PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR SEDE IBARRA (PUCE-SI) ESCUELA DE INGENIERÍA INFORME FINAL DEL PROYECTO

Tamaño: px
Comenzar la demostración a partir de la página:

Download "PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR SEDE IBARRA (PUCE-SI) ESCUELA DE INGENIERÍA INFORME FINAL DEL PROYECTO"

Transcripción

1 PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR SEDE IBARRA (PUCE-SI) ESCUELA DE INGENIERÍA INFORME FINAL DEL PROYECTO METODOLOGÍA PARA EL ANÁLISIS INFORMÁTICO FORENSE DEL GOBIERNO PROVINCIAL DE IMBABURA (GPI) LÍNEA DE INVESTIGACIÓN: I: 4 Investigación de nuevas tendencias tecnológicas PREVIO A LA OBTENCIÓN DEL TÍTULO DE MAGISTER EN GERENCIA INFORMÁTICA AUTORA: ASESOR: JÁCOME ORTEGA ALEXANDRA ELIZABETH DR. MIGUEL ÁNGEL POSSO YÉPEZ. IBARRA, JULIO DEL 2011

2 AUTORÍA Yo, Alexandra Elizabeth Jácome Ortega, portadora de la cédula , declaro bajo juramento que la presente investigación es de mi total responsabilidad y se ha respetado diferentes fuentes de información realizando las citas correspondientes. Alexandra Elizabeth Jácome Ortega

3 PRESENTACIÓN La transversalidad de las acciones en el quehacer particular y grupal, apunta al uso continuo y asiduo de las nuevas tecnologías de la información y comunicación, que como ha sido demostrado en el paso de la historia, todo invento si no es bien utilizado, se convierte en un factor contrario que permite el suceso de contradicciones e incluso de atrocidades convertidas o definidas como delitos. La informática no se excluye de esta apreciación, por ello propongo al lector el siguiente trabajo, que en resumen contiene: En el Capítulo I, referente al marco teórico, se describe brevemente conceptos sobre seguridad informática, informática forense y su importancia en la actualidad. Además, la relación de estos conceptos basados en los principios de seguridad informática y el análisis forense en sistemas informáticos. Su complementariedad se demuestra en los estándares y técnicas para el análisis forense, terminando con una breve descripción del lugar donde se realizó el estudio, esto es, el Data Center del Gobierno Provincial de Imbabura GPI. En el Capítulo II, diagnóstico situacional del GPI, se analiza los antecedentes de la institución, relacionados al objeto de estudio informática forense -, para determinar los objetivos y variables diagnósticas, estudio que permitió definir los principales indicadores, con los cuales se pudo elaborar una matriz de relación. Al ser limitado físicamente y en número de involucrados directos, en la mecánica operativa la muestra se igualó al universo, de quienes se obtuvieron resultados analíticos, utilizando entrevistas, observación directa y documentación existente en la Dirección de Gestión de TIC s del GPI, todos estos insumos sirvieron para establecer el FODA y las estrategias que se deberán tomar para apaliar, solucionar y mejorar la seguridad de la información. Basada en lo expuesto, procedo a determinar el problema diagnóstico. En el Capítulo III, análisis de la situación jurídica en el Ecuador, se pretende sintetizar lo que se ha legislado en nuestro país, referente a los delitos informáticos, al realizar la investigación de campo se encontraron pocas fuentes de información, que al no ser el objeto en sí mismo de la investigación, se tomaron datos de trabajos realizados, fielmente citadas por sus autores, pero que considero importante plasmarlas en la presente

4 investigación. Por lo tanto se hace referencia a la legislación ecuatoriana sobre delitos informáticos, a lo tipificado en el Código Penal vigente y se realiza una alegoría de sucesos de delitos informáticos en el Ecuador, terminando con una clasificación, no formal, pero sí asumida internacionalmente de los tipos de delitos informáticos. En el Capítulo IV, niveles de seguridad, se hace hincapié a la importancia que tiene la seguridad informática en el proceso de un examen forense informático; luego, de toda una gama de estándares, escogemos los principales para describirlos y definir los ámbitos de acción de cada uno de ellos, de tal manera que el perito los tome en cuenta al momento de efectuar una investigación forense, además de que se constituyen en herramientas formales que justifican los razonamientos y conclusiones del mismo. Seguidamente se hace referencia a particularidades de las amenazas a la seguridad informática y comenzamos a identificar las principales amenazas en el GPI, concluyendo con la definición de los niveles de seguridad a implementar. En el Capítulo V, políticas y procedimientos, resalta el hecho de aprender a relacionar la inseguridad con las medidas preventivas y correctivas de los posibles delitos informáticos, inclusive se explica la existencia del riesgo post corrección, ya que la ocurrencia de un delito tiene efectos colaterales y posteriores. Se obtienen insumos para elaborar la Matriz de riesgos en el GPI y de definen puntos de control que deben ser tomados en cuenta constantemente tanto en software como en hardware. Todo ello, conlleva a definir una propuesta de políticas y procedimientos a ser implementados en el GPI para prevenir los riesgos ocasionados por la inseguridad informática. En el Capítulo VI, ingeniería del proyecto, es inverosímil que a estas alturas del desarrollo tecnológico informático y de comunicaciones, aún no se establezca una metodología general aplicado a procedimientos de informática forense, por ello en este capítulo se analiza algunas propuestas no estandarizadas de modelos, técnicas y herramientas que comúnmente se utilizan como metodología de investigación en la informática forense, algunos como el RFC 3227 son acercamientos estandarizados pero que no completan su cometido y otras que han sido implementadas por otros sectores o inclusive gobiernos. Como herramientas forenses, dada la alta gama de delitos informáticos, en el mercado han

5 aparecido muchas herramientas, algunas de código libre, que se orientan a solucionar problemas específicos, pero no existe una que abarque todo un proceso, en este trabajo se las analiza brevemente e igualmente se las ha aplicado en los servidores del GPI. En el Capítulo VII, análisis de impactos, se presenta un análisis prospectivo del impacto: académico, científico, socio cultural y económico que generaría en la provincia y porque no en el país, el diseño e implementación de una metodología para el análisis informático forense del GPI. Cabe señalar que del análisis de la matriz de impactos el resultado fue Medio Positivo. El proyecto culmina con varias conclusiones, fruto de la experiencia en el desarrollo de la metodología propuesta, así como también una serie de recomendaciones en función a los estudios realizados, la experiencia adquirida, comentarios y sugerencias de técnicos en sistemas y jurídicos, con la finalidad de que el lector entienda la importancia, la pertinencia y la vigencia de lo investigado en este proyecto. Las recomendaciones se orientan a proponer al lector continuar con la investigación y asumir que el diseño y desarrollo de una metodología para el análisis informático forense, induzca a las instituciones públicas y privadas a implementar niveles de seguridad tanto en la infraestructura tecnológica como en software que utilizan, a definir políticas y procedimientos a ser implementadas en sus instituciones, para proteger y salvaguardar el entorno informático, red, equipos, aplicaciones y datos.

6 DEDICATORIA A mi esposo, Jorge, intentando expresarle mi amor y gratitud por su apoyo incondicional, su comprensión generosa, su tolerancia infinita a mis anhelos intelectuales. A mis hijos, Kevin y Alexita, razón de mi ser y sentido en la vida, ojalá pueda servirles de ejemplo para su superación en la esperanza que verán un mundo mejor. A mi madre, Olga, que me ha dado la oportunidad de existir y ha forjado en mí el deseo de superación, gracias a su ejemplo y constancia. Alexandra.

7 AGRADECIMIENTO A mi estimado asesor Dr. MIGUEL ÁNGEL POSSO YÉPEZ y a mis maestros, modelos de valor y sabiduría, por su desinteresada y generosa labor de transmisión del saber, su inagotable entusiasmo y sus acertados consejos y sugerencias. Un agradecimiento especial a las Autoridades de la UNIVERSIDAD CATÓLICA DEL ECUADOR Sede Ibarra, y a todas aquellas personas que me han apoyado incondicionalmente permitiéndome realizar mis estudios de postgrado. A todos aquellos que han intervenido en mi formación MUCHAS GRACIAS!

