientras este problema ha sido atendido parcialmente en las redes alambradas, a través de conmutadores ( Switches ) usando Ethernet, opciones equivalentes no existen para redes inalámbricas que se utilizan en aire. Recientemente, fabricantes han implantado métodos rudimentarios para controlar los accesos en redes inalámbricas por la dirección MAC y otros fabricantes están 21

22 comenzando a utilizar o dar apoyo al estándar 802.1x de autenticación, anticipando los nuevos estándares 802.1i que están por publicarse. Problemas de confidenciabilidad Lamentablemente, como los paquetes que se intercambian entre unidades que utilizan el estándar tienen que contener las direcciones MAC de origen y destino de forma abierta, cualquier tipo de captura sencilla de paquetes en la Red Inalámbrica revelará la dirección MAC del punto de acceso (Access Point ) así como las de los que se están conectando a éste. No empece al hecho de que el estándar utiliza el protocolo de encripción WEP ( Wired Equivalent Privacy ), es públicamente conocido que el WEP sólo protege marginalmente el flujo de data. Como se ve en la definición Wired Equivalent Privacy (Bice, 2004), WEP seeks to establish similar protection to that offered by the wired network's physical security measures by encrypting data transmitted over the WLAN, WEP es un modo de encripción, no garantiza la integridad o seguridad de la data en las redes inalámbricas. Objetivos Específicos Partiendo del título y objetivo general de este estudio, que es poder ver y evaluar el impacto de implantar una Red Inalámbrica Segura en un Sistema Universitario, para los diferentes tipos de accesos requeridos, podemos pasar a los objetivos específicos que debemos tener. Los objetivos específicos de esta investigación son los siguientes: 22

23 A. Analizar las Políticas implantadas y diseminadas en el Sistema Universitario identificado para el estudio y determinar si las mismas están de acuerdo a las mejores prácticas, en términos de cantidad requerida de Políticas y de su actualidad o vigencia. B. Evaluar la implantación de Redes Inalámbrica, haciendo un estudio de caso en la Institución universitaria seleccionada, para determinar el grado de seguridad que tiene, utilizando herramientas de análisis de vulnerabilidades en Redes. C. Identificar y desarrollar la metodología apropiada para estos objetivos, de forma que se pueda utilizar esta en otras Instituciones Educativas, Empresas o cualquier entorno que así lo permita al igual que en futuras investigaciones o cuando se desee extender el ámbito de esta investigación. Preguntas asociadas a los objetivos Específicos A. Cómo inciden y/o afectan las Políticas implantadas y diseminadas en los Sistemas Universitarios para que la implementación de sus Redes Inalámbricas sea adecuada y provea para los requerimientos de los diferentes usuarios? B. Cuán segura es la implementación de la Red Inalámbrica en una Institución Universitaria, partiendo de la topología que esta tenga y los diferentes requisitos de accesos que tienen las respectivas áreas de trabajo o acceso? 23

24 Hipótesis del estudio El Investigador utiliza para este estudio el tipo exploratorio. La definición de este tipo de investigación según Tevni Grajales G. lee y cito Los estudios exploratorios nos permiten aproximarnos a fenómenos desconocidos, con el fin de aumentar el grado de familiaridad y contribuyen con ideas respecto a la forma correcta de abordar una investigación en particular. Con el propósito de que estos estudios no se constituyan en pérdida de tiempo y recursos, es indispensable aproximarnos a ellos, con una adecuada revisión de la literatura. En pocas ocasiones constituyen un fin en sí mismos, establecen el tono para investigaciones posteriores y se caracterizan por ser más flexibles en su metodología, son más amplios y dispersos, implican un mayor riesgo y requieren de paciencia, serenidad y receptividad por parte del investigador. El estudio exploratorio se centra en descubrir. (Tevni Grajales G., 2000) Hay consideraciones que se deben tener al momento de establecer las políticas que regirán la implantación y el uso de Redes Inalámbricas. Por la importancia e impacto que tendrán estas políticas y procedimientos en la implantación y comportamiento de la Red Inalámbrica, éstas se deben evaluar detenidamente antes de completar las mismas. Hipótesis 1: H1A - Se necesita una revisión total de la política de seguridad para entender adecuadamente cómo se debe implantar una política de seguridad que cumpla con las metas actuales de seguridad en la empresa. Es 24

25 importante considerar que las redes inalámbricas son de tipo de alto riesgo y que pueden comprometer la Red empresarial pero a su vez deben tener la suficiente flexibilidad como para poder servir las áreas académicas y de investigación. H10 No se necesita una revisión total de la política de seguridad para entender adecuadamente cómo se debe implantar una política de seguridad que cumpla con las metas actuales de seguridad en la empresa. No es importante considerar que las redes inalámbricas son de tipo de alto riesgo y que pueden comprometer la Red empresarial pero a su vez deben tener la suficiente flexibilidad como para poder servir las áreas académicas y de investigación. Para confirmar esta primera Hipótesis, se crean las siguientes: H1A-1 - Hay un 80% o más de las políticas requeridas ya desarrolladas. Políticas desarrolladas / Políticas requeridas >=.80 H10-1 No hay más de un 80% de las políticas requeridas ya desarrolladas. Políticas desarrolladas / Políticas requeridas <.80 H1A-2 - Hay más de un 80% de las políticas desarrolladas ya implantadas Políticas desarrolladas / Políticas implantadas >=.80 H10-2 No hay más de un 80% de las políticas desarrolladas ya implantadas Políticas desarrolladas / Políticas implantadas <.80 H1A-3 El 80% o más de las Políticas implantadas tienen una vigencia de 2 años o menos. 25

26 H10-3 Menos del 80% de las Políticas implantadas tienen una vigencia de 2 años. H1A-4 - Más de un 70% de los clientes ha leído las normas y políticas de uso de la Red Inalámbrica del SUAGM (contestó Sí en la pregunta número 6 del cuestionario). H10-4 Menos de un 70% de los clientes contestó ha leído las normas y políticas de uso de la Red Inalámbrica del SUAGM (contestó Sí en la pregunta número 6 del cuestionario). Otro punto importante a considerar es que las redes inalámbricas requieren estar independientes o separadas de las redes alambradas, por la alta probabilidad de vulnerabilidades que traen como consecuencia. El impacto de implantaciones de esta naturaleza requiere medidas rigurosas de implantación. Hipótesis 2: H2A - Toda red con este tipo de impacto (vulnerabilidad), tiene que ser implantada en un segmento independiente, pasando por tipos de filtros o controles como Firewalls y a su vez con políticas que restrinjan los diferentes tipos de accesos entre las redes, muy en particular protegiendo la parte privada de la Red, en donde residen los Sistemas primordiales y sensitivos de la empresa. H20 - Toda red con este tipo de impacto (vulnerabilidad), no tiene que ser implantada en un segmento independiente, ni pasar por tipos de filtros o controles como Firewalls y a su vez con políticas que restrinjan los diferentes tipos de accesos entre las redes, muy en particular protegiendo la 26

27 parte privada de la Red, en donde residen los Sistemas primordiales y sensitivos de la empresa. Para confirmar esta segunda Hipótesis, se crean las siguientes: H2A-1 - Hay menos de un 10% de vulnerabilidades en el Análisis efectuado H20-1 Hay más de un 10% de vulnerabilidades en el Análisis efectuado H2A-2 - Mas de un 75% de los clientes contestó Excelente, Bueno o Aceptable en cuanto a la calidad del servicio de acceso a la Red Inalámbrica del SUAGM (pregunta número 4 del cuestionario). H20-2 Menos de un 75% de los clientes contestó Excelente, Bueno o Aceptable en cuanto a la calidad del servicio de acceso a la Red Inalámbrica del SUAGM (pregunta número 4 del cuestionario). Entre los diferentes tipos de necesidades se destacan las áreas de acceso al público en general, o mejor conocidas como Hot Spots. Éstas son un gran reto pues requerirán una implantación de seguridad todavía más robusta. Parte de la hipótesis es demostrar que desde esta área también se podrá tener la seguridad necesaria. A continuación una figura de ejemplo: 27

28 Figura 1.1 Red Inalámbrica ubicada en una Red segura y a su vez con puntos de accesos a diferentes usuarios y/o áreas. (Leovinci Consulting, S.L., Barcelona, 2006) Para poder tener control de los resultados, así como poder evaluar adecuadamente las recomendaciones una vez implantadas, se decidió que se utilizarán los campus de la UT, la UMET y la UNE, del Sistema Universitario Ana G. Méndez, como modelo. Una vez completado el estudio y validado que su implantación sería adecuada y sobre todo segura, se puede proceder con el estudio en las demás facilidades de las Instituciones afiliadas el SUAGM. Al completar estos estudios, se determinarán cuáles de las metodologías desarrolladas pudieran ser emuladas en las demás localidades, otras instituciones o entidades. 28

29 Importancia del estudio Hay varios aspectos de importancia que son relevantes al momento de hacer un estudio de esta índole. El tamaño de la Red a implantar y la Red a la que se estará incorporando, son de gran importancia pues determinarán los recursos que tendremos que implantar para lograr nuestros objetivos. El factor más importante al momento de diseñar una estrategia de implantación para una red inalámbrica segura, es el tamaño esperado o el número de nodos que se conectarán a la Red. El que metodologías sean aceptables para redes con una cantidad limitada de nodos, veinticinco (25) o menos, las mismas pueden ser administrativamente prohibitivas en redes de mayor tamaño, como quinientos (500) usuarios. Por esto se utilizan como base las siguientes categorías de redes inalámbricas: Redes inalámbricas pequeñas, con menos de veinticinco (25) nodos Redes inalámbricas típicas, con veinticinco (25) a cien (100) nodos Redes inalámbricas empresariales, con más de cien (100) nodos Una Red de varios cientos de nodos, requieren consideraciones adicionales, pero desde el punto de vista de diseño, se considera que se manejarán grupos de cien (100) a doscientos (200) nodos para poder administrarlos apropiadamente. Por otro lado, los controles provistos por el estándar no eliminan efectivamente los riesgos asociados a una implantación de una red inalámbrica. Para combatir estos riesgos, se deben tomar medidas adicionales que garanticen que nuestros datos y redes no están vulnerables a ataques. 29

30 Para poder diseñar una política de redes inalámbricas, es necesario considerar varios factores que afectan directamente los niveles de riesgo de la implantación: Habiendo evaluado las formas, procesos utilizados y las implantaciones hechas en las diferentes Universidades, a través de los múltiples artículos incorporados como parte del estudio, identificamos los siguientes factores como los de más relevancia: Política de seguridad actual Interoperabilidad de protocolos y medidas de seguridad Tamaño y crecimiento potencial de la Red Categorización de tráfico y clasificación de data Al entender la relación entre estos elementos, se logró identificar los requerimientos de seguridad de un ambiente adecuado y se pudo identificar el modelo de seguridad que sería más apropiado para éstos. Definición de términos Punto de Acceso (AP) - Un punto de acceso es un dispositivo que se comunica inalámbricamente con adaptadores inalámbricos en computadores o PDA 's vía señales de radio. Los puntos de acceso usados por HotSpot International son totalmente compatibles con Wi-Fi y operan en la banda 2.4 Ghz. de radio. Ancho de Banda - Se refiere al rango de señales de frecuencia que pueden ser llevadas a través de un canal de comunicación, se mide en Hertz (HZ). El concepto de banda ancha es similar a un tubo de agua. Mientras más grande sea el tubo, mayor cantidad de agua podrá llevar. El tamaño del tubo 30

31 corresponde al ancho de banda de la red de la que se está hablando, así que podrá llevar más información por segundo. Una Línea T-1 (E1 en América Latina) tiene una tasa de transferencia más alta en el rango de 1.5 millones de bits por segundo (bps). Una Línea T-1 es considerada de banda ancha. Bits por segundo - Es una medida de velocidad de transmisión de datos, se puede expresar de varias maneras como bits o "bps". Bridge (puente) - Una estación que conecta dos conexiones alámbricas vía una conexión inalámbrica. Banda Ancha - Es un tipo de conexión a Internet que incluye varios tipos de dispositivos como líneas T-1, así como Módems DSL, Cable-Módems, e Ethernet Inalámbrica. La tecnología de Banda Ancha es una conexión a Internet la cual puede llevar enormes cantidades de datos en poco tiempo. La Banda Ancha ofrece al menos 10 veces mayor velocidad de transferencia que una conexión a Internet por medio de línea telefónica convencional (Dial-up) o conexiones celulares (CDPD). Además de esto, las conexiones de banda ancha no requieren generar llamadas telefónicas para conectarse. DHCP - (Protocolo de Dinámico de Configuración de Cliente) Una configuración DHCP en un computador cliente (usuario final) habilita computadores individuales en una red para obtener sus configuraciones de un servidor (servidor DHCP). DHCP permite a un administrador de red supervisar y distribuir direcciones IP desde un servidor central que automáticamente envía una nueva dirección IP cuando el computador está conectado a la red. Esto elimina la necesidad de asignar a cada computador su propio IP estático y hace 31