8 ÍNDICE DE CONTENIDOS Pág. ÍNDICE DE CONTENIDOS 8 ÍNDICE DE GRÁFICOS 11 ÍNDICE DE TABLAS 12 INTRODUCCIÓN 14 CAPÍTULO I MARCO TEÓRICO 1.1 SEGURIDAD INFORMÁTICA INFORMÁTICA FORENSE IMPORTANCIA DE LA INFORMÁTICA FORENSE Objetivos de la Informática Forense PRINCIPIOS DE SEGURIDAD INFORMÁTICA SEGURIDAD FÍSICA Tipos de Desastres SEGURIDAD LÓGICA ANÁLISIS FORENSE EN SISTEMAS INFORMÁTICOS Principio de transferencia de Locard ESTÁNDARES, TÉCNICAS Y PROCEDIMIENTOS PARA EL ANÁLISIS FORENSE Estándares Técnicas Proceso de Análisis Forense GOBIERNO PROVINCIAL DE IMBABURA Estructura orgánica del GPI Orgánico Estructural de la Dirección de Tecnologías de la Información y Comunicaciones del GPI Evolución de la Red de Datos y del Software en el GPI. 34 CAPÍTULO II DIAGNÓSTICO SITUACIONAL DEL GOBIERNO PROVINCIAL DE IMBABURA 2.1. ANTECEDENTES DIAGNÓSTICOS OBJETIVOS DIAGNÓSTICOS 36 8

9 2.3. VARIABLES DIAGNÓSTICAS INDICADORES MATRIZ DE RELACIÓN MECÁNICA OPERATIVA Población o Universo Determinación de la Muestra Información Primaria Información Secundaria TABULACIÓN Y ANÁLISIS DE LA INFORMACIÓN Entrevistas Observación Documentos FODA Fortalezas Oportunidades Debilidades Amenazas ESTRATEGIAS FA, FO, DO, DA DETERMINACIÓN DEL PROBLEMA DIAGNÓSTICO 77 CAPÍTULO III ANÁLISIS DE LA SITUACIÓN JURÍDICA EN EL ECUADOR 3.1. ANTECEDENTES LEGISLACIÓN ECUATORIANA SOBRE DELITOS INFORMÁTICOS CÓDIGO PENAL DEL ECUADOR LOS DELITOS INFORMÁTICOS EN EL ECUADOR TIPOS DE DELITOS INFORMÁTICOS 85 CAPÍTULO IV NIVELES DE SEGURIDAD 4.1. SERVICIOS DE SEGURIDAD INFORMÁTICA Importancia de la Seguridad Informática GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN UNE-ISO/IEC Código de buenas prácticas para la Gestión de la Seguridad de la Información Política de Seguridad UNE

10 ISO TIA_ VULNERABILIDAD DE LOS SISTEMAS INFORMÁTICOS AMENAZAS A LA SEGURIDAD INFORMÁTICA Amenazas Lógicas Acceso - Uso - Autorización Identificación de las Amenazas Tipos de Ataques Errores de Diseño, Implementación y Operación Implementación de las Técnicas Cómo defenderse de estos Ataques? NIVELES DE SEGURIDAD A IMPLEMENTAR EN EL GPI. 107 CAPÍTULO V POLÍTICAS Y PROCEDIMIENTOS 5.1 DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD TIPOS DE MEDIDAS DE SEGURIDAD Medidas Físicas Medidas Lógicas Medidas Administrativas Medidas Legales RIESGO RESIDUAL EVALUACIÓN Y GESTIÓN DE RIESGOS Los riesgos considerados en el GPI, se dividen en dos categorías: Matriz de Riesgos en el GPI CONTROLES POLÍTICAS Y PROCEDIMIENTOS A SER IMPLEMENTADAS EN EL GPI 120 CAPÍTULO VI INGENIERÍA DEL PROYECTO 6.1. MODELOS, TÉCNICAS Y HERRAMIENTAS TECNOLÓGICAS UTILIZADAS EN LA METODOLOGÍA DE INVESTIGACIÓN EN LA INFORMÁTICA FORENSE La Evidencia Digital Modelos Conocidos RFC Guía de la IOCE Investigación en la Escena del Crimen Electrónico (Guía DoJ 1) Examen Forense de Evidencia Digital

11 Computación Forense - Parte 2: Mejores Prácticas (Guía Hong Kong) HERRAMIENTAS FORENSES METODOLOGÍA PARA EL ANÁLISIS FORENSE DEL GPI CONCEPTUALIZACIÓN DE LA METODOLOGÍA Revisiones operativas Metodología Aplicaciones de Herramientas Forenses en el GPI 155 CAPÍTULO VII ANÁLISIS DE IMPACTOS 7.1. IMPACTO ACADÉMICO IMPACTO CIENTÍFICO IMPACTO SOCIO CULTURAL IMPACTO ECONÓMICO MATRIZ DE IMPACTOS GENERAL 187 CONCLUSIONES 189 RECOMENDACIONES 192 BIBLIOGRAFÍA 195 GLOSARIO 198 ANEXOS 203 A 1: Cuestionario para la entrevista de los funcionarios del Departamento de Gestión de Tecnologías de la Información y comunicación del GPI. 204 A2: Plan de Trabajo de Grado (Anteproyecto) 206 ÍNDICE DE GRÁFICOS Gráfico 1: Principio de Transferencia Locard 25 Gráfico 2: Mapa Político de la Provincia de Imbabura 30 Gráfico 3: Orgánico Estructural del GPI. 32 Gráfico 4: Orgánico Estructural de la Dirección de Tecnologías de la Información y Comunicaciones del GPI. 33 Gráfico 5: Cuarto de Telecomunicaciones 53 11

12 Gráfico 6: Patch Panels 55 Gráfico 7: Cableado Horizontal 56 Gráfico 8: Conexiones de Cables Directos 56 Gráfico 9: Equipos de telefonía IP obsoletos 58 Gráfico 10: Sistema de aire acondicionado doméstico. 59 Gráfico 11: Fases de: Planificación, Implementación, Seguimiento y mejora continua. 95 Gráfico 12: ISO/IEC (2011) 96 Gráfico 13: ITIL (IT Infraestaructure Library) 96 Gráfico 14: Objetivos de control para tecnologías de la información y similares 97 Gráfico 15: Committe of Sponsoring Organizations of treadway Commission 97 Gráfico 16: Clasificación de la Criticidad de los sistemas para distintas áreas de actividad 99 Gráfico 17: Detalle de Ataques 103 Gráfico 18: Seguridad Multinivel en el GPI 108 Gráfico 19: Gestión del Riesgo en ISO Gráfico 20: Tratamiento del Riesgo 115 Gráfico 21: Proceso de Administración del Riesgo 115 Gráfico 22: Ciclo de Vida de la Administración de la Evidencia Digital. 129 Gráfico 23: Metodología Forense 132 Gráfico 24: Metodología del Análisis Forense GPI 144 Gráfico 25: Fase de Identificación 145 Gráfico 26: Fase de Preservación. 149 Gráfico 27: Fase de Análisis 151 Gráfico 28: Fase de Identificación 153 ÍNDICE DE TABLAS Tabla 1: Datos Principales de la provincia de Imbabura 29 Tabla 2: Matriz Relación GPI 41 Tabla 3: Equipos de control de ingreso y salida de personal 57 Tabla 4: Diagnóstico en Equipos del Cuarto de Comunicaciones 63 Tabla 5: Lista de Servidores del GPI 64 Tabla 6: Equipos de Red del GPI. 64 Tabla 7: Aplicaciones Desarrolladas en la Dirección hasta julio del Tabla 8: Aplicaciones Adquiridas a Terceros 67 Tabla 9: Aplicaciones no concluidas 68 Tabla 10: Estrategias FA, FO, DO, DA 77 Tabla 11: Infracciones informáticas. 83 Tabla 12: Fraudes mediante computadoras 86 Tabla 13: Falsificaciones informáticas 86 Tabla 14: Daños o modificaciones de programas o datos computarizados 88 Tabla 15: Subsistemas de la Infraestructura de un Data Center 98 Tabla 16: Requerimientos de un data Center 99 Tabla 17: TIER - Máximo tiempo fuera de un Data Center 100 Tabla 18: Riesgo Categoría Proceso de Desarrollo en el GPI 116 Tabla 19: Riesgo Categoría Recurso Humano en el GPI. 117 Tabla 20: Riesgo Total - Riesgo Residual del GPI

13 Tabla 21: Detalle físico y lógico para reconocimiento de la Evidencia 126 Tabla 22: Herramientas Forenses Vs Delitos Informáticos 143 Tabla 23 : Ejemplo de Solicitud Forense. 146 Tabla 24: Ejemplo de formato para receptar Efectos del incidente y Recursos Afectados 147 Tabla 25: Niveles de Ponderación 182 Tabla 26: Impacto Académico. 183 Tabla 27: Impacto científico. 184 Tabla 28: Impacto Socio-Cultural 185 Tabla 29: Impacto Económico. 186 Tabla 30: Matriz de Impactos General

14 INTRODUCCIÓN Este trabajo surge por la preocupación que causa la intensificación de la globalización, por el crecimiento vertiginoso y la inconmensurable influencia de la Tecnología Informática en todos los estratos sociales y productivos de la sociedad, debido a la facilidad y comodidad de procesar y gestionar la información, la misma que en muchos casos son el objetivo malicioso de personas mal intencionadas, que aprovechando las vulnerabilidades que presentan las tecnologías tanto en hardware como en software, son capaces de acciones ilegales. El diagnóstico situacional ha confirmado que en el GPI, existen vulnerabilidades tecnológicas en la gestión de la información, debido al poco interés por fortalecer un verdadero Data Center tanto en infraestructura de la red de datos, como en la de software, lo cual se traduce en problemas de seguridad como: robo de información confidencial, espionaje institucional, competencia desleal, etc. La propuesta metodológica que se presenta en este proyecto como parte del intento de dar tratamiento a éste problema sugiere una serie de pasos para originar un espacio de análisis y estudio hacia una reflexión profunda sobre los hechos y las evidencias que se identifican en el lugar donde se llevaron a cabo las acciones no autorizadas o ilegales. El campo del derecho y la aplicación de la justicia, por el aparecimiento de desafíos y técnicas de intrusos informáticos en varias temáticas, llegando desde una simple intromisión hasta verdaderos accesos maliciosos a bases de datos de misión crítica, ha requerido proponer una nueva ciencia que se dedique a realizar el seguimiento postmorten de éstos delitos, esto es el campo de la informática forense. 14

15 CAPÍTULO I MARCO TEÓRICO 1.1 SEGURIDAD INFORMÁTICA Ser lo que soy, no es nada sin seguridad, parafraseaba William Shakespeare ( ), es uno de los tantos ejemplos que se manifiestan a lo largo de la historia, para demostrar que siempre existió el peligro de la inseguridad y me atrevo a señalar que quizás también aquellos conceptos vertidos anteriormente eran más claros que lo que entendemos actualmente, aunque muchas crisis sociales y sobre todo económicas le han colocado al mundo en la pista de la búsqueda de mayor seguridad. Se han introducido de a poco acercamientos para considerar a la Seguridad como una ciencia en pleno apogeo, ya que actividades propias del desarrollo moderno así lo han precisado, por ejemplo hablamos de seguridad social, seguridad ciudadana, seguridad alimentaria, seguridad en el trabajo, seguridad en tránsito vehicular, seguridad informática etc., todas estas disciplinas implican estudios de riesgo, prevención de crímenes y pérdidas, etc. Por lo expuesto, no existe definición única que se ajuste a todo el espectro que abarca este concepto, por ser tan complejo y a la vez abstracto. Seguridad Informática, es el centro de estudio, apareció como consecuencia del desarrollo del flujo de información primero por medios electrónicos, luego los digitales y también por los híbridos, llegando al punto de formarse verdaderas plataformas masivas, como el internet, por donde viaja todo tipo de información, cuyo valor depende de la apreciación de los diferentes grupos sociales que la utilizan, como aquella de misión crítica que se utiliza ampliamente en bancos, aeropuertos, hospitales entre otros. Según un informe de la consultora internacional IDC (International Data Corporation) en el 2007, la cantidad de información creada estuvo a punto de sobrepasar, por primera vez la capacidad física de almacenamiento disponible. El estudio recuerda que, en el 2006, la cantidad de 15

16 información digitalizada fue tres millones de veces mayor que la de todos los libros escritos. En el 2006, la cantidad de información digital creada capturada y replicada fue de 161 billones de gigabytes. Esto es más de lo generado en los cinco mil años anteriores. Es por esto que cuando se realiza un crimen, en algunas ocasiones la información queda almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la información en forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, pues se deben utilizar mecanismos diferentes a los tradicionales. Esos nuevos mecanismos han generado la importancia del aparecimiento, estudio y desarrollo de la computación forense, como una ciencia relativamente nueva. Las propiedades físicas de los materiales con que se fabrican los componentes computacionales y especialmente los de almacenamiento, permiten que la información pueda ser manipulada, inclusive luego de ser eliminada y sobre-escrita varias veces. El delincuente o antisocial relacionado a la informática, ha encontrado por métodos innovadores actuar para cometer fechorías que hasta hace poco eran inimaginables. La sociedad informática global, no quiere asumir en su magnitud esta nueva realidad, por ello la inversión económica y de generación de nuevo conocimiento al respecto es aún incipiente, esperemos que este sórdido y a la vez estruendoso llamado no nos tope desprevenidos ante posibles desastres sociales y económicos. 1.2 INFORMÁTICA FORENSE La época que estamos viviendo, se caracteriza por un fuerte desarrollo de la cultura informática. En las escuelas, colegios, universidades, centros de formación, empresas públicas y privadas, aprenden cómo manejar paquetes informáticos (software aplicativo), pero no saben los riesgos que su uso implica ni tampoco la palabra que engloba las acciones que se realizan después de haberse cometido un delito o infracción, posiblemente esa relación que hacen de forense con muerte tengan algo de razón, porque cuando en los medios de comunicación se habla de forense es cuando ha existido deceso de la víctima, y las posteriores acciones para descubrir al victimario. En el campo informático, la forensia se orienta a estudiar y definir todas aquellas actividades relacionadas con la 16

17 recuperación y análisis de pruebas para procesos judiciales, cuando de por medio existan indicios o cometimiento de algún delito clasificado como informático. La informática Forense por lo tanto, al tratar todos los temas post crimen, post infracción, post delito, busca por diferentes medios o métodos encontrar evidencias sean estas electrónica o digitales, que las encuentra generalmente al establecer rastros o guías de diligencias no lícitas, ejecutadas igualmente por procedimientos digitales o electrónicos. La informática Forense también busca prevenir el cometimiento de tales delitos apoyándose en la Seguridad Informática. La mayoría de los delitos comunes, han sido transformados a delitos informáticos, por ejemplo falsificación de documentos, suplantación de identidad, robos a bancos, resultados de conteos electorales, etc., en este caso la escena del crimen es la plataforma informática y las armas físicas y lógicas. En estos casos, la evidencia del crimen es muy frágil y escurridiza por lo que es necesario sofisticados procedimientos para su detección y por tanto necesario que el mundo informático formule una metodología general, que facilite la aplicación de la Informática Forense. De ahí la importancia de formar peritos en Informática Forense, requeridos obligatoriamente por los procedimientos legales, quien aportará con razonamientos y fundamentos científicos a descubrir y valorar los elementos de prueba. No existe carrera universitaria alguna en el Ecuador, que facilite los conocimientos necesarios tanto en tecnologías de la información y en ciencias jurídicas que respalden esta actividad encaminada a encontrar las evidencias que aporten con datos válidos, desde dispositivos y encontrar datos residuales relacionados. El aparecimiento a diario de nuevas formas de delinquir por medios informáticos, ha generado la necesidad de que el Aparato Legal, proponga la existencia de la informática forense como aliado y colaborador para enfrentar estos nuevos desafíos y contrarrestar las técnicas de los delincuentes informáticos, que ayude a garantizar la veracidad en estas investigaciones delictivas. Según el FBI de Estados Unidos, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y 17