32 más eficiente el uso de un número limitado de direcciones IP. DHCP es la configuración estándar en la mayoría de los sistemas operativos. DNS - Este es el método a través del cual una URL (como por ejemplo) es convertida a una dirección IP para el sitio Web que la persona está tratando de acceder. Los computadores usan las direcciones IP, y no la URL. Un servidor DNS es requerido para que una persona navegue o envíe exitosamente . HotSpot cuenta con un servidor DNS para los usuarios conectados al servicio HotSpot. DSL (Digital Suscribers Line) - DSL es una conexión común de banda ancha. Con un módem DSL, la información digital es transmitida a una computadora directamente sin ninguna conversión, lo cual permite a la compañía de telecomunicaciones utilizar un ancho de banda más amplio para transmitirlo a su usuario, resultando en una tasa más grande de transferencia. Comúnmente las tasas de transferencia van de 128kbps a 384 kbps. El nombre comercial varía de zona a zona, como Speedy (Telefónica), ARNET (Telecom), Infinitum (Telmex). Ethernet - Ethernet (IEEE y b) es la más común de las tecnologías utilizadas en redes de área local en empresas. A través de Ethernet se pueden transmitir datos vía frecuencia radial o vía Cat 5. Puede alcanzar velocidades de hasta 100Mbps en modo alámbrico y 11Mbps en inalámbrico. Una red Ethernet es una combinación de computadores con adaptadores Ethernet (alámbricos o inalámbricos), Cables Cat 5, Switches Ethernet, Puntos de Acceso y generalmente servidores de algún tipo. Algunos sistemas viejos de 32

33 Ethernet utilizan cable coaxial (el mismo que se utiliza para los televisores); y algunas redes más recientes utilizan fibra óptica. FTP - (Protocolo de Transferencia de Archivos) - FTP es un protocolo que permite transferir archivos entre computadores en el Internet. FTP permite al usuario en una computadora obtener archivos o enviarlos a otros computadores. El acceso seguro a estos archivos se da con el uso de un nombre de usuario y un password. Firewall - Es un método de intercepción de paquetes (la información por Internet es transmitida en paquetes de información) que pasan a través de una interface, como un módem o tarjeta de red, y asociando cada paquete bajo una regla que indica el computador, negar, permitir o autorizar el paso. Una Firewall provee de gran seguridad contra intrusiones y puede limitar los tipos de conexiones que son permitidas. Gateway - Computador o un router que es el punto de conexión a Internet. Este dispositivo generalmente tiene una línea dedicada, como una línea T-1. Si la computadora tiene acceso al Internet, debe tener un Gateway en su configuración de red (a menos que se esté utilizando un servidor proxy). Internet de Alta Velocidad - Se define como velocidades fraccionales de velocidad T1 y superiores, lo cual corresponde a transferencias de datos de alrededor de 384 Kbps. Infraestructure (modo Infraestructura) - La infraestructura inalámbrica es el sistema de combinación que combina Puntos de Acceso, Mobile Nodes y Fixed Nodes. Los Puntos de Acceso presentes en la infraestructura pueden ser unidades raíz 33

34 (las cuales están conectadas alámbricamente a la raíz LAN) o pueden actuar como repetidores. Internet - Conjunto de redes interconectadas en todo el mundo. Se puede referir a él de dos maneras: el internet (i minúscula) en una conexión de redes físicas separadas, conectadas a través de un protocolo común para formar una sola red simple. El Internet (con I mayúscula) es el conjunto mundial de redes interconectadas que utilizan el protocolo de Internet (IP por sus siglas en inglés) o la unión de varias redes físicas interconectadas incluyendo el World Wide Web. Dirección IP - Una dirección IP es única para cada computadora conectada a una red, incluido el Internet. Una dirección IP consiste de cuatro números separados por puntos. Cada número puede ser hasta de tres dígitos, como (los dígitos son entre 1 y 255). La dirección IP permite a cada computador en una red saber a qué computador enviar información o responderla. LAN (Red de Área Local) - Una red de área local (LAN, por sus siglas en inglés) es una red de comunicaciones que cubre un área limitada de aproximadamente seis millas de radio, con velocidades de transferencia de datos que van de moderadas a altas. Los computadores que se encuentran dentro de una red LAN, deben estar en el mismo edificio o en un edificio próximo al mismo. Una red LAN es propiedad del usuario y no corre sobre líneas rentadas (ejemplo una línea T-1), aunque debe tener Gateway o puntos de conexión a Internet o alguna otra red privada. El ejemplo más común de redes LAN es una red corporativa (corporate network), como muchas compañías y universidades que 34

35 las han habilitado para el intercambio de información interno. Las velocidades pueden ser de 10Mbps, 100Mbps y hasta 1Gbps (gigabit/sec). MAC Address - Es un número único asignado a cada Adaptador Inalámbrico de red. MODEM - (MO: Modulador, DEM: Demodulador) - Es un dispositivo que convierte señales digitales de un computador a una señal análoga para transmitirla mediante líneas comunes de teléfono y viceversa. Estos dispositivos son utilizados cuando se llevan a cabo conexiones tipo "dial-up" para conectarse al Internet. Para utilizar el servicio HotSpot no se necesita un módem. Nodo Final - Es un nodo cliente el cual se localiza al final de la línea en una red. POP (Point of Presence) - Punto donde una red se encuentra con las líneas primarias que llevan la información (llamado backbone) del Internet. En otras palabras, es como el nombre de la ciudad en el servicio postal. Es el primer identificador local de la ubicación de un computador desde un POP específico. POP3 - Método muy común de envío de desde un servidor a un computador cliente. Otros métodos incluyen IMAP y Microsoft Exchange. El servidor POP3 especificado en el programa de de una persona, identifica desde dónde descargar los correos electrónicos para una dirección de . El servicio de HotSpot International no requiere que se cambie la configuración POP de cuenta alguna. Puerto - El punto de entrada y salida de información que va de un computador a cualquier otro dispositivo, puede ser un puerto de red, un puerto de impresora etc. Protocolo - Un método estandarizado de transferencia y manipulación de datos e información. 35

36 Repetidor - Un repetidor es un Access Point que extiende el rango de señal de una red de Infraestructura. Un repetidor no está físicamente conectado a una red LAN, pero se comunica vía radio con otro Punto de Acceso el cual puede ser tanto una unidad raíz u otro repetidor. Unidad Raíz - La unidad raíz es un punto de acceso localizado en un punto de inicio de una infraestructura inalámbrica. Una unidad raíz está conectada físicamente a la red alámbrica LAN y contiene información de configuración en su tabla de asociaciones que cubre todos los nodos que accedan a la red alámbrica (backbone). Todos los puntos de acceso directamente conectados al backbone son unidades raíz. Router, Enrutador - Dispositivo ampliamente utilizado en el Internet que redirecciona información a los lugares apropiados utilizando la dirección IP "destino" de un paquete de datos. Enrutar: El proceso de entregar un mensaje en una red o varias redes a través del camino más apropiado. Servidor - Computador designado a proveer de información a computadores cliente, como direcciones de IP o sitios de Internet. Un servidor es similar a un mesero en un restaurante, siendo el cliente el usuario final. Toma la orden del cliente y trae la información requerida. Un computador puede ser ambos, cliente y servidor. Servidor Proxy - Computador utilizado en algunas redes corporativas. Es utilizado para todo el tráfico en la World Wide Web, como al visualizar páginas Web. Puede ser utilizado para filtrar sitios Web a los que se quiere restringir el uso. SMTP - Protocolo de entrega de correo electrónico. Esto permite al usuario enviar mensajes de a otros usuarios en otros computadores. Es el método más 36

37 común de envío de correo electrónico en el Internet. Cuando una persona envía un a través de un programa, el programa se conecta con el servidor SMTP y le entrega el mensaje. El servidor a su vez pasa el mensaje al servidor apropiado de la dirección al que va dirigido para su recepción. Switch (Conmutador) - Abreviatura corta para Ethernet switch. Este es un dispositivo similar a un hub que habilita la conexión de múltiples computadores, puntos de acceso y otros dispositivos de red. Es una parte integral de cualquier red Ethernet. T-1 - Es una conexión de banda ancha que es capaz de alcanzar tasas de transferencia de hasta 1.5 mega bits por segundo, tanto en envío como de recepción de datos. Un módem típico se conecta a una tasa aproximada de 53.3 kbps en una línea estándar. TCP/IP - Protocolo de red estandarizado en el cual el Internet está basado. TCP/IP es utilizado junto con otros protocolos de red, les permite a los usuarios transmitir información en el Internet Upload - Un upload se traduce al español como subir un archivo, es la transferencia de un archivo a un servidor de red. Es lo contrario de un download. Upstream - Cualquier información que se está transfiriendo de un computador a otro. URL (Uniform Resource Locator) - Es el método que utiliza el Internet para "direccionar" sitios Web específicos en formato alfanumérico. Cada URL tiene una dirección IP que le corresponde. 37

38 VPN - Conocida en español como Red Privada Virtual, es una tecnología que establece una red segura o privada dentro de una red pública, como lo es el Internet. Una red privada virtual (Virtual Private Network) es una red privada que se extiende, mediante un proceso de encapsulación, y en su caso, de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso de infraestructuras públicas de transporte. Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública. WAN - (Wide Area Network) - Red que tiene una zona de cobertura más amplia que una LAN. Generalmente transmite a velocidades de 1.5Mpbs. o más. Página de Autenticación de HotSpot - Es la página de bienvenida y cobro de HotSpot. Para acceder a la misma sólo es necesario abrir su navegador favorito (Internet Explorer o Netscape Navigator) o trate de acceder a cualquier URL. WEP - Es un estándar de encriptación de datos en IEEE para redes inalámbricas. WECA - Promueve la adopción de Wi-Fi IEEE b como estándar para la operación de redes inalámbricas. HotSpot, Apple, Compaq, Dell y otros proveedores líderes de equipo de cómputo y redes son miembros de WECA. Wi-Fi (802.11b) - Es el estándar para redes inalámbricas del Instituto de Ingenieros Eléctricos y Electrónicos de los EEUU (IEEE, por sus siglas en inglés). World Wide Web - Es un grupo de servidores conectados a Internet que incluyen sitios Web corporativos, motores de búsqueda, servidores de cobro de tarjetas de crédito, sitios Web personales y muchos otros tipos de servidores. El World Wide Web no es todo el Internet, pero es la parte más usada y visualizada parte del Internet, con la probable excepción de servidores de (que en 38

39 muchas ocasiones incluyen servidores Web de como hotmail y yahoo mail). CAPÍTULO II DISCUSIÓN DE LECTURAS RELEVANTES Para este estudio se utilizaron diferentes fuentes de información, literatura y documentos en Internet, documentos de estándares, documentos de mejores prácticas, artículos de revistas profesionales, artículos publicados por investigadores en esta área y algunos estudios ya realizados por colegas, en áreas semejantes o con cierta relación en la fase de estudio o implantación. Lecturas de implantaciones en diferentes universidades así como en empresas, para poder hacer comparaciones, fueron también evaluadas y utilizadas como referencia en el estudio. Para facilitar la lectura y evaluación de las diferentes referencias utilizadas, se organizaron por los temas de interés para el estudio. Temas como estándares y mejores prácticas, implicaciones legales, implantaciones relacionadas, semejantes y comparables y aspectos de seguridad fueron algunos de los temas generales en los que se organizaron las lecturas. 39

40 Estándares y mejores prácticas Se comienza con una presentación o tutorial preparado por Hayes (1990) en que discute de forma amena y bastante sencilla los pormenores del estándar Esta presentación permite entender muchos aspectos de este estándar que anteriormente no se tenían claros. Siguiendo la estrategia de ver estándares y mejores prácticas, se evaluó la publicación llamada Wi-Fi Protected Access de Grim (2002) en la que se definen unas especificaciones basadas en estándares que mejoran fuertemente el nivel de protección de la data y sus controles de acceso para redes inalámbricas existentes y futuras. En este artículo se describen vulnerabilidades que tiene utilizar WEP como método de encripción, se describen unas guías de diseño para redes inalámbricas y se detallan metodologías alternas al uso del WEP. Se menciona el advenimiento del uso de TKIP ( Temporal Key Integrity Protocol ) que trae unas mejoras significativas al modo de encriptar, comparándolo con el uso de WEP. También se incluye el uso de autenticación a nivel de usuario, utilizando el estándar 802.1x y EAP ( Extensible Authentication Protocol ) que juntos permiten un marco de autenticación mucho más robusto. Para fortalecer el estudiado se fue detalladamente por el estándar IEEE , según descrito en la enciclopedia de Internet Wikipedia y en el que se contienen variaciones y/o extensiones de éste que contienen diferentes particularidades y utilidades. Este estándar o set de estándares incluyen las comunicaciones inalámbricas que utilizan las bandas de frecuencias 2.4, 3.5 y 5 GHz. 40