18 guardados en un medio computacional, este organismo desde 1984 empezó a desarrollar programas para examinar evidencia computacional [1]. Según Santiago Acurio del Pino, en el Ecuador mediante acuerdo 104-FGE-2008 de la Fiscalía General del Estado, se creó el Departamento de Investigación y Análisis Forense con la finalidad de ser una ayuda en la investigación y persecución de todo lo relacionado con la criminalidad informática en todos sus aspectos y ámbitos [2]. 1.3 IMPORTANCIA DE LA INFORMÁTICA FORENSE El tratamiento automático de la Información es el motor de desarrollo de toda la actividad humana, pero cuando preguntamos Cuál es el valor de su información?, muy pocos se atreverán a cuantificarla, sencillamente porque su valor es intangible e inconmensurable, por lo tanto se convierte en un objeto preciado e invaluable, que como cualquier objeto de esta índole se convierte en estratégico, necesario e irremplazable, por ello su cuidado, confiabilidad e integridad debe estar por sobre todo. La información, se convierte en el objeto de control y aseguramiento, pero lamentablemente pese a que a diario las empresas sacan al mercado nuevos productos que garantizan seguridad, la información sufre violaciones constantes provocadas por los aparecidos delincuentes informáticos, pues no existe la seguridad absoluta. A diario nos enteramos de la perpetración de algún delito informático, o de un nuevo tipo de delito informático, cuyas consecuencias económicas son desbastadoras, de ahí la necesidad de que dado el aumento en su número, se realicen acciones agresivas y constantes para prevenirlos y en caso de darse, establecer los procedimientos informáticos y legales para que puedan ser procesados con el rigor de la ley. A continuación se detallan los objetivos de la informática forense, que demuestran la importancia de la existencia y evolución de la informática forense: Objetivos de la Informática Forense De acuerdo a Zuccardi la informática forense tiene 3 objetivos [3]: 18

19 La compensación de los daños causados por los criminales o intrusos. La persecución y procesamiento judicial de los criminales. La creación y aplicación de medidas para prevenir casos similares. Objetivos que son conseguidos aplicando las diferentes herramientas y procedimientos de la Informática Forense al recolectar las respectivas evidencias o rastros probatorios para averiguar desde donde se originó el ataque, que determinarán si fue interno o externo, a qué equipos afectó, cuáles fueron los archivos o aplicaciones más vulnerables. Con el objeto de relacionar con el análisis forense tradicional, en la ciencia forense tradicional hay varios tipos de evidencias físicas, que el mismo Zucardi (pág. 6), las define así [3]: Evidencia transitoria.- Como su nombre indica es temporal por naturaleza, por ejemplo: un olor, la temperatura o unas letras sobre la arena o nieve (un objeto blando o cambiante). Evidencia curso o patrón.- Producidas por contacto, por ejemplo: la trayectoria de una bala, un patrón de rotura de un cristal, patrones de posicionamiento de muebles, etc. Evidencia condicional.- Causadas por una acción o un evento en la escena del crimen, por ejemplo: la localización de una evidencia en relación con el cuerpo, una ventana abierta o cerrada, una radio encendida o apagada, dirección del humo, etc. Evidencia transferida.- Generalmente producidas por contacto entre personas, entre objetos o entre personas y objetos. Aquí descubrimos el concepto de relación. En la práctica las evidencias transferidas se dividen en dos tipos, conocidas como: Transferencia por rastro: aquí entra la sangre, semen, pelo, etc. Transferencia por huella: huellas de zapato, dactilares, etc. Además, en la informática forense debemos hablar lógicamente de la evidencia digital, que debe ser alcanzada, utilizando mecanismos o software especializado que nos emita reportes con la evidencia necesaria y probatoria PRINCIPIOS DE SEGURIDAD INFORMÁTICA 19

20 " Un experto es aquel que sabe cada vez más sobre menos cosas, hasta que sabe absolutamente todo sobre nada es la persona que evita los errores pequeños mientras sigue su avance inexorable hacia la gran falacia" Definición de Webwer - Corolario de Weinberger (Leyes de Murphy) Con las tres grandes revoluciones de la humanidad: revolución agrícola, revolución industrial y la revolución de la Era de la información ( Tercera Ola ); se ha dado origen a contundentes cambios en el comportamiento de la sociedad y ha generado un nuevo problema, el de la seguridad informática, que como tal, para las organizaciones y empresas, aún no le toman como un serio problema en nuestro medio, pero en otros países ya se lo está aplicando y sobre todo originando su tratamiento. Los actores principales de la generación, cuidado y control de la información particular o grupal, deben comprender exhaustivamente los conceptos modernos de Sistema Informático, Plataforma Informática y Seguridad, como se relacionan estos términos con las aplicaciones que utilizan. Es decir, el nuevo contexto informático abarca a más de lo tradicional, la experticia en seguridad, auditoría y control, para que su actuación interdisciplinaria sea efectiva al momento de garantizar seguridad informática. En Wikipedia, al respecto se escribe: que se entiende por: Seguridad de la información, a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, disponibilidad e Integridad de la misma [4]. Es preciso señalar que no debemos confundir los conceptos de seguridad informática y el de seguridad de la información, ya que el primero trata de la seguridad en los medios o dispositivos y el segundo es más amplio y su tratamiento puede diversificar el origen y hospedaje de la información en general. En Wikipedia, referente a la seguridad informática, se dice que: Es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta 20

21 llega a manos de personas inescrupulosas. Este tipo de información se conoce como información privilegiada o confidencial [4]. Para comenzar el análisis de la seguridad Informática se deberá conocer las características de lo que se pretende proteger, es decir de la información. Así, definimos: Dato.- Unidad mínima con la que se compone cierta información 1 Información.- Es una agregación de datos que tiene significado específico más allá de cada uno de éstos 2, y tendrá un sentido particular según cómo y quién lo procese. Establecer el valor de la información es totalmente relativo, pues constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, las aplicaciones y la documentación. La palabra seguridad nace a partir de la existencia de riesgo, que puede suceder por falta de contingencia, sin embargo, los hechos han demostrado que no existe prevención absoluta, ya que el riesgo siempre está presente, por ello es importante aplicar el método de divide y vencerás para inferir niveles en la seguridad, mismos que serán alcanzados de acuerdo a la aplicación de ciertas técnicas que actuarán en cada uno de los niveles de acuerdo al grado o tipo de vulnerabilidad. El objetivo será, por cierto, alcanzar altos niveles de seguridad en los sistemas informáticos, de ahí que nos atrevemos a recoger la tan nombrada fórmula de que: Sistema de Seguridad = TECNOLOGÍA + ORGANIZACIÓN 1.5. SEGURIDAD FÍSICA 1 CALVO, Rafael Fernández. Glosario Básico Inglés-Español para usuarios de internet CALVO, Rafael Fernández. Glosario Básico Inglés-Español para usuarios de internet