41 Implicaciones legales al implantar una Red Inalámbrica En la misma línea de búsqueda, también se evaluó un artículo de Azor (2003), titulado Free Anonymous Public Wireless Internet Connections. Este va más enfocado a las consecuencias legales que puede tener el publicar una zona de esta clase, no tan solo por que puedan acceder la parte privada de una Red, sino porque puedan hacer daño o enviar mensajes o ataques desde una Red Inalámbrica de acceso público a otra entidad y que el que la administra sea el responsable o a quién puedan llevar a corte por este delito. Esto también ayudó en el montaje a seguirse en este estudio, pues todo había que tenerlo pendiente, particularmente si no se quería que por una implantación se dejase vulnerable la empresa para la que trabajamos. Implantaciones relacionadas En otros temas relacionados, como comercio electrónico, también se evaluaron artículos relacionados a Redes Inalámbricas, como el estudio de Kytola (2002) titulado Wireless Technologies in E-Business Services, Security and Management. Este estudio evalúa el impacto de la tecnología inalámbrica en el mundo del comercio electrónico y la forma en que las compañías se ven en la necesidad de implantar esta tecnología. El estudio ve las diferentes tecnologías inalámbricas y los servicios que se ofrecen actualmente y los combina con los asuntos de seguridad y manejo que las compañías tienen que enfrentar. Este entorno es aplicado a ejemplos de la vida real de vendedores móviles para enfatizar los asuntos relacionados o cómo se afectan por éstos. Finalmente, en 41

42 sus conclusiones, explica la situación actual de los asuntos relacionaos y qué se debe hacer en el futuro. Aunque de inmediato no se espera poner a funcionar este tipo de servicio en el SUAGM como parte del estudio, se debió considerar para que al decidir implantarlo, sea viable. Implantaciones comparables En literaturas de implantaciones comparables o de estudios que han planteado hipótesis parecidas, se evaluó el estudio de Balachandran Voelker y Bahl (2003) titulado Wireless Hotspots: Current Challenges and Future Directions. Discusión vital en la implantación que se deseaba hacer en el SUAGM. Este es uno de los accesos que más se deseaba proveer, por lo que este estudio proveyó mucha perspectiva. En el estudio se menciona la demanda que han tenido las áreas de acceso público o Hot Spots en diferentes sitios, aeropuertos, tiendas por departamento, cafeterías, librerías, hospitales, etc. El acceso primordial que utilizan las personas cuando llegan a estas áreas es para acceder la Internet, ver sus correos electrónicos, etc. También hay una gran demanda por poder utilizar herramientas como las computadoras de mano ( Handheld Computers o PDA s ) con acceso inalámbrico, que van desde ver correo electrónico, buscar direcciones y en el caso de los Hospitales, con ver el expediente de un enfermo, los últimos análisis que le hicieron, etc. Este tipo de información ya es privada por lo que impone niveles de seguridad, aún cuando se está en un área de acceso público. 42

43 Implantaciones semejantes Al continuar el estudio, el investigador se dedicó a implantaciones semejantes, entre las que se encontró varias, de las que se mencionan a continuación. Primero, se refirió al artículo de la Universidad de Meryland, titulado University of Meryland Manages Campus-Wide Wireless LAN, en el que se dan algunos pormenores de la implantación hecha en esta universidad. En el caso de esta universidad, ellos entienden que la mayor parte de los usuarios de la red inalámbrica son facultad y personal administrativo que no residen allí, así como los estudiantes. La implantación de ellos es una de gran magnitud, con unos doscientos cuarenta y cinco (245) puntos de acceso ( Access Points ) instalados y con una expectativa de tener mil ochocientos (1,800) al finalizar la implantación. Además de la parte de seguridad, ellos enfocan su dirección en el manejo de la red para mejorar y agilizar el mismo. En otras publicaciones de implantaciones, según Callisch (2005), en su publicación titulada Dartmouth College Deploys Nation s Largest University Wi-Fi System With Aruba Networks el Dartmouth Collage está implantando la red inalámbrica más grande de la nación, utilizando la asesoría de la compañía Aruba Networks. Para tener una idea del tamaño de la implantación, ya han instalado trescientos cincuenta (350) puntos de acceso de la compañía Araba y próximamente estará sustituyendo los quinientos cincuenta (550) que tienen marca CISCO. Para Darmouth Collage el contar con controles de seguridad bien rigurosos y tiempos de respuesta satisfactorios fueron determinantes en la decisión de la compañía a utilizar y los productos a implantar. A través de esta red estarán transmitiendo todo tipo de señal, desde data, vídeo hasta voz. Esto 43

44 impone que la calidad de la Red sea una de excelencia y con unas regulaciones de seguridad extremas. Una alternativa para una Red administrada internamente, la están implantando en el aeropuerto de Houston. Según Genevieve (2005), en su artículo Houston Airport System and Sprint Kick Off Availability of High-Speed Wi-Fi Access for Air Travelers da los pormenores de cómo la administración del aeropuerto, utilizando tecnología de la compañía SPRINT, está dando el servicio de Wi-Fi a los viajeros que pasan por sus facilidades. La diferencia de una implantación como ésta a una interna, primero que todo es la administración y control de la misma y la forma en que los usuarios accederán los servicios requeridos. En este caso, todo es administrado por la compañía SPRINT, tanto los puntos de acceso como las conexiones de alta velocidad a la Internet. Otra diferencia es que el servicio no es gratuito, se cobra de acuerdo a lo que el usuario requiera. Esto de por sí, impone administración adicional a la implantación. Aspectos de Seguridad en la implantación Para los aspectos de seguridad, el investigador se dedicó a ver otras lecturas, entre las que evaluó el artículo de Gast (2002), titulado Seven Security Problems of Wireless en el que, como indica el mismo título, habla de las dificultades que pueden encontrarse al utilizar el estándar en términos de seguridad. Las áreas a las que hace referencia en este artículo, como las de más relevancia son: Fácil acceso; Puntos de Acceso ilegales ( rogue Access Points ); Usos de servicios sin autorización; Limitación en provisión de servicios y 44

45 comportamiento adecuado; identificación de direcciones MAC y robo de sesiones; Análisis de tráfico y eavesdropping ; ataques de alto nivel. Estas áreas son las más comunes en las diferentes referencias que se han consultado para este estudio aunque algunas dan prioridad a otras, dependiendo del entorno. Se evaluó el artículo publicado en Tech Republic, publicado por Mullins (2005) titulado Take these steps to protect your organization from mobile security threats en el que se dan guías a seguir para mantenerse protegido de posibles ataques en el área de seguridad. Aunque con más énfasis a equipos portables manuales, como PDA s, este artículo tiene unas recomendaciones que aplican a toda red inalámbrica. En éste hacen referencia a las siguientes áreas: Enfatizar el uso de encripción y autenticación o claves de acceso ( Passwords ); Promulgar la protección del correo electrónico; Instalar programados de antivirus en sus equipos; Implantar aplicaciones de Firewall en los equipos; Velar por programados o códigos que no lleguen con firmas o autenticados genuinamente. Una publicación que también aportó mucho a este estudio en la parte de seguridad fue la de Buck (2001), titulada Wireless Networking: Compromising Security for Convenience?. Este artículo, convertido en un documento oficial del Instituto SANS, una de las entidades de más renombre cuando se habla de seguridad, aunque tiene mucho tiempo de escrito, cuenta con información básica que pone en perspectiva al que lo lee y le hace entender los conceptos básicos de la tecnología inalámbrica de una forma fácil de entender. Habla de estándares, de implantaciones, de problemas que actualmente todavía se confrontan y da recomendaciones para evitar permitir que las redes sean comprometidas. 45

46 Como bien se menciona en el trasfondo histórico, entre la literatura estudiada y los diferentes artículos que publican estas universidades, se ve claramente la similitud en la metodología que utilizan estas. La gran variedad de literatura y artículos evaluados, incluyendo el caso de negocio Diseño de una Red Wireless / WIFI implementando las Mejores Prácticas de Seguridad Informática para WIFI (Ramón Bayán, 2003) son los que permiten al investigador identificar la metodología, procedimientos, modelos de investigación y demás requerimientos para que el estudio sea afectivo y adecuado. 46

47 CHAPÍTULO III METODOLOGÍA Introducción Al momento de escoger el método de la investigación es recomendable considerar si se puede basar el trabajo en un modelo teórico anterior. A veces un modelo, incluso preliminar, podría ayudar a su trabajo decisivamente, y en tal caso también afectará el proceso lógico del análisis. (Pentti Routio, 2007). En el caso de este estudio, se utiliza la investigación exploratoria que es cuando no se utiliza ningún modelo anterior como base del estudio. La razón más general de usar este acercamiento es que no se tiene ninguna otra opción. Sería deseable tomar una teoría anterior como una ayuda, pero no se ha encontrado ninguna que se asemeje a lo que se quiere estudiar, o todos los modelos disponibles vienen de contextos impropios (Pentti Routio, 2007). En este capítulo entramos en el detalle del procedimiento, metodología, modelos de investigación, población a utilizarse así como las variables, directas e indirectas y los análisis estadísticos utilizados para la investigación. Los temas se van desarrollando de forma que el lector pueda entender lógicamente lo que se investiga y cómo se investiga, comenzando con el procedimiento y metodología, pasando por el modelo de investigación y culminando con los análisis estadísticos y sus resultados. 47

48 Procedimiento y Metodología La metodología es el instrumento que enlaza el sujeto con el objeto de la investigación, Sin la metodología es casi imposible llegar a la lógica que conduce al conocimiento científico. Podemos establecer dos grandes clases de métodos de investigación: los métodos lógicos y los empíricos. Los primeros son todos aquellos que se basan en la utilización del pensamiento en sus funciones de deducción, análisis y síntesis, mientras que los métodos empíricos, se aproximan al conocimiento del objeto mediante sus conocimiento directo y el uso de la experiencia, entre ellos encontramos la observación y la experimentación (Ramos Chagoya, 2008). Este estudio utiliza ambos métodos, los lógicos y los empíricos, para obtener los datos e información que apoyarán o rechazarán las hipótesis formuladas. También se utiliza un cuestionario, sencillo para no complicar el contenido y/o los resultados, pero muy acertado para justificar algunas de las variables que se plantean como parte de la investigación. En la parte de Instrumento del estudio, se amplían los métodos utilizados y la forma en que se recopiló la información. Modelo de Investigación Para poder implantar una Red Inalámbrica adecuada, que tenga los niveles de seguridad necesarios y que a su vez permita los accesos requeridos por los diferentes grupos de un Sistema Universitario, entiéndase la porción administrativa, la porción académica y los investigadores, hay que considerar 48

49 varios aspectos. Como definido en el primer capítulo, el primer aspecto son las Políticas asociadas a estas implantaciones y el segundo aspecto es la seguridad. Utilizando la información provista en los múltiples artículos y lecturas evaluadas, se identificaron las mejores prácticas al momento de implantar una Red de Acceso Inalámbrico, no tan solo en Universidades, en cualquier entorno. A continuación una tabla con algunos de los artículos y/o referencias utilizadas y las variables que se soportan en estas, incluyendo las primeras diez (10) mejores prácticas descritas en uno de los artículos: Tabla 3.1 Artículos y referencias vs variables 49

50 50

51 Con estas variables ya identificadas, relacionamos las mismas a lo que se desea establecer y probar en la investigación. Se incorporan las consecuencias de que se cumplan o no estas variables y se conforma el modelo de investigación que se debe seguir. El modelo de investigación que se propone es el siguiente: Figura Modelo de Investigación Basándose en este modelo, se identifican las variables que se utilizarán a lo largo de la Investigación. Las variables de políticas requeridas, las que están en uso, la actualidad de éstas y la difusión que hayan tenido, están directamente relacionadas a cuan adecuadas están las mismas. Ejemplo de esto lo vemos en la tabla 3.1, en donde relacionamos las variables con algunas de las referencias y artículos utilizados en la investigación. Los resultados de los análisis de vulnerabilidades así como los resultados de la evaluación o encuesta realizada, proveen otros datos que aportan tanto a cuán adecuadas están las Políticas como a cuan segura es la implementación de 51

52 la Red Inalámbrica. Datos adicionales a las variables se discuten en el tópico dedicado a estas. Diseño de la investigación El diseño de investigación constituye el plan general del investigador para obtener respuestas a sus interrogantes o comprobar la hipótesis de investigación. El diseño de investigación desglosa las estrategias básicas que el investigador adopta para generar información exacta e interpretable (Martínez López, 2008). El diseño de investigación que se utilizó para este estudio fue de naturaleza no experimental transeccional descriptivo. La información se obtuvo de fuentes primarias y secundarias. Fuentes primarias fueron el formulario de evaluación que se preparó y utilizó (Apéndice A) y los reportes obtenidos de los análisis en los segmentos de la Red. Fuentes secundarias son las lecturas, libros y documentos de mejores prácticas, utilizados durante el transcurso de la investigación. Los objetivos del estudio, así como las preguntas asociadas a estos y que fueron y continuaron siendo utilizadas en el transcurso de la investigación, son presentados en el primer capítulo, así como las hipótesis que fueron ponderadas. Para poder evaluar las variables del instrumento, las cuales se discuten en detalle próximamente (tópico de variables del estudio), se crearon como parte de la estrategia sub divisiones o sub hipótesis de las Hipótesis generales, descritas y detalladas en el primer capítulo, que quedaron de la siguiente forma: Primera Hipótesis H1 52

53 H1A-1 - Hay un 80% o más de de las políticas requeridas ya desarrolladas. Políticas establecidas / Políticas requeridas >=.80 H10-1 Hay menos de un 80% de las políticas requeridas ya desarrolladas. Políticas establecidas / Políticas requeridas <.80 H1A-2 - Hay un 80% o más de de las políticas desarrolladas ya implantadas Políticas requeridas / Políticas implantadas >=.80 H10-2 Hay menos de un 80% de las políticas desarrolladas ya implantadas Políticas requeridas / Políticas implantadas <.80 H10-3 Menos del 80% de las Políticas implantadas tienen una vigencia de más de 2 años. H10-3 Menos del 80% de las Políticas implantadas tienen una vigencia de 2 años. H1A-4 - Más de un 70% de los clientes ha leído las normas y políticas de uso de la Red Inalámbrica del SUAGM (contestó Sí en la pregunta número 6 del cuestionario). H10-4 Menos de un 70% de los clientes ha leído las normas y políticas de uso de la Red Inalámbrica del SUAGM (contestó Sí en la pregunta número 6 del cuestionario). Segunda Hipótesis H2 H2A-1 - Hay menos de un 10% de vulnerabilidades en el Análisis efectuado H20-1 Hay más de un 10% de vulnerabilidades en el Análisis efectuado 53

54 H2A-2 - Mas de un 75% de los clientes contestó Excelente, Bueno o Aceptable en cuanto a la calidad del servicio de acceso a la Red Inalámbrica del SUAGM (pregunta número 4 del cuestionario) H20-2 Menos de un 75% de los clientes contestó Excelente, Bueno o Aceptable en cuanto a la calidad del servicio de acceso a la Red Inalámbrica del SUAGM (pregunta número 4 del cuestionario) A continuación el modelo de Investigación diagramado con las respectivas hipótesis y variables incorporadas al mismo: Figura 3.2 Modelo de Investigación con Hipótesis asociadas 54

55 Variables del Estudio Las variables utilizadas en este estudio fueron los resultados del formulario de evaluación, en diferentes formas. También se utilizaron los resultados de los estudios de vulnerabilidades que se efectuaron junto al personal de seguridad, de acuerdo a los parámetros que se definieron y de acuerdo a los resultados que arrojaron los mismos. Variables dependientes fueron las que resultaron de las preguntas de las evaluaciones distribuidas, estas son: 1. Satisfacción en accesos requeridos sobre la Red Inalámbrica 2. Diseminación de las Políticas de Seguridad Variables independientes fueron las que siempre se mantuvieron y se enuncian a continuación: 3. Políticas requeridas 4. Políticas en uso 5. Actualidad de las Políticas en uso 6. Resultados de los análisis de vulnerabilidades Instrumento del estudio El Investigador utiliza para este estudio el tipo exploratorio, ya descrito anteriormente y dentro de este tipo de investigación utiliza varias técnicas. Se utiliza la técnica documental, que permite la recopilación de información para enunciar las teorías que sustentan el estudio de los fenómenos y procesos (Ramos 55

56 Chagoya 2008). También se utiliza la técnica de campo, que permite la observación en contacto directo con el objeto de estudio, y el acopio de testimonios que permitan confrontar la teoría con la práctica en la búsqueda de la verdad objetiva (Ramos Chagoya 2008). Una técnica campo utilizada en este estudio fue la determinación del tipo de Red que se estaba implantando, refiriéndose al tipo de tráfico que estaría viajando por la red y cómo el mismo sería controlado o distribuido. Dependiendo del tipo de tráfico que transitaría le red, así debían ser las medidas de seguridad a ser implantadas (Ver Apéndice D): Traffic Categorization and Data Classification. Otro instrumento utilizado para la determinación de los mecanismos o equipos de seguridad a ser implantados fue validar qué tipo de Red se estaba implantando y cuán segura se quería que fuese. Para esto se utilizo las diferentes categorías que hay de redes, en términos de tamaño y de seguridad. En estos modelos hay diferentes niveles de seguridad que se pueden implantar de acuerdo al tamaño y a cuán rigurosa se quería la seguridad implantada en la Red. En los mismos se observó desde redes pequeñas con mecanismos mínimos de seguridad hasta redes grandes con mecanismos rigurosísimos de seguridad. El investigador también incorporó técnicas de Encuesta, que es la adquisición de información de interés sociológico, mediante un cuestionario previamente elaborado, a través del cual se puede conocer la opinión o valoración del sujeto seleccionado en una muestra sobre un asunto dado (Ramos Chagoya 2008). Se utilizó una hoja de encuesta que se entregó a los diferentes usuarios de las diferentes redes en el SUAGM, desde los usuarios administrativos con acceso a las áreas de máxima seguridad hasta los usuarios externos a la institución que 56

57 ganan acceso a las áreas públicas o los llamados Hot Spots. Esta encuesta fue distribuida y consultada con personal técnico del SUAGM para confirmar que en la misma se contiene la información necesaria para la evaluación que quería hacer. Para agilizar el proceso de acopio de información, se diseñó un documento de forma electrónica que permitió capturar los datos a través de un portal y al usuario llenar la hoja, se llevaron los resultados a una base de datos que posteriormente fue accedida para obtener los resultados de la evaluación por parte de usuarios. El documento usado se incluye en el Apéndice A: Evaluación de los accesos a los servicios de la Red Inalámbrica del SUAGM. A continuación se describe la utilidad y/o razón para incluir cada pregunta en la evaluación: 1. Indique a qué grupo de usuario pertenece (Asociado Administrativo / Facultad / Estudiante / Visitante) Esta pregunta permitió segregar algunos resultados por los diferentes grupos que ganaron accesos a la Red Inalámbrica del SUAGM 2. Indique el área a la que accede mayormente al conectarse a la Red Inalámbrica (Internet / Servicios Académicos / Servicios Administrativos (Banner) Con esta pregunta se segregó el área al que acceden cuando tratan de ganar acceso a la Red Inalámbrica del SUAGM. 3. Ha logrado acceder servicios internos (Servicios Administrativos (Banner), Servicios Académicos, etc.) desde un área pública o Hot Spot? Esta pregunta me ayudó a determinar si hay algún tipo de vulnerabilidad visible en los accesos 57

58 4. Indique cómo califica el servicio de acceso a la Red Inalámbrica del SUAGM (Excelente / Bueno / Regular / Deficiente / Inaceptable) Con esta pregunta pude determinar cómo evalúan el servicio que se brinda 5. Indique si ha observado inestabilidad cuando está accediendo la Red Inalámbrica (Sí / No) Con esta pregunta se pudo evaluar si había inestabilidad en la Red Inalámbrica del SUAGM. 6. Indique si ha leído las normas y políticas de uso de la Red Inalámbrica del SUAGM (Sí / No) Con esta pregunta se pudo determinar si la persona conoce las políticas de uso de la Red Inalámbrica del SUAGM y hacerle preguntas posteriores 7. Si contestó sí a la pregunta anterior, Indique cómo evalúa la Política actual de uso de la Red Inalámbrica del SUAGM (Excelente / Bueno / Regular / Deficiente / Inaceptable / contesté no a pregunta anterior) Con esta pregunta se podrá determinar la calidad de la Política existente y si en realidad requiere ser evaluada o mejorada 8. Si contestó sí a la pregunta 6, indique si mejoraría la Política actual de uso de la Red Inalámbrica del SUAGM (Sí / No / Contesté no a la pregunta 9) Con esta pregunta se confirmó si es requerido o necesario que se modifique o mejore la Política de uso de la Red Inalámbrica del SUAGM 9. Comentarios Con estos puedo aportar más efectivamente en las recomendaciones. 58

59 Procedimientos operacionales Para este estudio se siguieron múltiples procedimientos, además de los que ya se habían efectuado. Se comenzó por identificar las necesidades de tener una Red Inalámbrica, más allá del servicio que originalmente tenían en el SUAGM. Sólo se contaba con accesos Inalámbricos a unas áreas administrativas particulares, sin permitir acceso al resto de la población, particularmente estudiantes, facultad y visitantes. En diferentes reuniones sostenidas con personal de las áreas de Informática de las diferentes Instituciones que forman parte del SUAGM, se identificó que la necesidad era genuina, pero que por limitaciones de seguridad y presupuesto, no se estaba llevando a cabo efectivamente. Se convirtió el proceso de investigación en parte de las tareas y se continuaron evaluando necesidades, al igual que tecnologías que permitieran la implantación. Participando en un comité, precisamente confeccionado para ver el impacto y las necesidades de implantar una Red Inalámbrica en el SUAGM, el investigador reforzó su idea de que se requiere un estudio profundo para la implantación y que sólo con seleccionar un comité y designar los integrantes, no era necesario. Es en ese momento que el investigador definió las primeras tareas que se debían hacer para lograr que el estudio fuera efectivo. La primera tarea, identificar necesidades, ya se había completado bastante, en las diferentes reuniones con el personal de informática, facultad y personal administrativo de las Instituciones. El próximo paso fue la evaluación de políticas de uso y manejo de las Redes en el SUAGM, para el investigador enterarse de los requerimientos de entonces y poder hacer recomendaciones de implantación 59

60 adicionales. Esta tarea la se logró participando de reuniones con diferentes personas de las áreas responsables de estas Políticas, como el área de Telecomunicaciones, Seguridad y Operaciones del Centro de Sistemas de Información. Esta segunda tarea fue más compleja por la variedad de ambientes que requieren tomarse en cuenta al momento de preparar normas y procedimientos de uso de una Red Inalámbrica. Para ampliar el conocimiento, el investigador indago en otras Instituciones para determinar lo que habían implantado, las normas que habían establecido como parte de la implantación y la efectividad de la implantación, en términos administrativos y de seguridad. La Política de acceso a la Red Inalámbrica del SUAGM está contenida en una Política de más alcance, llamada Network & Telecommunications Access Policy, por contener terminología y condiciones que aplican a otras áreas dentro del ámbito de Redes y Telecomunicaciones. Las Políticas fueron todas redactadas en inglés para poder publicarlas en los foros correspondientes y que las agencias evaluadoras federales, pudieran verlas y entenderlas. El tercer paso que el investigador entendió que era vital fue comenzar a evaluar la tecnología disponible para este tipo de implantaciones. Para el investigador se dedicó a investigar en la Internet, así como en revistas tecnológicas. También hubo la oportunidad de ir a diferentes foros de exposición de tecnología, muy en especial al foro de INTEROP, el cual el investigador había visitado hace varios años y pudo volver a participar en el 2002 y En este foro participan múltiples fabricantes de diferentes tecnologías, pero el investigador se focalizó en visitar a los fabricantes de equipos de acceso inalámbrico y muy en 60

61 particular a los que fabrican equipos de seguridad en el ámbito de servicios inalámbricos. Esta experiencia llevó al investigador a entender que la multiplicidad de tecnología requeriría de un análisis más profundo que meramente visitar sitios en Internet y foros de tecnología. El investigador se dedicó a identificar recursos de evaluación profesional, como Gartner, en donde establecen quiénes son los mejores representantes y fabricantes en el área de tecnología. También se recurrió a otras fuentes de evaluación, como revistas de Telecomunicaciones con encuestas e investigaciones internas de los diferentes productos. Como parte del estudio e investigación el investigador descubrió también que no sólo se trataba de adquirir equipos de seguridad sino que también había que tomar medidas adicionales para poder conseguir los niveles de seguridad que se requiere cuando se tienen múltiples tipos de acceso en una Red Empresarial. Aquí el investigador se dedicó a la parte de cómo segregar los diferentes tipos de acceso y cómo hacerlo de una forma segura y costo efectivo. En esta etapa de la investigación se pudo identificar que no toda la tecnología cumpliría con los requerimientos del estudio, lo que permitió cerrar el círculo de evaluación y poder enfocarse en otros aspectos. Toda esta interacción con fabricantes en los foros de tecnología, lecturas sobre productos, lecturas de artículos relacionados y la gran necesidad que tienen las Instituciones educativas de dar estos servicios en sus predios, fueron la causa o inspiración mayor para continuar con esta investigación. La importancia de este estudio se puede resumir en que la necesidad del servicio es real y que tiene que 61

62 ser implantada basada en unas prácticas seguras y con viabilidad de administración efectiva. Para validar que la implantación fue efectiva y segura, se solicitó al área de Seguridad autorización para ejecutar procesos de evaluación y vulnerabilidades en las diferentes áreas. Estos procesos se ejecutaron en las diferentes áreas de acceso, en las áreas públicas o Hot Spots pero considerando los accesos a las áreas de acceso de los estudiantes (áreas académicas) y las áreas de acceso a los servicios administrativos, área de mayor rigurosidad en los accesos. Los resultados se presentarán más adelante. Para reforzar los resultados del estudio, se diseñó también un formulario de evaluación de los servicios inalámbricos recién implantados, con el que se obtuvo información del usuario final de los servicios, así como su experiencia y opinión con relación a los aspectos de seguridad, administración y facilidad de uso. En este estudio se alertó a los diferentes usuarios por mensajes electrónicos y se puso en nuestro portal ( para que pudieran llenarlo de forma electrónica y poder hacer los estudios de los resultados con mayor facilidad y rapidez. Los resultados se llevaron a una base de datos, que posteriormente se utilizó para los informes finales y las estadísticas. La evaluación se llevó a cabo por cuatro semanas, se le solicitó a la mayoría de los usuarios que la contestaran y se llevó un conteo de las personas que leyeron el correo, para tener una idea de cuántos de los que se les solicitó contestaran la evaluación, lo hicieron. Por la poca cantidad de clientes que hay accediendo este tipo de servicio, fue suficiente este periodo de evaluación. 62