22 La plataforma física de un sistema informático es el medio a través del cual viajan las señales que representan a los datos y también se corresponden con los dispositivos de almacenamiento donde se alojan temporal o permanentemente estas representaciones. Este componente, debe ser cuidadosamente analizado al momento del diseño del sistema, de tal manera que podamos cubrir o prevenir con seguridad las puertas físicas que podemos dejar abiertas. Extensivamente los lugares a través de los cuales pasan estos medios de comunicación y donde se alojen los equipos deben ser vigilados constantemente y con un diseño de alta seguridad. Es decir, debemos prevenir atacantes que ingresen y puedan sustraer discos, clonar dispositivos, cambiar claves, generar usuarios, etc. La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial" [5]. Concepto que Huerta lo relaciona con los controles y mecanismos de seguridad dentro y alrededor del Data Center, así como en los controles de acceso y salida: puertas, cámaras, biométricos, etc Tipos de Desastres Al momento de implementar seguridad, se debe actuar de acuerdo a las circunstancias considerando ubicación y tipos de equipos, por ello no existe una receta única para el efecto, es decir podemos caer en el error de sobredimensionarla o de minimizarla. Por tal razón, se recomienda seguir procedimientos generales especificados en normas estandarizadas y no procedimientos particulares. Este tipo de seguridad tomará en cuenta las amenazas internas, externas, humanas, naturales que puedan aprovechar alguna vulnerabilidad reconocida o no, en el Data Center. Según Huerta [5], las principales amenazas previsibles en la seguridad física son: a) Desastres naturales, incendios accidentales tormentas e inundaciones. 22

23 Incendios.- Pueden ser causados por diferentes circunstancias: cortocircuitos, incendios deliberados, sobrecalentamiento de equipos, etc. Inundaciones.- Esta es una de las causas de mayores desastres en centros de cómputo. Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Condiciones Climatológicas.- Si no existe un sistema de control de aire acondicionado, es posible que se recalienten los equipos, produciéndose daños en los discos y procesadores de los servidores. Señales de Radar.- La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana. Instalaciones Eléctricas.- Es común que se produzcan picos en la corriente eléctrica o distorsión de señales, que provoquen inestabilidad, o en su defecto si no se cuenta con un buen UPS, los sistemas pueden dañarse al fallar la energía eléctrica. Ergometría.- El enfoque ergonómico plantea la adaptación de los métodos, los objetos, las maquinarias, herramientas e instrumentos o medios y las condiciones de trabajo a la anatomía, la fisiología y la psicología del operador. Entre los fines de su aplicación se encuentra, fundamentalmente, la protección de los trabajadores contra problemas tales como el agotamiento, las sobrecargas y el envejecimiento prematuro. b) Amenazas ocasionadas por el hombre. Robo.- Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones, de esta manera, roban tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro. 23

24 Fraude.-Cada año, millones de dólares son sustraídos de empresas y en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, razón por la cual no se da ninguna publicidad a este tipo de situaciones. Sabotaje.-El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc. c) Disturbios, sabotajes internos y externos deliberados. Control de Acceso El Data Center y lugares aledaños, deben ser de acceso restringido, únicamente para los encargados de la administración y gestión, es decir tomar en cuenta que tipo de sistema de control de acceso se instalará, puede ser acceso biométrico, cerraduras de puerta electromagnética, puertas de seguridad reforzadas, circuitos de video, etc., incluidos la capacidad de identificación. Entre las principales opciones utilizadas tenemos: contratación de guardias o personal de seguridad, ubicación adecuada de detectores de metales, instalación de sistemas biométricos, de acuerdo a roles de usuario realizar verificación automática de firmas (ampliamente utilizada por los bancos), incluso se utiliza animales para los exteriores cuando existen terrenos de por medio y otras variantes de protección electrónica. Sin embargo, cada una de estas opciones indistintamente presenta vulnerabilidades. 1.6 SEGURIDAD LÓGICA El software de por sí, es considerado el elemento intangible y complejo del sistema computacional, por ello la utilización de software para controlar la seguridad física y lógica también lo es, y se aplica específicamente en el resguardo de los accesos al software operativo, de desarrollo y aplicativo. En los Data Center s, por lo general se 24

25 ubican los servidores o la granja de servidores, los equipos de enrutamiento de redes, en los cuales se realiza la configuración global del sistema, y lo más importante se guardan los datos, valor intangible invaluable de la empresa. La seguridad lógica se plantea cumplir, al menos, con los siguientes objetivos: Crear un buen plan de definición de roles de usuario para el acceso a archivos y programas. Definir meticulosamente los roles de usuario para los operadores de los sistemas, de tal manera que con implementación de módulos de auditoría, se puedan realizar acciones sin necesidad de supervisión. Cerciorar que los usuarios utilicen datos y software correcto en procedimientos correctos. Asegurar que el flujo de información sea el correcto en fuente y destino. Establecer niveles de control de flujo en forma orientada a conexión. Crear líneas alternas que posibiliten el trabajo ininterrumpido, tanto en generación como en transmisión de información. 1.7 ANÁLISIS FORENSE EN SISTEMAS INFORMÁTICOS Si sucede un delito informático, es porque se han vulnerado la seguridad y protección de datos, luego es cuando actúa la informática forense como una respuesta al análisis, prevención y búsqueda de evidencias para sanción legal. Un principio fundamental en la ciencia forense, que se usa continuamente para relacionar un criminal con el crimen que ha cometido, es el Principio de Intercambio o transferencia de Locard, (ver gráfico 1), [3]. Gráfico 1: Principio de Transferencia Locard Fuente: [3] Principio de transferencia de Locard 25

26 Zuccardi, resume este principio así: [3] 1. El sospechoso se llevará lejos algún rastro de la escena y de la víctima. 2. La víctima retendrá restos del sospechoso y puede dejar rastros de sí mismo en el sospechoso. 3. El sospechoso dejará algún rastro en la escena. De acuerdo al principio, se establece la relación entre los participantes del crimen: lugar (escena del crimen), la víctima y el sospechoso, con el examen minucioso de ellos se logrará encontrar la evidencia. La evidencia desde su generación, puede sufrir alteraciones y transferencias, por ello es importante analizar las relaciones con el fin de no desviar el camino de su búsqueda, ya que pueden transferirse a otra persona, objeto o localización. 1.8 ESTÁNDARES, TÉCNICAS Y PROCEDIMIENTOS PARA EL ANÁLISIS FORENSE Se ha señalado que no existe una receta específica para realizar lo que postula la informática forense, sin embargo dada su relación con la seguridad informática y protección de datos, se apoya en estas herramientas para generalizar su acción. Su validez se sustenta en la aplicación de estándares internacionales, que han sido asumidos como generales y básicos Estándares Se ha destacado lo novel de la ciencia forense, además los organismos de estandarización internacional se toman su tiempo para aprobar y publicar nuevos estándares, por ésta razón aún no existen estándares aceptados al respecto, pero existen proyectos en desarrollo, como por ejemplo: CP4DF (Código de prácticas para Digital Forensicas).- Es una selección se criterios para guiar y asegurar actividades que tienen que ver con el análisis de evidencia digital, provee recomendaciones y sugiere aspectos legales, policiales y operacionales como requerimientos técnicos para adquisición, análisis y reportes 26

27 de evidencia, colaboración con otros grupos de investigación, gestión de casos, soporte legal, desarrollo de políticas de seguridad para respuestas a incidentes y plan preventivo y de continuidad [6]. Open source computer forensics manual.- Es un conjunto de procedimientos propuestos por Matías Bevilacqua Trabado, traducido en herramientas GPL 3, por lo tanto está constantemente en revisión por parte de sus colaboradores, esta herramienta propone el proceso de identificación, adquisición, análisis y presentación para concluir con un examen forense [7]. Training satandars and knowwledge skills and abilities. - Es un conjunto de reglas emanadas desde la Internacional Organization on Computer Evidence, organismo que pretende consensuar una guía metodológica con la intervención de la mayoría de países del mundo Técnicas Al no existir estándares validados legal y mundialmente reconocidos, los investigadores han proliferado con una serie de herramientas que han apuntado a soluciones parciales para el control y adquisición de evidencias digitales. Todas las herramientas utilizadas en auditoría informática ayudan a la operación técnica del descubrimiento de dichas evidencias. Sin embargo, podemos anotar a: Forensics Toolkit, desarrollada por Dan Farmer y Wietse Venema; para Linux se destaca F.I.R.E. Linux (Forensic and Incident Response Environment y Honeynet CD-ROM). En algunos países se prevé la creación de unidades especializadas en informática forense dentro de las fuerzas policiales como por ejemplo el Grupo de Delitos Telemáticos de la Guardia Civil de España, la National Hi-Tech Crime Unit en Inglaterra, el Laboratorio de Informática Forense del Departamento de Defensa en Estados Unidos y el Departamento de Investigación y Análisis Forense de la Fiscalía General del Estado en el Ecuador Proceso de Análisis Forense 3 GPL: General Public License (GNU) 27

28 Identificación y Recolección En este paso, se pretende que el perito descifre los antecedentes, el estado actual y defina los procedimientos a seguir en la investigación, le permitirá recolectar toda la información posible, precisa cuales son los dispositivos afectados o aquellos que están ligados directa o indirectamente al delito, los roles de esos dispositivos en el sistema computacional, así como también los responsables de los equipos y quienes estuvieron utilizándolos últimamente. Analiza los procedimientos para conservar la integridad de la evidencia de tal manera que no sea manipulada ni cambiada y pueda ser recogida como prueba en los procesos legales pertinentes. Recurrirá también a la observancia de los cánones legales especializados para proteger las evidencias en las diferentes instancias Preservación Dependiendo del caso, es importante el manejo escrupuloso, cuidadoso y delicado de las evidencias encontradas, de tal manera que su manipulación no pueda afectar la originalidad de la misma, en la mayoría de los casos la evidencia se encuentra en medios magnéticos, es necesario establecer y aplicar mecanismos y operaciones electrónicas y digitales de alta definición para sacar copias exactas de la misma, como por ejemplo la utilización de bloqueadores de escritura de hardware. Prácticamente es una clonación de bajo nivel (bit a bit) de la evidencia completa, sin pretender proponer resultados a priori Análisis Obtenidas las copias exactas o clones, de las evidencias, sobre ellas se procede a examinar y realizar todo tipo de investigación, aplicando técnicas científicas y analíticas, para precisar las particularidades con que aporta la evidencia. Principalmente se determina el tipo de medio, su modelo, marca, y lectura de bits o cadenas de bits, transformando a hexadecimal y a algún lenguaje mnemónico de reconocimiento especial como ensamblador; luego se procederá a recuperar o 28

29 identificar tipos de archivos, usuarios, roles de usuario, sitios visitados en internet, correos electrónicos, etc Presentación En esta etapa, se procede a realizar el informe técnico especial, justificando la investigación, mencionando las técnicas utilizadas pero sin caer en tecnicismos y sobre todo puntualizando los aportes de la evidencia en particular al esclarecimiento del delito, información que será fácilmente manejable por los abogados. 1.9 GOBIERNO PROVINCIAL DE IMBABURA Antes de estudiar la situación diagnóstica del Gobierno Provincial de Imbabura, en lo referente al estado de las TIC s en la institución, es preciso señalar algunos datos básicos del ámbito geográfico de acción de este organismo, incluidas sus competencias y de acuerdo a ello, la conformación de la estructura orgánica y funcional del mismo. En la siguiente tabla se resume los principales datos de la Provincia de Imbabura. País: Provincia: Superficie: Ubicación: Coordenadas: Límites: Población Ecuador Imbabura Km2, ó has. Norte del país 00º 07 y 00º 52 latitud norte; 77º 48 y 79º 12 longitud oeste. Al norte la provincia del Carchi, al sur la provincia de Pichincha, al este la provincia de Sucumbíos, y al Oeste la provincia de Esmeraldas habitantes Tabla 1: Datos Principales de la provincia de Imbabura Fuente: Documentos GPI A continuación se muestra el Mapa político de la provincia de Imbabura: 29

30 Gráfico 2: Mapa Político de la Provincia de Imbabura Fuente: Documentos GPI CLIMA.- La Provincia de Imbabura posee varios tipos de climas. La temperatura media anual oscila entre 9,9 ºC (Estación Metereológica Iruguincho) y 22,9 ºC (Estación Metereológica Lita). Los rangos de precipitación media anual varían entre 310,3mm (Estación Metereológica Salinas) y 3.598mm (Estación Metereológica Lita). RELIEVE.- Es irregular, los rangos de altitud oscilan entre 600msnm, en la parte baja del río Guayllabamba, y los msnm en la cima del volcán Cotacachi. Misión Coordinar, planificar, ejecutar y evaluar el Plan de Desarrollo Provincial Participativo; fortaleciendo la productividad, la vialidad, el manejo adecuado de sus recursos naturales y promoviendo la participación ciudadana, a fin de mejorar la calidad de vida de sus habitantes. Visión 30

31 El Gobierno Provincial de Imbabura, se consolida como una Institución de derecho público, autónoma, descentralizada, transparente, eficiente, equitativa, incluyente y solidaria, líder del desarrollo económico, social y ambiental provincial. Objetivos del GPI Desarrollar procesos de planificación participativa, articulando planes de los niveles: nacional, regional, provincial, cantonal y parroquial; Construir, mejorar y mantener la infraestructura vial provincial, que promueva el desarrollo económico y social en la provincia y la región; Promover el desarrollo y competitividad del sector agropecuario, para generar mayores ingresos y generar empleo; Fomentar las actividades económicas y productivas de la artesanía, industria, servicios y el turismo, conforme a las potencialidades de la provincia; Construir, mejorar y mantener la infraestructura de riego provincial, para mejorar la producción y productividad agropecuaria; La preservación de los recursos naturales y el cuidado del ambiente de la Provincia; Manejar adecuadamente los recursos naturales, para una buena gestión ambiental en cuencas y micro cuencas; Diseñar políticas, planes y programas tendientes a fortalecer la inclusión social, el desarrollo cultural que permitan hacer de Imbabura una provincia equitativa, solidaria e intercultural. Diseñar e implementar un Modelo de Gestión por Resultados, a fin que el Gobierno Provincial de Imbabura lidere la transformación provincial, atrayendo las inversiones de la cooperación nacional e internacional Estructura orgánica del GPI La estructura organizacional del Gobierno Provincial de Imbabura, está alineada con su misión y se sustenta en el enfoque de procesos y productos, con el propósito de asegurar su ordenamiento orgánico. 31

32 ESTRUCTURA ORGÁNICA DEL GOBIERNO PROVINCIAL DE IMBABURA CONSEJO DEL GOBIERNO PROVINCIAL DE IMBABURA PREFECTURA PROVINCIAL PREFECTO/A ORGANOS DE PARTICIPACIÓN Y CONTROL CIUDADANO COMISIONES DEL CONSEJO VICEPREFECTURA PROCURADURÍA SÍNDICA GESTIÓN DE COOPERACION INTERNACIONAL GESTIÓN DE PLANIFICACIÓN GESTIÓN TÉCNICA AUDITORÍA INTERNA SECRETARÍA GENERAL GESTIÓN FINANCIERA GESTIÓN ADMINISTRATIVA GESTIÓN DE LTALENTO HUMANO TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES RELACIONES PÚBLICAS GESTIÓN DE INFRAESTRUCTURA FÍSICA GESTIÓN AMBIENTAL GESTIÓN DEL DESARROLLO ECONÓMICO GESTIÓN SOCIAL PLANIFICACIÓN Y SEGUIMIENTO DE INFRAESTRUCTURA FÍSICA ESTUDIOS Y DISEÑOS EJECUCIÓN DE INFRAESTRUCTURA FÍSICA BIODIVERSIDAD Y RECURSOS FORESTALES CUENCAS SUBCUENCAS Y MICROCUENCAS HIDROGRÁFICAS CALIDAD AMBIENTAL DESARROLLO AGROPECUARIO DESARROLLO DE MIPYMES RURALES DESARROLLO ARTESANAL DESARROLLO TURÍSTICO GESTIÓN SOCIAL INTEGRAL FISCALIZACIÓN EDUCACIÓN AMBIENTAL RIEGO Y DRENAJE Gráfico 3: Orgánico Estructural del GPI. Fuente: Documentos GPI Orgánico Estructural de la Dirección de Tecnologías de la Información y Comunicaciones del GPI. Es a partir de septiembre del 2010, cuando oficialmente se crea la Dirección de Gestión de Tecnologías de la Información y Comunicaciones en el GPI. Y se establece que las TIC s, en el Gobierno Provincial de Imbabura son el eje fundamental que sirve de base para acelerar y optimizar el proceso de flujo de trabajo, hecho que se manifiesta en la implementación y desarrollo continuo de herramientas de software y hardware. Por tal razón, apoya directamente a las actividades de todas las competencias establecidas por Ley y además a la organización administrativa interna del GPI. Para cumplir con este objetivo se establece la siguiente estructura: 32