63 Población y muestra del estudio Para este estudio se utilizó como población las Universidades, utilizando el caso específico del SUAGM. Para la muestra, utilizamos al personal administrativo, facultad y estudiantes del Sistema Universitario Ana G. Méndez, en las facilidades de Cupey, Gurabo y Carolina, en donde se ubican la Universidad Metropolitana, la Universidad del Turabo y la Universidad del Este respectivamente. El Sistema Universitario Ana G. Méndez, tiene una matrícula de sobre 40,000 estudiantes entre sus tres Instituciones Afiliadas y sus Centros Universitarios. Para poder controlar el análisis, el investigador decidió utilizar la información de las tres instituciones en sus Campus principales, en adición a utilizar las áreas de la Administración Central del SUAGM. Entre la Universidad Metropolitana, la Universidad del Turabo y la Universidad del Este, en sus campus de primarios, tienen una matrícula de 18,000 aproximadamente, que junto la facultad y al personal administrativo, constituyen una muestra representativa adecuada para este estudio. Las tres instituciones están en uso de tecnología de avanzada y están a la vanguardia de lo que son Sistemas de Información y Telecomunicaciones. Al pertenecer al Sistema Universitario Ana G. Méndez, participan de toda la infraestructura que tiene el SUAGM a través de la isla, así como con sus instalaciones en EU. El SUAGM cuenta con una de las implementaciones más robustas de Telecomunicaciones en Puerto Rico, fungiendo como el Sistema Universitario privado de mayor utilización de tecnología y con la Red de Telecomunicaciones más extensa y de mayor ancho de banda en la Isla. 63

64 Entrando en la descripción de la muestra utilizada, se comienza con el personal administrativo, con este se utilizaron las áreas que se implantaron hace un tiempo y en las que originalmente se implantaron medidas de seguridad sencillas por la ausencia de equipo con los requerimientos para implantar las medidas de seguridad requeridas en ese momento. Se utilizó específicamente el área de Servicios Administrativos, llamado Centro Integrado de Servicios Administrativos, donde hay representación de las oficinas de Recursos Humanos, Presupuesto, Recursos Externos, Planificación y Apoyo a Aplicaciones (Servicios Banner). También se utilizó el área de la Vicerrectoría de Recursos de Información en donde se implantaron algunas de las medidas y componentes que surgen como parte del estudio para validar que las mismas son efectivas. Aquí se evaluaron accesos por parte de personal administrativo de las áreas de Biblioteca, Facultad y estudiantes. Al utilizar diferentes áreas, así como diferentes tipos de personas que acceden la red, se logró tener información y participación suficiente para determinar la efectividad del estudio y la implantación hecha como parte del mismo. En el caso del personal administrativo, que tiene experiencia en el uso de la tecnología y puede comparar el uso de tecnología inalámbrica vs. tecnología de comunicaciones alambradas, que usan comúnmente, se pudo tener comparaciones de comportamiento y de forma de acceso. En el caso de la facultad y estudiantes, no sólo se puede comparar su experiencia en ambos tipos de tecnología, sino también su experiencia en accesos 64

65 en otros lugares e incluso instituciones educativas con conexiones semejantes o equivalentes. Las personas seleccionadas para el estudio fueron al azar y a través de documentos de evaluación de servicios que se distribuyeron a las mismas, para que fueran completados de forma electrónica. Por la poca actividad de acceso inalámbrico que se estaba viendo en ese momento, la muestra fue limitada a aquellas personas que estaban utilizando el servicio, por lo que resultó ser una reducida, aunque representativa de un por ciento alto de las personas utilizando el servicio. Otra muestra que se obtuvo fueron los resultados de evaluaciones que se sometieron al personal de Seguridad del SUAGM para determinar la efectividad de los aspectos de seguridad implantados en los accesos desde las diferentes áreas. En esta muestra, se contó con unos resultados de alta confiabilidad pues se utilizaron herramientas avanzadas de análisis y procesos que pudieron certeramente identificar cualquier vulnerabilidad que hubiese en las diferentes áreas o en los respectivos equipos utilizados. Análisis estadístico En este estudio se utilizaron los resultados de las evaluaciones coordinadas con el área de seguridad para determinar el nivel de seguridad de la implantación. Las herramientas utilizadas para la evaluación proveyeron la capacidad de hacer diferentes tipos de gráficas que permitieron la evaluación más detallada de los 65

66 resultados. También permitieron la producción de informes detallados que amplían estas estadísticas y refuerzan los resultados. Se complementaron estos datos con los informes de la evaluación hecha por los clientes. De estos se produjeron informes específicos de los resultados y también gráficas que permitieron evaluar los datos de diferentes perspectivas. Las herramientas utilizadas fueron las que provee la aplicación de Microsoft Access para la producción de informes de sus Bases de Datos y herramientas como Microsoft Excel para generar datos gráficos de estos informes. Conclusión El capítulo III presentó la metodología de investigación, donde incluye diseño, población, muestra, instrumentos, validez y confiabilidad del instrumento, variables, procedimientos operacionales, administración del cuestionario y métodos de análisis estadísticos. CAPÍTULO IV DISCUSIÓN Y ANÁLISIS DE LOS RESULTADOS Introducción En este capítulo se discuten los resultados del estudio, incluyendo los análisis de datos e información que aportaron a estos resultados, las estadísticas obtenidas y su impacto en los Objetivos e Hipótesis formuladas. El Objetivo General de este estudio es poder ver y evaluar el impacto de implantar una Red Inalámbrica Segura en un Sistema Universitario, para los diferentes tipos de accesos requeridos. Para cumplimentar este Objetivo General, se establecen los siguientes Objetivos Específicos: 66

67 A. Analizar las Políticas implantadas y diseminadas en el Sistema Universitario identificado para el estudio y determinar si las mismas están de acuerdo a las mejores prácticas, en términos de cantidad requerida de Políticas y de su actualidad o vigencia. B. Evaluar la implantación de Redes Inalámbrica, haciendo un estudio de caso en la Institución universitaria seleccionada, para determinar el grado de seguridad que tiene, utilizando herramientas de análisis de vulnerabilidades en Redes. C. Identificar y desarrollar la metodología apropiada para estos objetivos, de forma que se pueda utilizar esta en otras Instituciones Educativas, Empresas o cualquier entorno que así lo permita al igual que en futuras investigaciones o cuando se desee extender el ámbito de esta investigación. Junto a los Objetivos Específicos, se establecen las preguntas asociadas a los mismos para proceder con la formulación de las Hipótesis, las preguntas asociadas a los objetivos son: A. Cómo inciden y/o afectan las Políticas implantadas y diseminadas en los Sistemas Universitarios para que la implementación de sus Redes Inalámbricas sea adecuada y provea para los requerimientos de los diferentes usuarios? B. Cuán segura es la implementación de la Red Inalámbrica en una Institución Universitaria, partiendo de la topología que esta tenga y los diferentes requisitos de accesos que tienen las respectivas áreas de trabajo o acceso? 67

68 C. El tercer objetivo se logra a través de la investigación, elaborando y a la vez confirmando que la metodología que se está utilizando es adecuada y puede transferirse a otros entornos. Esto se logra con los resultados de las hipótesis formuladas. Para responder a estas preguntas, se realizan los análisis estadísticos y acopio de información que se desglosan y utilizan para la determinación de la validez de las hipótesis. Para comenzar se presentan a través de estadísticas descriptivas, análisis sobre las características de acceso y diseminación de las Políticas de Acceso a Redes así como las de satisfacción en los tipos de accesos provistos en éstas. También se hacen estadísticas de los análisis de vulnerabilidades realizados para determinar el grado de seguridad implantado. Se incluyen todas las variables utilizadas en un de forma resumida. Al final se incluye las estadísticas que se aplicaron, la metodología para el análisis de los datos, la interpretación de éstos y respuestas de las diferentes hipótesis. Mecanismo y herramientas utilizados para el análisis Los datos recopilados, a través del formulario de encuesta provisto a través de la Internet y de los análisis de vulnerabilidades hechos en las diferentes universidades, se llevaron a la herramienta de análisis de SPSS. Con esta y otras herramientas, como las provistas por MS Excel, se realizaron los análisis de frecuencia de las variables, análisis de correlación, análisis de contenido, 68

69 desarrollo de tablas, gráficas y figuras que finalmente permiten contestar las preguntas e hipótesis de la investigación. Instrumentos utilizados y su estructura Se utilizaron varios instrumentos, en el caso del cuestionario, era estructurado y auto cumplimentado, contaba de 8 preguntas cerradas, de opción múltiple y de intervalos. Los demás instrumentos fueron las lecturas y los estándares en los que se basa el investigador así como las intervenciones para determinar el grado de vulnerabilidad de las Redes Inalámbricas en las tres Instituciones principales del SUAGM. Según Kerlinger (1988) los términos concepto y constructo tienen significados similares aunque existe una diferencia importante. El concepto expresa una abstracción formada por generalizaciones sustraídas de casos particulares (peso expresa numerosas observaciones y cosas que son más o menos pesadas) sin embargo aunque un constructo es un concepto, tiene un sentido adicional, el de haber sido inventado o adoptado de manera deliberada y consciente para un propósito científico especial. Para este estudio se confirman seis (6) constructos, enfocados en las dos áreas de la investigación, Políticas Adecuadas y Seguridad adecuada. Los mismos se detallan en la tabla a continuación: Tabla Constructos y especificaciones Constructo Fuente Políticas Adecuadas Política Requerida Lecturas y estándares Política en uso Lecturas y estándares 69

70 Actualidad de Políticas Entrevista a personal IT Diseminación de Políticas Cuestionario (p5, p6 y p7) Seguridad Adecuada Análisis de vulnerabilidades Intervenciones (GFI - Langard) Satisfacción accesos requeridos Cuestionario (p4 y p5) Participación en el Cuestionario Se hace referencia a los porcientos de participación de las diferentes áreas por entender que las mismas son importantes al momento de la evaluación final y las recomendaciones. Se enviaron correos a la comunidad de Administradores, Facultad y Estudiantes del SUAGM, con una expectativa de mil (1,000) participantes, velando que no se sobrepase de este límite para que la muestra sea representativa y a la vez manejable. De la totalidad de respuestas recibidas al cuestionario, cuatrocientas sesenta y siete (467), cuatrocientos seis (406) fueron personal administrativo, cincuenta y cinco (55) facultad y seis (6) estudiantes. Esto lleva a una respuesta de un 86.9% del área administrativa, un 11.6% del área Académica y un 1.3% de estudiantes. Por la poca participación de los estudiantes, los datos de estos no se consideran en la investigación. El total de participantes considerado es cuatrocientos sesenta y uno (461). 70

71 Gráfica Participación por áreas en Cuestionario Estadísticas y descripciones de los diferentes constructos Área de Políticas Adecuadas Para medir las Políticas requeridas, se hace referencia a los estándares del SANS Institute, autoridad reconocida mundialmente a estos efectos. Se preparó una tabla con las Políticas recomendadas por el SANS, se incorporó a la misma las que el SUAGM tiene desarrolladas, las que tiene implantadas y las que tienen diseminadas apropiadamente. También se incorpora la fecha de desarrollo e implantación, para determinar su actualidad. Con estos valores, se pudieron calcular las diferentes variables utilizadas en las hipótesis para determinar su validez. Ver Tabla 4.2 Tabla Políticas de Seguridad y accesos a Redes, requeridas, implantadas, diseminadas y actualidad de estas Policy # Recommended (required) Policies Developed in SUAGM Implemented in SUAGM (published) 1 Password policy * - Defines minimum and maximum length of passwords, password complexity, how often it must be changed. Yes Yes 71 Time of implementation in SUAGM (months) 21

72 2 Network login policy - May be defined by the password policy. Defines how many bad login attempts over what specific amount of time will cause an account to be locked. This may be included in the password policy. Remote access policy * - Specifies how remote users can connect to the main organizational network and the requirements for each of their systems before they are allowed to connect. This will specify the anti-virus program remote users must use, how often it must be updated, what personal firewalls they are required to run, and other protection against spyware or other malware. Also defines how users can connect remotely such as dial up or VPN. It will specify how the dial up will work such as whether the system will call the remote user back, and the authentication method. If using VPN, the VPN protocols used will be defined. Methods to deal with attacks should be considered in the design of the VPN system. Internet connection policy * - Specifies how users are allowed to connect to the internet and provides for IT department approval of all connections to the internet or other private network. Requires all connections such as connections by modems or wireless media to a private network or the internet be approved by the IT department and what is typically required for approval such as the operation of a firewall to protect the connection. Also defines how the network will be protected to prevent users from going to malicious web sites. Defines whether user activity on the network will be logged and to what extent. Specifies what system will be used to prevent unauthorized viewing of sites and what system will log internet usage activity. Defines whether a proxy server will be used for user internet access. Mobile computer policy * - Defines the network security requirements for all mobile computers which will be used on the network, who is allowed to own them, what firewall they must run, what programs may be run on them, how the system will be protected against malware, how often the system must be updated, and more. Also defines what data may be stored on them and whether the data must be encrypted in case of theft. Yes Yes 21 Yes Yes 21 Yes Yes 44 No No 0 6 Wireless Use Policy * - Defines whether wireless will be used on the network, what protocols can be used, and how it will be kept secure from unauthorized access including allowing only specific computers to connect. Yes Yes 21 7 Information security policy. Yes Yes 44 8 User privilege policy * - Defines what privileges various users are allowed to have, specifically defining what groups of users have privileges to install computer programs on their or other systems. Defines the users who have access to and control of sensitive or regulated data. Also may define internet access to specific sites for some users or other ways they may or may not use their computer systems. Yes Yes 21 9 Network documentation policy * - Defines the level of network documentation required such as documentation of which switch ports connect to what rooms and computers. Defines who will have access to read it and who will have access to change it. Defines where documentation will be stored. Yes Yes Network Scanning Policy - Describes what type of network scanning that can be done, who is allowed to perform network scans, and under what conditions. May specify what procedure will be followed when performing different types of network scans. The procedure or policy may define who is to be notified when network scans are done and for which type of scans they will be notified. No No

73 11 Network Risk evaluation - Evaluate threats to the network to determine where to improve defences. Yes Yes IP address assignment policy - Defines how IP addresses are assigned, who assigns them, how IP use is tracked, the file IP information is stored in, and who has the ability to read or change the file. Yes Yes Information protection - Provides guidelines to users and administrators about the storage, transmission, and protection of sensitive information. Defines information sensitivity levels. Goal to ensure information is protected properly. Defines sho has access to information. Defines how to store and transmit sensitive information at various levels. Defines what systems sensitive information can be stored on. Where information can be printed. Removal of sensitive information, scrub hard drive, shread paper, degaussing. Yes Yes 21 Políticas Requeridas y en uso Para determinar las estadísticas de políticas requeridas vs desarrolladas, se contabilizó las requeridas en la tabla de referencia (ver Tabla 4.2), que totalizaron trece (13). De estas trece (13), once (11) fueron establecidas e implantadas. Esto impone que un 84.6% de las Políticas requeridas están desarrolladas y el 100% de las desarrolladas están implantadas. Actualidad de Políticas En cuanto a la actualidad de las Políticas se obtuvo la siguiente información: Gráfica Tiempo de implantación de las Políticas Requeridas 73

74 De las trece (13) Políticas Requeridas, once (11) ya fueron implantadas y de estas hay dos que tienen una vigencia o edad que excede el máximo utilizado de 24 meses. Esto significa que un 81.8% de las Políticas implantadas tienen una actualidad aceptable. Diseminación de Políticas Para determinar el grado de diseminación de las Políticas se utilizó el Cuestionario, en su pregunta número seis (6). Los datos obtenidos fueron: Gráfica 4.3 Porciento de diseminación de Políticas entre usuarios participantes Como se observa en estos datos, un 61.3% de los usuarios que contestaron el cuestionario, indican que sí han leído las Políticas del SUAGM, contrastando con un 38.7% de los usuarios que no las han leído. Esto indica que la diseminación de estas no ha sido efectiva, el porciento de diseminación aceptable es de un 70%, según observado en las mejores prácticas de implantación. Esto significa que están un 8.7% por debajo de la expectativa o mejor práctica. Para reforzar los datos de diseminación de las Políticas, se analizaron datos de cómo los usuarios evalúan las mismas. Para esto, se utilizaron otras 74

75 respuestas del cuestionario (p7 y p8), de éstas se obtuvo información valiosa para determinar el grado de satisfacción y cuán conformes están los usuarios con las políticas aplicadas. Los resultados de estas preguntas se detallan a continuación: Gráfica 4.4 Evaluación de Políticas implantadas Se observa que entre las calificaciones de Excelente, Buena y Aceptable, hay un 87.2% de los usuarios, lo cual indica que la gran mayoría entiende que las Políticas implantadas y diseminadas son adecuadas. Gráfica 4.5 Satisfacción con las Políticas implantadas y diseminadas 75

76 Por otro lado, al ver los resultados de cuántos usuarios mejorarían estas Políticas, contrasta negativamente con la gráfica de satisfacción pues un 49.5% de éstos mejoraría las políticas vs un 39% que las dejaría como están. Estos datos, aunque no afectan los resultados que se utilizan para aceptar o rechazar las hipótesis, servirán para las conclusiones y para las recomendaciones. Área de Seguridad Adecuada La herramienta utilizada para medir el grado de vulnerabilidad, si alguno, de los equipos y/o componentes inalámbricos, fue Languard de GFI. Los reportes de vulnerabilidades arrojaron que efectivamente la Red está implantada y configurada apropiadamente. El reporte que se produce, indica las vulnerabilidades, clasificadas en las de seguridad crítica, de seguridad mediana y las de seguridad sencilla. También incluye, en algunos casos, los pasos a seguir para subsanar la situación. Estos reportes no requieren de mucha explicación, son bastante sencillos de analizar y conocer las medidas a seguir, desde las más críticas hasta las de menor sensibilidad. Vulnerabilidades de Seguridad Crítica En el primer informe de vulnerabilidades se confirma que la configuración hecha a los Puntos de Acceso ( AP s ) fue efectiva y al verificarlos no reflejan ninguna vulnerabilidad crítica. Esto impone que un 0% de vulnerabilidades críticas fue encontrado, este porciento es excelente en términos de implantación de seguridad apropiada. A continuación se muestran algunos de los resultados: 76

77 Figura Reporte de Vulnerabilidades Críticas ejecutado a Puntos de Acceso ( AP s ) Vulnerabilidades de Seguridad Mediana o Sencilla Otro tipo de vulnerabilidades puede ser encontrado, algunas conocidas y aceptadas por los tipos de puertos que requiere implantar equipos para estos tipos de acceso. Es por eso que al ejecutar procesos para determinar vulnerabilidades, se debe conocer las que son aceptadas o que no impactarán adversamente el comportamiento de la Red Empresarial. En la próxima figura (4.2), se demuestran vulnerabilidades en los equipos, pero que son aceptadas y necesarias para la operación de los mismos. 77

78 Figura 4.2 Reporte de Vulnerabilidades Medianas ejecutado a Puntos de Acceso En la figura anterior, se ven tres (3) equipos, de once (11) evaluados, que tienen vulnerabilidades, pero aceptadas y de menor riesgo. Esto reafirma que la configuración hecha, es apropiada y está dentro de los parámetros de una configuración segura. Otras consideraciones de Seguridad Por la importancia que tiene el aspecto de seguridad, se añadieron a los análisis de vulnerabilidades, otras consideraciones. Se evaluaron los accesos y se valida que en todos había presencia de Redes Virtuales, Administrativa, Académica y la de acceso sin restricciones o Hot Spot. En el diagrama a continuación se demuestra la distribución y topología de estas Redes Virtuales: 78

79 Figura 4.3 Ejemplo de Redes Virtuales con las que se manejan los accesos inalámbricos en las Instituciones Para ampliar la gráfica anterior, que demuestra la distribución de Redes Virtuales básicamente, se debe destacar que en la porción privada ( Private VLAN ), se contienen en realidad dos redes virtuales, la Administrativa y la Académica. También se evaluaron los puntos de acceso ( AP s ) instalados en las diferentes áreas y se confirmó que tienen las tres Redes Virtuales activas y a través de los equipos de seguridad que los manejan, es que se establecen los posibles accesos entre Redes. Para validar que no hay vulnerabilidades entre las áreas, se trató de acceder áreas desde cada punto de acceso ( AP ) y no se logró. Esto valida que el equipo utilizado tiene la seguridad necesaria. A continuación se demuestran algunas de las muchas formas de controlar accesos que tienen este tipo de equipo de seguridad: Figura 4.4 Controles de accesos o filtros configurables en los equipos de seguridad ( Allowed Control Filtres ) 79

80 Capacidad de acceso del usuario con este tipo de Seguridad Por último, aunque no menos importante, al evaluar el grado de satisfacción de los usuarios con relación a los accesos se encontraron los siguientes resultados: G ráfica 4.6 Satisfacción de los usuarios en los accesos inalámbricos provistos Se observa que entre los resultados de Excelente y Bueno, totalizan doscientos ochenta y seis (286) para un 61.8% entre ambos. Al sumarle a estos los resultados que indican que los accesos son aceptables, que son ciento cuarenta y uno (141) y significan un 30.5%, se totaliza un nivel de satisfacción de un 92.3%, que es excelente. Análisis de las hipótesis y resultados según análisis estadísticos En este estudio se desea analizar Cómo inciden y/o afectan las Políticas implantadas y diseminadas en los Sistemas Universitarios para que la implementación de sus Redes Inalámbricas sea adecuada y provea para los 80

81 requerimientos de los diferentes usuarios? y Cuan segura es la implementación de la Red Inalámbrica en una Institución Universitaria, partiendo de la topología que esta tenga y los diferentes requisitos de accesos que tienen las respectivas áreas de trabajo o acceso? Para poder llegar a las contestaciones de estas preguntas, se utilizan las pruebas de las hipótesis, junto a los resultados, variables y otros indicadores estadísticos y/u operacionales para poder aceptar o rechazar las hipótesis nulas. El procedimiento que se utilizara para la prueba de hipótesis de proporciones es el de nivel de significancia, que se realiza como se demuestra a continuación: 1. Especificar la hipótesis nula y alternativa. Hipótesis Nula: H 0 P % Hipótesis Alternativa: H a P %, donde P = la proporción de la variable a evaluarse 2. Especificar el nivel de significancia ó, permitido. Utilizaremos un grado de confianza de 95%, que equivale a una.05. Para este grado de confianza el valor crítico de Z es igual a 1.96, según las tablas establecidas a estos efectos. 3. Calcular el error estándar de la proporción especificada en la hipótesis nula. sp donde: p(1 p) n p = proporción especificada en la hipótesis nula. n = tamaño de la muestra. 4. Calcular la estadística de prueba: 81

82 z ( proporción _ observada) ( proporción _ H 0 ) sp 5. La hipótesis nula se rechaza o se acepta de acuerdo al valor de la Z calculada en relación al valor crítico de Z. En la próxima sección se detallan estos análisis y resultados para cada hipótesis y sus componentes o sub-hipótesis. Hipótesis 1 H10 No se necesita una revisión total de la política de seguridad para entender adecuadamente cómo se debe implantar una política de seguridad que cumpla con las metas actuales de seguridad en la empresa. No es importante considerar que las redes inalámbricas son de tipo de alto riesgo y que pueden comprometer la Red empresarial pero a su vez deben tener la suficiente flexibilidad como para poder servir las áreas académicas y de investigación. H1A - Se necesita una revisión total de la política de seguridad para entender adecuadamente cómo se debe implantar una política de seguridad que cumpla con las metas actuales de seguridad en la empresa. Es importante considerar que las redes inalámbricas son de tipo de alto riesgo y que pueden comprometer la Red empresarial pero a su vez deben tener la suficiente flexibilidad como para poder servir las áreas académicas y de investigación. 82

83 Para aceptar o rechazar esta Hipótesis, se crean las siguientes subhipótesis, que están directamente asociadas a las variables analizadas previamente. Con los resultados obtenidos, podremos hacer los cálculos estadísticos requeridos para aceptar o rechazar cada una de estas sub-hipótesis. Sub-hipótesis uno (1) con su análisis y resultados: H10-1 Hay menos de un 80% de las políticas requeridas ya desarrolladas. Políticas establecidas / Políticas requeridas <.80 H1A-1 - Hay un 80% o más de las políticas requeridas ya desarrolladas. Políticas establecidas / Políticas requeridas >=.80 Hipótesis Nula: H 0 P 0.80 Hipótesis Alternativa: H 0 P 0.80 sp z 0.80(1 0.80) La hipótesis nula se rechaza porque el valor de Z calculado, 0.41, es menor que el valor crítico Z de Se concluye, con un 95 por ciento de confianza (1.95 ), que más de un 80 por ciento de las Políticas requeridas, están desarrolladas. Sub-hipótesis dos (2) con su análisis y resultados: H10-2 Hay menos de un 80% de las políticas desarrolladas ya implantadas Políticas desarrolladas / Políticas implantadas <.80 83

84 H1A-2 - Hay un 80% o más de de las políticas desarrolladas ya implantadas Políticas desarrolladas / Políticas implantadas >=.80 Hipótesis Nula: H 0 P 0.80 Hipótesis Alternativa: H 0 P (1 0.80) sp z La hipótesis nula se rechaza porque el valor de Z calculado, 1.65, es menor que el valor crítico Z de Se concluye, con un 95 por ciento de confianza (1.95 ), que más de un 80 por ciento de las Políticas desarrolladas, están diseminadas. Sub-hipótesis tres (3) con su análisis y resultados: H10-3 Menos del 80% de las Políticas implantadas tienen una vigencia de más de 2 años. H1A-3 El 80% o más de las Políticas implantadas tienen una vigencia de 2 años o menos. Hipótesis Nula: H 0 P 0.80 Hipótesis Alternativa: H 0 P 0.80 sp z 0.80(1 0.80)