33 PREFECTURA DIRECCION DIRECCION DE GESTION DE TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES DIRECCION DIRECCION Gestión de servicios Gestión de infraestructura Gestión de proyectos Gráfico 4: Orgánico Estructural de la Dirección de Tecnologías de la Información y Comunicaciones del GPI. Fuente: Documentos GPI Unidad De Gestión De Proyectos Misión Dirigir la formulación y seguimiento del Plan Estratégico de Tecnologías de Información alineado al Plan Operacional y Estratégico del GPI, así como gestionar los proyectos de Tecnología de Información y apoyar la gestión administrativa del Departamento, y desarrollar, incorporar e implementar sistemas de información que requiera el GPI para su óptima operación, administración y gestión. Unidad de Gestión de Infraestructura Misión Diseñar, instalar y optimizar la arquitectura de hardware, software, redes (voz, datos y telefonía) y comunicaciones del GPI de manera que permita que los productos y servicios informáticos puedan ser brindados en condiciones de alta disponibilidad y confiabilidad utilizando las ventajas que nos brinda la tecnología. 33

34 Unidad de Gestión de Servicios Misión Velar por la correcta operatividad de la plataforma tecnológica del GPI (hardware, software, redes y comunicaciones), protegiendo la información tanto de ingreso como de salida; asimismo, el soporte a usuarios de primer nivel y de la certificación de los productos puestos en operación y brindar en forma centralizada el soporte técnico de primer nivel en la solución de los problemas en equipos, software y servicios de computación personal que reporten los usuarios internos y externos del GPI Evolución de la Red de Datos y del Software en el GPI. Aproximadamente diez años atrás se implementó la primera red LAN en las instalaciones del Consejo Provincial de Imbabura, en aquel tiempo la tecnología de redes y comunicaciones estaba en proceso de desarrollo. En el transcurso del tiempo fueron adquiriéndose equipos (equipos de red) que suplían necesidades perentorias, sin establecer una proyección de normalización tecnológica (ISO, IEEE, EIA/TIA, ITU, etc), por lo cual la red existente se ha convertido en un híbrido de tecnologías que dejaron su vida útil años atrás, pero que sin embargo, con ajustes técnicos léase parches- se ha logrado mantener una red que funcione, pero que no lo hace de la manera más óptima, por ello se hace una descripción detallada de la situación actual de la red, especificando características técnicas de los mismos. Con las nuevas competencias asignadas a los GADs, surgió la necesidad de fortalecer departamentos y de utilizar espacios que no cuentan con la infraestructura física necesaria para que el personal realice sus labores, se han realizado pequeños parches o ampliaciones a la infraestructura, con equipos de características modestas y que no cuentan con la robustez necesaria, ocasionando la pérdida de calidad en las transferencia de datos y los constantes problemas como fallas en la red telefónica y en el acceso a servicios como Internet y acceso a aplicaciones. 34

35 Otro problema ha sido el diseño e implementación de la infraestructura para el funcionamiento del Data Center (cuarto de máquinas), que en el tiempo no ha contado con el apoyo de las autoridades de turno, traducido en el no contar con los fondos necesarios para la construcción de una área cerrada y que cuente con equipos de refrigeración, seguridad y monitoreo que permita el constante y normal funcionamiento de los servidores y equipos activos de la red, como resultado de esto la vida útil de los servidores se ha reducido a una media de seis meses después de lo cual se debe proceder a realizar mantenimiento correctivo y remplazo de partes y recuperación de información (de ser el caso). El directivo y funcionario moderno, debe apropiarse de los cambios y evolución tecnológico, las TIC s son herramientas que posibilitan mejor productividad, su inserción es un proceso fácil en la curva de aprendizaje, pero complejo en los procesos psicosociales, por lo cual es necesario que en el GPI se inicie con el mismo. Es importante resaltar que, la demanda actual de servicios informáticos son completamente convergentes, es decir, es necesario a través de la misma red enviar datos, imagen, audio y video. De acuerdo a las circunstancias de trabajo actual, es necesario que los objetivos de cada departamento se apeguen al cumplimiento de los objetivos institucionales y que el elemento aglutinador tanto física como lógicamente sea las TIC`s. En nuestro caso los procesos y productos que se trabajan en cada departamento, en conformidad a las competencias establecidas en la ley deben tener como punto de encuentro una aplicación gerencial. 35

36 CAPÍTULO II DIAGNÓSTICO SITUACIONAL DEL GOBIERNO PROVINCIAL DE IMBABURA 2.1. ANTECEDENTES DIAGNÓSTICOS Debido a que la tecnología avanza constantemente, la seguridad informática se ve en la misma necesidad de ir en paralelo con este avance, es así que en el Gobierno Provincial de Imbabura desde octubre del 2010 se comenzó una investigación gracias a la autorización y apoyo incondicional del director del Departamento de Gestión de Tecnologías de la información y Comunicación y a los jefes de cada una de las unidades que conforman éste departamento, con el fin de realizar un análisis de los componentes tecnológicos e informáticos, que ayudan en la correcta gestión de la información bajo los parámetros de seguridad Informática, tomando en cuenta la legislación de nuestro país; ya que toda organización debe estar a la vanguardia de los procesos de cambio, y sobre todo debe estar consciente de que disponer de información continua, confiable y a tiempo, constituye una ventaja fundamental en el mundo globalizado en el que nos desarrollamos, en donde debemos considerar a este fenómeno como un proceso beneficioso, una clave para el desarrollo económico futuro en el mundo, a la vez que es inevitable e irreversible OBJETIVOS DIAGNÓSTICOS Determinar el estado y características de los componentes tecnológicos e informáticos de las unidades del departamento de Gestión de Tecnologías de la Información y Comunicación Analizar los elementos administrativos y filosóficos de las unidades del Departamento de Gestión de Tecnologías de la Información y Comunicación. 36

37 2.3. VARIABLES DIAGNÓSTICAS Informático Tecnológico Administrativo INDICADORES Situación de la Infraestructura de Red de Datos. Situación de la Infraestructura de Software. Diagnóstico en Equipos en el Cuarto de Comunicaciones. Cableado Estructurado. Cableado Horizontal. Cableado Vertical. Cuartos de Telecomunicaciones. Lista de Servidores. Equipos de Red. Equipos de Control y Seguridad. Espectro Wifi. Certificación de Punto de Red. Mapa de Cableado. Data Center Topología Física. Red de Internet. Red de Datos Red LAN interna. Topología Lógica. Situación actual del Software. Aplicaciones Desarrolladas hasta julio del Aplicaciones adquiridas a terceros. Desarrollo de aplicaciones no concluidas. Misión del GPI. Visión del GPI. 37

38 Misión de la Dirección de Gestión de Tecnologías de la Información y Comunicación. Misión de la Unidad de Gestión de Proyectos. Misión de la Unidad Gestión Infraestructura. Misión de la Unidad Gestión Servicios. Funciones de la Unidad Gestión de Proyectos. Funciones de la Unidad Gestión Infraestructura. Funciones de la Unidad Gestión Servicios MATRIZ DE RELACIÓN (Ver tabla 2). 38