85 La hipótesis nula se rechaza porque el valor de Z calculado, 0.15, es menor que el valor crítico Z de Se concluye, con un 95 por ciento de confianza (1.95 ), que más de un 80 por ciento de las Políticas implantadas tienen una vigencia aceptable. Sub-hipótesis cuatro (4) con su análisis y resultados: H10-4 Menos de un 70% de los clientes contestó ha leído las normas y políticas de uso de la Red Inalámbrica del SUAGM (contestó Sí en la pregunta número 6 del cuestionario). H1A-4 - Más de un 70% de los clientes ha leído las normas y políticas de uso de la Red Inalámbrica del SUAGM (contestó Sí en la pregunta número 6 del cuestionario). Hipótesis Nula: H 0 P 0.70 Hipótesis Alternativa: H 0 P 0.70 sp z 0.70(1 0.70) La hipótesis nula se acepta porque el valor de Z calculado, -4.09, es mayor que el valor crítico Z de Se concluye, con un 95 por ciento de confianza (1.95 ), que menos de un 70 por ciento de las Políticas implantadas han sido leídas por los usuarios. A continuación los resultados de la segunda Hipótesis: 85

86 Hipótesis 2 H20 - Toda red con este tipo de impacto (vulnerabilidad), no tiene que ser implantada en un segmento independiente, ni pasar por tipos de filtros o controles como Firewalls y a su vez con políticas que restrinjan los diferentes tipos de accesos entre las redes, muy en particular protegiendo la parte privada de la Red, en donde residen los Sistemas primordiales y sensitivos de la empresa. H2A - Toda red con este tipo de impacto (vulnerabilidad), tiene que ser implantada en un segmento independiente, pasando por tipos de filtros o controles como Firewalls y a su vez con políticas que restrinjan los diferentes tipos de accesos entre las redes, muy en particular protegiendo la parte privada de la Red, en donde residen los Sistemas primordiales y sensitivos de la empresa. Al igual que en la primera Hipótesis, para aceptar o rechazar esta, se crean las siguientes sub-hipótesis, que están directamente asociadas a las variables analizadas previamente. Con los resultados obtenidos, podremos aceptar o rechazar cada una de estas sub-hipótesis. A continuación las sub-hipótesis con el análisis y resultados: Sub-hipótesis uno (1) con su análisis y resultados: H20-1 Hay más de un 10% de vulnerabilidades en el Análisis efectuado H2A-1 - Hay menos de un 10% de vulnerabilidades en el Análisis efectuado Hipótesis Nula: H 0 P 0.10 Hipótesis Alternativa: H 0 P

87 sp 0.10(1 0.10) z La hipótesis nula se rechaza porque el valor de Z calculado, 3, es igual al valor crítico Z de 3. Se concluye, con un 99.7 por ciento de confianza (1.997 ), que hay menos de un 10 por ciento de vulnerabilidades. En la parte de análisis de vulnerabilidades, aunque se hicieron esfuerzos adicionales para validar la estructura y seguridad de la implantación, basamos la validación o rechazo de la Hipótesis nula en los resultados obtenidos de la herramienta utilizada para esto, Languard de GFI. Los reportes de vulnerabilidades arrojaron que no hay vulnerabilidades críticas en la Red, esto impone que la Red está implantada y configurada apropiadamente, en términos de seguridad. Incluyendo los demás análisis que se realizaron, tratando de lograr conexión a componentes y/o áreas delicadas, esto no se logró. Con esta evidencia, definitivamente se tiene que rechazar la Hipótesis nula pues no existe ningún porciento de vulnerabilidad en esta porción de la Red. Sub-hipótesis dos (2) con su análisis y resultados: H20-2 Menos de un 75% de los clientes contestó Excelente, Bueno o Aceptable en cuanto a la calidad del servicio de acceso a la Red Inalámbrica del SUAGM (pregunta número 4 del cuestionario). 87

88 H2A-2 - Mas de un 75% de los clientes contestó Excelente, Bueno o Aceptable en cuanto a la calidad del servicio de acceso a la Red Inalámbrica del SUAGM (pregunta número 4 del cuestionario). Hipótesis Nula: H 0 P 0.75 Hipótesis Alternativa: H 0 P 0.75 sp z 0.75(1 0.75) La hipótesis nula se rechaza porque el valor de Z calculado, 8.65, es mayor que el valor crítico Z de Se concluye, con un 95 por ciento de confianza (1.95 ), que más de un 75 por ciento de los usuarios entienden que los accesos requeridos a través de la Red Inalámbrica son adecuados. Resumen de la evaluación y resultados de las Hipótesis Para facilitar la evaluación total de las sub-hipótesis contenidas en las hipótesis, junto a los resultados obtenidos de las evaluaciones y estadísticas de éstas, se han tabulado los resultados finales para cada una (ver Tabla 4.3). Con esta tabulación se complementa la información que será utilizada para la redacción y confección de las conclusiones finales así como las recomendaciones que surgirán de estas. Tabla 4.3 Determinación de aceptación o rechazo de Hipótesis 88

89 Nota: El porciento de confianza es de 95% (1.95 ) * El porciento de confianza es de 99.7% (1.99 ) 89

90 Conclusión En este capítulo se presentaron los resultados de los datos recolectados y los análisis estadísticos realizados a estos. Los datos se obtuvieron a través del Cuestionario impartido, las intervenciones de seguridad, las reuniones sostenidas para obtener la información relacionada a las Políticas, Infraestructura de Red, etc. y la información recolectada en la Internet, relacionada a las mejores prácticas en las que se basaron algunas de las variables y sub-hipótesis. Para facilitar la evaluación de toda esta información, se distribuyó la información de cada una de las hipótesis y sub-hipótesis formuladas, acompañándolas de los datos obtenidos para cada una así como los resultados de los análisis estadísticos efectuados. De esta forma se provee una estructura analítica más fácil de interpretar al momento de llegar a conclusiones y formular recomendaciones. Con la data recolectada, los análisis estadísticos realizados, evaluados, tabulados y relacionados, se puede proceder al próximo capítulo, en el que se expondrán las conclusiones a las que se llegó. También se harán las recomendaciones que se entiende son pertinentes así como las próximas etapas posibles dentro del entorno de esta investigación. 90

91 CAPÍTULO V CONSLUSIONES, APORTACIONES Y RECOMENDACIONES Introducción En este capítulo se utilizan los hallazgos y resultados obtenidos de la investigación y se formulan las conclusiones así como las recomendaciones. Comienza por las conclusiones y aportaciones, continúa con las recomendaciones, tanto para implantaciones existentes como para futuras investigaciones y finaliza con las limitaciones y la conclusión final. Conclusiones Como bien señala el título de la Investigación, El impacto de implantar una Red Inalámbrica segura en un Sistema Universitario para los diferentes tipos de accesos requeridos, mucho tiene que ver el tipo de acceso que se requiere para determinar si la implantación es adecuada. Como indica Ramón Bayán en su artículo sobre su caso de implantación de Redes Inalámbricas, La tipología de usuario final define las características de la red wireless. El servicio wireless de la UOC permite la conectividad a la red por un lado del personal externo a la universidad que nos visita puntualmente y por otro lado al personal de gestión de la propia Universidad, que por diversos motivos hace uso frecuente de un mismo portátil como estación de trabajo permanente o bien aquel personal que se desplaza por las diferentes ubicaciones de la universidad ya sea para mantener una reunión, etc..., y necesita conexión a la intranet de la Universidad (Bayán, 2003). 91

92 Por el lado de seguridad tenemos varias comparables, entre estas el caso del Departamento de Ingeniería de la Universidad Autónoma de México, en la que se hicieron análisis semejantes a los realizados por el Investigador, en una parte de su estudio indican los siguiente, y cito La seguridad en cómputo tiene un costo en recursos (humanos, económicos, de tiempo), por lo cual, no siempre es asequible tener lo último ni lo más caro; en determinados casos el costo de la seguridad puede llegar a superar el costo de pérdida de lo que estamos protegiendo, por lo cual es importante definir los límites o rangos sobre los cuales se trabajará. (Rodríguez Hernández, 2006) Conclusiones sobre Políticas No empece al resultado de diseminación obtenido de las tablas confeccionadas con los datos reportados por el personal administrativo, cuando hacemos referencia a los resultados del Cuestionario, un 61.3% de los usuarios que contestaron el cuestionario, indican que sí han leído las Políticas del SUAGM, contrastando con un 38.7% de los usuarios que no las han leído. Entre los usuarios que leyeron las Políticas, un 49.5% sugieren que se deben revisar y mejorar las mismas. Un 39% de estos mismos usuarios indican que no se tiene que revisar y/o modificar las Políticas y un 11.5%, sencillamente indicaron que no habían leído las Políticas. En las múltiples lecturas, al igual que a través del estudio, se confirma que el usuario de las Redes Inalámbricas de las Universidades puede ser desde un visitante, un estudiante (interno o externo), Facultad, Investigadores, Personal Administrativo, etc. Esto impone que la implantación, diseminación y puesta en 92

93 función de Políticas adecuadas es vital, muy en particular por la diversidad de posibles usuarios y accesos. Sin la debida diseminación y certeza de que las Políticas están en pleno conocimiento del usuario, las gestiones de desarrollo, actualidad, etc., quedan rezagadas y pierden efectividad. Por el grado confiabilidad y certeza de nuestros análisis, que cuentan con un 95 por ciento o más de confianza, reafirmamos que hace falta una revisión y/o re diseminación de las Políticas existentes en el SUAGM, de forma que se aseguren de que las mismas llegan al usuario final. Conclusiones sobre Seguridad Cuando se analizan las tendencias del mercado, observadas en las diferentes lecturas, que apuntan a que cada día se utilizará más la tecnología inalámbrica, se deben tomar en serio estas implantaciones. Se debe ser cauteloso, en especial en el ambiente académico, tanto para accesos de estudiantes a recursos como para facultad e investigadores poder tener accesos y colaboraciones efectivas con esta tecnología. La utilización de tecnología inalámbrica, es fácil de implantar pero altamente vulnerable y poco segura si no se implanta adecuadamente. Al extender el entorno de investigación, particularmente en el área de Seguridad, se pudo observar que la segregación de los servicios es adecuada, teniendo independencia y seguridad entre los servicios principales y neurálgicos de la Empresa, otros niveles en los servicios académicos y finalmente ofreciendo el servicio sin restricciones o Hot Spot deseado por la administración. Todos 93

94 éstos cuentan con los controles necesarios para que no se entrelacen o que personal con acceso a un área, pueda acceder la que no está autorizada. Cuando se observan y analizan los informes de vulnerabilidad obtenidos al ejecutar procesos de evaluación a los equipos de conexión, así como a los equipos de seguridad en la Red Inalámbrica, se observan unos resultados muy alentadores. Estos reportes reafirmaron que las vulnerabilidades eran aceptables, no hubo ninguna crítica, o sea, la implantación, en términos de seguridad, es apropiada. Para reafirmar que la implantación de la Red es adecuada, más de un 75% de los usuarios indicó que los accesos que tienen a través de esta son adecuados. Esto es significativo, pues aún teniendo los niveles de seguridad y los controles necesarios para que la Red Inalámbrica no está vulnerable, la percepción del usuario es que logra sus objetivos utilizando esta. En este estudio se delimitaron unas variables y se utilizó una medida de vulnerabilidad aceptable, pues como se ha observado, lo importante es tener los controles y niveles de acceso adecuados para que la Red Inalámbrica sea lo suficientemente segura. Tratar de tener una Red impenetrable, es mucho más costoso que tener una segura, dentro de los parámetros de confiabilidad que establece el mercado. Los resultados obtenidos en la investigación, confirman que la implantación en el SUAGM es adecuada, segura y tiene la segregación necesaria para que los accesos a las áreas sensitivas sólo se logren por las personas autorizadas para estos. 94

95 Aportaciones Tomando en consideración los resultados de este estudio, los hallazgos derivados así como la información contenida en las diferentes lecturas utilizadas en este estudio, se considera que el mismo puede ser de gran ayuda para la implantación de unos sistemas de Seguridad adecuados en los Accesos Inalámbricos, tanto en el SUAGM como en cualquier otra entidad educativa. De forma estructurada se evaluó desde el principio todo lo relacionado a la implantación de un Sistema de Acceso Inalámbrico, viendo el mismo en todos sus aspectos, seguridad, niveles de acceso, niveles de administración, cobertura, vulnerabilidades, etc. La metodología utilizada en esta Investigación, fácilmente puede ser utilizada para hacer el equivalente en otras universidades al igual que en empresas privadas. En cualquier tipo de empresa, los accesos inalámbricos tendrán múltiples tipos de requerimientos de acceso, por lo que la implantación debe seguir las mismas guías y recomendaciones indicadas en este estudio. Aportaciones específicas Como parte de la investigación, se ha acordado con la gerencia del SUAGM, que el resultado de este estudio será entregado, junto a un informe de hallazgos y recomendaciones, con el propósito de que puedan evaluar los mismos y poner en práctica los que entiendan son adecuados y pertinentes a su entidad e Instituciones Afiliadas. La metodología utilizada en este estudio puede ser utilizado para cualquier institución universitaria que tenga una implantación de Red Inalámbrica, ya 95

96 está propuesto en la UIC de Bayamón para que la analicen y determinen si es apropiada para ellos. Se encontró mucha literatura de cómo las universidades han implantado sus respectivas Redes Inalámbricas, pero no existe o al menos no se encontró, un estudio o investigación que valide que la implantación es adecuada y haga recomendaciones sobre la misma. Por considerar aspectos de seguridad en el entorno Académico y de Investigación, como en el Administrativo, los hallazgos de esta investigación pueden ser utilizados efectivamente por la empresa privada así como por farmacéuticas y otros. La implantación de Redes Inalámbricas en términos de segregación y seguridad, fácilmente puede ser emulada en implantaciones de Redes alambradas. Los hallazgos de esta investigación pueden ser utilizados para cualquier tipo de implantación de Red. Recomendaciones Como en todo estudio, hay cabida para mejorar la forma, metodología, participación, lecturas e intervenciones realizadas para el mismo. A continuación se detallan algunas recomendaciones para futuros estudios semejantes o para continuar éste. Recomendaciones Generales Realizar el estudio en la totalidad de localidades de la institución que se determine usar para la investigación, así se obtendrán datos más detallados y con posibilidad de un alcance mayor. Si se desea extender este estudio y 96

97 seguir utilizando al SUAGM, extenderlo a las demás localidades o Centros Universitarios. Tratar de que el cuestionario llegue a más usuarios para que arroje datos de un grupo mayor de participantes. Expandir el ámbito de la investigación y añadir áreas de interés o impacto, sin extenderse demasiado para no viciar los resultados. Incorporar al área de estudio, la capacidad de accesos en términos de cobertura, capacidad (anchos de banda) y calidad (velocidad). Incorporar otras metodologías a la investigación para obtener otros datos que puedan ayudar o incidir en este tipo de implantaciones. Incorporar al estudio otro tipo de empresa, sean públicas, privadas, gubernamentales, con o sin fines de lucro. Recomendaciones al SUAGM u otras universidades o entidades con implantaciones semejantes A la entidad utilizada para hacer la investigación se le pueden hacer varias recomendaciones, que aplican a cualquier Institución Educativa así como a empresas privadas que tengan implantaciones de Redes Inalámbricas semejantes. Las recomendaciones son las siguientes: Continuar la implantación de los servicios inalámbricos utilizando tecnologías de vanguardia y que se replique la misma en las demás localidades y/o Centros Universitarios. Implantar estos mecanismos en las demás localidades y/o Centros Universitarios, será mucho más fácil, 97

98 particularmente teniendo ya las Políticas revisadas, los procedimientos al día y la forma en que se deben integrar las diferentes tecnologías de múltiples fabricantes. Hacer un estudio de necesidades para completar la disponibilidad de accesos inalámbricos en todas las áreas donde es posible permitirlo, de forma que se amplíe la capacidad de estos accesos en las instituciones. Este estudio debe estar acompañado de la solicitud presupuestaria correspondiente para mitigar esta posible limitación al momento de la implantación. Confirmar que se tienen unos controles de implantación que aseguren que al momento de adquirir equipos de Redes, muy en particular equipos para accesos inalámbricos, se valide que los mismos son fabricados siguiendo los estándares de la industria. Un producto que no sigue los estándares de la industria, no puede ser utilizado si se quiere mantener homogeneidad y compatibilidad entre los productos que ya están utilizándose. Aunque los datos obtenidos de la administración indican que estas políticas están desarrolladas, emitidas y establecidas, la reacción del usuario no confirma esto. Esta reacción del usuario indica que la diseminación de las Políticas no ha sido efectiva o que sencillamente, aunque las hayan recibido, no las han leído. Es importante revisitar esta diseminación y asegurarse de que sea efectiva y llegue al usuario final. El éxito en mantener una Red Empresarial al día y a la vanguardia, dependerá de que los responsables de las áreas técnicas se mantengan informados y al día en las tecnologías emergentes. Esto sin permitir o 98

99 desvirtuar las mejores prácticas de implantación y mucho menos permitir que se abran brechas de seguridad por utilizar tecnologías nuevas. Mantenerse al día deberá ser una tarea rutinaria del personal técnico y la gerencia deberá asegurarse de que se le proveen los mecanismos para lograr este objetivo. Limitaciones La cantidad de usuarios que reaccionaron al cuestionario, fueron cuatrocientos sesenta y uno (461) de los mil ochocientos sesenta y siete (1,867) que tiene el SUAGM, para un 24.7% de la totalidad de usuarios, entiéndase Facultad, Investigadores y Personal Administrativo, pues los estudiantes no fueron considerados. Si se hubiera contado con más participación, el resultado pudo haber sido distinto, aunque el grado de confianza del mismo es adecuado. Por los comentarios obtenidos en los cuestionarios, muchos de los que contestaron el mismo, no necesariamente entendieron el propósito del mismo, no empece a la explicación detallada que se brindó. Se pudo haber utilizado otros constructos o áreas para la investigación datos más amplios de la implantación, pero se consideró apropiado comenzar con pocos y luego hacer una segunda y hasta tercera etapa de la investigación. 99

100 Áreas internas de la Red pueden ser consideradas para ampliar el nivel de acceso de las mismas, esto puede arrojar más información en futuras fases de la investigación. Conclusión Este capítulo resume lo que resulta del estudio, exaltando las conclusiones a las que se llega y delineando las recomendaciones, tanto internas al SUAGM como a otras entidades, educativas o no. Hay que resaltar la forma en que se desarrolla y realiza la investigación, el detalle de los datos evaluados y los obtenidos, así como la metodología utilizada en todo el proceso. El valor de los resultados para la institución en la que se realiza, son importantes pues le pondrán en perspectiva de lo que tienen implantado y las áreas de oportunidad que tienen para llevar su servicio de conexión inalámbrico a uno de excelencia. Más importante aún es el resultado consecuente de esta investigación, el desarrollo de una metodología para poder realizar este tipo de evaluación en cualquier institución universitaria, así como en la empresa privada, gobierno, etc. Esto impone que la investigación se convierte en un producto que puede ser presentado en otras universidades u otras empresas y se utilice para analizar y mejorar su entorno. No sólo se puede utilizar esta metodología para entornos de redes inalámbricas, es totalmente transportable a cualquier tipo de entorno de Red, interna (Intranet), externa (Internet), local (LAN) o extendida (WAN), pues la forma operacional de todas es semejante. Podemos concluir que el tercer objetivo de la 100

101 investigación, (Identificar y desarrollar la metodología apropiada para estos objetivos, de forma que se pueda utilizar esta en otras Instituciones Educativas, Empresas o cualquier entorno que así lo permita al igual que en futuras investigaciones o cuando se desee extender el ámbito de esta investigación) se cumplió a cabalidad y se convierte en la aportación de más impacto e importancia del proyecto de investigación. 101

102 Referencias A Logistic Regression Analysis to examine factors affecting broadband adoption in the UK - A Tutorial on Survey Instruments Aplicación de la Disciplina de administración de riesgos de seguridad Conceptos básicos de Seguridad en Redes, Actualizado en Agosto Diagrama del proceso de la investigación Introducción a la Seguridad Informática Diseño de Investigación El factor humano: el mayor riesgo para la seguridad informática, Publicada por DragoN en Artículos sobre seguridad Especial seguridad en entornos inalámbricos - SEGURIDAD EN ENTORNOS INALÁMBRICOS UNIVERSITARIOS, Antonio Ruiz Moya, Director del Centro de Servicios de Informática y Redes de Comunicaciones (CSIRC) de la Universidad de Granada (UGR) - Evolución de las redes inalámbricashttp:// Hotspot - Impulso a la implantación y certificación de SGSI en la PYME. Information Security Compliance - ISO 27002: Jun09.pdf 102

103 La relación entre Empiria y Teoría Metodologías de Investigación. Modelo para el diseño de una Investigación Educativa - Normativa de Política de Seguridad de la Red de Comunicaciones (Aprobado en Consejo de Gobierno de 30 de marzo de 2006 y publicado en el BO-UCLM nº 91 de abril de 2006). ion_economia_comunicacion1.pdf Planificar un proyecto de investigación - Política de Seguridad y Uso de la Red Inalámbrica de la UIA de Bayamón Políticas Informáticas: Conceptos y Estructura Red Inalámbrica, Resolución de problemas Universidad Autónoma de Madrid Redes Inalámbricas - implementando las Mejores Prácticas de Seguridad Informática para WIFI, por Ramon Bayán - Redes Locales Inalámbricas Reingeniería - OSSMIN EUCEDA (rental_office@hotmail.com) Security Policies Seguridad en Redes Inalámbricas, Trabajo de Ampliacion de Redes Universidad de Valencia Seguridad Informática. Tema: Hackers Sistema de Puntos de Acceso Inalámbricos para acceso público, Leovinci Consulting, S.L. 103

104 Tabla objetivos y contenidos módulo/crédito pdf Técnicas de trabajo: observación, investigación, redacción, presentación Tecnología inalámbrica - Protección de las redes inalámbricas The Business Justification for Wireless Intrusion Prevention Airtight Networks The Development and Validation of a Survey Instrument for the Evaluation of Instructional Aids Conceicao_The_Development_and_Validation_of_a_Survey_Instrument.pdf The Validation of a Measurement Instrument Tipos de Investigación - Por Tevni Grajales G. Trends in Insider Compliance with Data Security Policies Employees Evade and Ignore Security Policies - Sponsored by IronKey, Independently conducted by Ponemon Institute LLC, Publication: June 2009 Understanding Factors Affecting Consumer Adoption of Broadband in India Understanding ISO Universidad de los Andes, Servicio de Red Inalámbrica Uso del modelo - WiFi and Wireless network limitations - Wireless Objectives, Limitations and Technical Overview 104

105 Apéndice A - Instrumento de Evaluación de Accesos a Servicios de la Red Inalámbrica del SUAGM Saludos, como requisito para completar el Grado Doctoral en Sistemas de Información de la Escuela Graduada de Negocios y Empresarismo de la Universidad del Turabo, es necesario realizar una investigación. Por tal motivo, les solicito su colaboración para tomar unos minutos de su tiempo y completar la siguiente evaluación electrónica en torno a los accesos a los servicios de la red inalámbrica del Sistema Universitario Ana G. Méndez. Favor de seleccionar la mejor alternativa: 1) Indique a qué grupo de usuario pertenece: Estudiante Facultad Asociado Administrativo 2) Indique el área a la que accede mayormente al conectarse a la Red Inalámbrica: 3) Ha logrado acceder servicios internos (Servicios Administrativos (Banner), Servicios Académicos, etc.) desde un área pública o Hot Spot? SI NO 4) Indique cómo califica el servicio de acceso a la Red Inalámbrica del SUAGM? Excelente Bueno Aceptable Deficiente Inaceptable 5) Indique si ha observado inestabilidad cuando está accediendo la Red Inalámbrica: SI NO 6) Indique si ha leído las normas y políticas de uso de la Red Inalámbrica del SUAGM: SI NO 7) Si contestó SI a la pregunta anterior, indique como evalúa la Política actual de Uso de la Red Inalámbrica del SUAGM: 8) Si contestó SI a la pregunta número 6, indique si mejoraría la Política actual de Uso de la Red Inalámbrica del SUAGM: 9) Comentarios o sugerencias: Muchas gracias por su colaboración en esta investigación. Submit Survey 105

106 Apéndice B Survey Results & Analysis Survey Results & Analysis for Instrumento de Evaluación de Accesos a Servicios de la Red Inalámbrica del SUAGM Sunday, June 13, 2010 Powered by Vovici EFM m 106

107 Executive Summary This report contains a detailed statistical analysis of the results to the survey titled Instrumento de Evaluación de Accesos a Servicios de la Red Inalámbrica del SUAGM. The results analysis includes answers from all respondents who took the survey in the 36 day period from Thursday, May 6, 2010 to Thursday, June 10, completed responses were received to the survey during this time. 107

108 Survey Results & Analysis Survey: Instrumento de Evaluación de Accesos a Servicios de la Red Inalámbrica del SUAGM Author: Filter: Responses Received: 467 Indique a qué grupo de usuario pertenece: 108

109 Indique el área a la que accede mayormente al conectarse a la Red Inalámbrica: 109

110 Ha logrado acceder servicios internos (Servicios Administrativos (Banner), Servicios Académicos, etc.) desde un área pública o Hot Spot? 110

111 Indique cómo califica el servicio de acceso a la Red Inalámbrica del SUAGM? 111

112 Indique si ha observado inestabilidad cuando está accediendo la Red Inalámbrica: 112

113 Indique si ha leído las normas y políticas de uso de la Red Inalámbrica del SUAGM: 113

114 Si contestó SI a la pregunta anterior, indique como evalúa la Política actual de Uso de la Red Inalámbrica del SUAGM: 114