39 MATRIZ DE RELACIÓN Objetivos Diagnósticos Variables Indicadores Técnicas Fuente Información Determinar el estado y características de los componentes tecnológicos e informáticos de las unidades del departamento de Gestión de Tecnologías de la Información y comunicación Informático Tecnológico Situación de la Infraestructura de Red de Datos. Entrevista Situación de la Infraestructura de Software. Entrevista Diagnóstico en equipos en el cuarto de comunicaciones. Cableado Estructurado. Observación Documental Observación Entrevista Cableado Horizontal. Observación Entrevista Cableado Vertical. Observación Entrevista Cuartos de Telecomunicaciones. Observación Entrevista Lista de Servidores. Documental GPI Equipos de Red. Documental GPI Equipos de Control y Seguridad. Observación Entrevista Director de Gestión de Tecnologías de la Información y Comunicación. Director de Gestión de Tecnologías de la Información y Comunicación. Equipos Informes de jefes de unidades Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura 39

40 Determinar el estado y características de los componentes tecnológicos e informáticos de las unidades del departamento de Gestión de Tecnologías de la Información y comunicación Informático Tecnológico Espectro Wifi. Certificación de Punto de Red. Mapa de Cableado. Data Center Observación Entrevista Observación Entrevista Observación Entrevista Observación Entrevista Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura Topología Física. Documental Jefe de infraestructura Red de Internet. Documental Jefe de infraestructura Red de Datos Entrevista Jefe de infraestructura Red LAN interna. Entrevista Jefe de infraestructura Topología Lógica. Documental Jefe de infraestructura Situación actual del Software. Aplicaciones Desarrolladas hasta julio del Aplicaciones adquiridas a terceros. Desarrollo de aplicaciones no concluidas. Observación Entrevista Documental Entrevista Documental Entrevista Documental Entrevista Documental Director de Gestión de TIC s. Informes Departamentales Director de Gestión de TIC s. Informes Departamentales Director de Gestión de TIC s. Informes Departamentales. Director de Gestión de TIC s. Informes Departamentales 40

41 Analizar los elementos administrativos y filosóficos de las unidades del Departamento de Gestión de Tecnologías de la Información y Comunicación. Administrativo Misión del GPI. Documental GPI Visión del GPI. Documental GPI Misión de la Dirección de Gestión de Tecnologías de la Información y Comunicación. Documental GPI Misión de la Unidad de Gestión de Proyectos Documental GPI Misión de la Unidad Gestión Infraestructura. Documental GPI Misión de la Unidad Gestión Servicios. Documental GPI Funciones de la Unidad Gestión de Proyectos. Documental GPI Funciones de la Unidad Gestión Infraestructura. Documental GPI Funciones de la Unidad Gestión Servicios. Documental GPI Tabla 2: Matriz Relación GPI 41

42 2.6. MECÁNICA OPERATIVA Población o Universo El universo de la investigación es el Departamento de Gestión de Tecnologías de la información y Comunicación Determinación de la Muestra Se realizó un censo, es decir se investigó (entrevistas) a todos los elementos del Departamento de Gestión de Tecnologías de la información y Comunicación: Ing. Jorge Caraguay Procel, Director de Gestión de Tecnologías de la Información y Comunicación. Ing. Fernando Miño, Jefe de Gestión de Proyectos. Ing. Marcelo Jingo, Jefe de Gestión de Proyectos. Ing. Edgar Martínez, Jefe de Gestión de Servicios Información Primaria Entrevistas Las entrevistas se realizaron a todos los elementos de Departamento de Gestión y Tecnologías de la Información y Comunicación; en el edificio del GPI durante el mes de marzo del Observación En el Data Center del GPI, se observó todo lo relacionado a: cableado estructurado, cuarto de telecomunicaciones, servidores, equipos de red, equipos de control y seguridad, red: inalámbrica, internet, datos, LAN interna y además el software que manejan en la institución, durante los meses de febrero a abril del

43 Información Secundaria Documentos Gracias a la colaboración de los integrantes del Departamento de Gestión de Tecnologías de la información y Comunicación del GPI, se pudo examinar y evaluar informes y reportes detallados los mismos que fueron realizados por los integrantes del departamento TABULACIÓN Y ANÁLISIS DE LA INFORMACIÓN Entrevistas. Las preguntas se detallan de acuerdo al indicador correspondiente y se presenta un análisis en concordancia a las respuestas de los funcionarios de departamento de Gestión de la Tecnologías de la Información y Comunicación. a) Indicador: Situación de la Infraestructura de datos El Departamento de Gestión de Tecnologías de la Información y Comunicación cuenta con infraestructura física, diseño e implementación adecuada y necesaria para que sus funcionarios realicen sus labores? Cuentan con equipos robustos en tecnología? Análisis: Con las nuevas competencias asignadas a los GADs 4, surgió la necesidad de fortalecer los departamentos y de utilizar espacios, los mismos que no cuentan con la infraestructura física necesaria para que el personal realice sus labores, se han realizado y se continúan realizando pequeños parches o ampliaciones a la infraestructura, con equipos de características modestas y que no cuentan con la robustez necesaria, ocasionando la pérdida de calidad en las transferencia de datos y los constantes problemas como fallas en la red telefónica 4 GADs: Gobiernos Autónomos Descentralizados. 43

44 y en el acceso a servicios como Internet, correos electrónico y acceso a aplicaciones. Además, otro problema ha sido el diseño e implementación de la infraestructura para el funcionamiento del Data Center (cuarto de máquinas), que en el tiempo no ha contado con el apoyo de las autoridades de turno, traducido en el no contar con los fondos necesarios para la construcción de una área cerrada y que cuente con equipos de refrigeración, seguridad y monitoreo que permita el constante y normal funcionamiento de los servidores y equipos activos de la red, como resultado de esto la vida útil de los servidores se ha reducido a una media de seis meses después de lo cual se debe proceder a realizar mantenimiento correctivo y remplazo de partes y recuperación de información (de ser el caso). b) Indicador: Situación de Infraestructura de Software Existe una planificación informática? En el GPI se desarrolla el software para fortalecer la integración de la información? Cómo ha sido la gestión de la información en el GPI? Análisis: Se nota claramente, por faltar documentación específica sobre este tema, que en el GPI no ha existido una Planificación Informática que sea la guía de un proceso sistémico y gradual del desarrollo tecnológico del GPI. La Dirección de Gestión de TIC s está por presentar un Plan, se lo está elaborando y se plantea la consecución de objetivos que propicien cambios acordes a los momentos tecnológicos que vive la sociedad actual, bajo los lineamientos de la organización pública y normas legales conexas, con el objetivo de tener planificaciones y regulaciones que apoyen de manera directa a conseguir: - Consolidar la información de todos los organismos relacionados con el GPI, de sus direcciones y niveles de apoyo y gestión, con el objeto de que constituya una herramienta de apoyo en la toma de decisiones. 44

45 - Generar, procesar y distribuir la información requerida para sustentar la toma de decisiones oportunas, económicamente factible y consistente para optimizar su gestión. - Estructurar e impulsar el nivel de tecnología del GPI. - Tener sistemas de información que permita concentrar la información que se obtiene de forma manual como la que obtiene automáticamente, y que se encuentra dispersa, a fin de que se constituyan herramientas de apoyo que permitan acceder oportunamente a la información precisa para elevar el nivel de gestión operativa y de control de los recursos. - Tener la información que sea consistente, exacta, oportuna, económicamente factible y relevante sobre cada uno de los niveles de gestión en cada competencia del GPI, además en los aspectos Administrativo, financiera y contable; de manera que facilite la toma de decisiones acertadas para la acertada gestión del GPI. - Aligerar las actividades que realizan los Directivos y el personal, para facilitar toma de decisiones, sus tareas y mejorar su productividad. Así como también garantizar la integridad de los datos. - Procesamiento ágil de información administrativa y financiera, así como el incorporar nuevos avances tecnológicos al GPI. - Estricto cumplimiento a los organismos de control interno y externo, en lo referente a información de productividad, necesaria para justificar el desempeño del GPI. La gestión de la información en el Gobierno Provincial de Imbabura ha sido un tema que no se le ha dado el suficiente apoyo y la continuidad necesaria en los últimos años. Tal es así que en los últimos 10 años se ha dado 3 intentos por desarrollar los sistemas adecuados para la gestión de la información del GPI. Terminando con la adquisición de software tercerizado que ofrecen subsanar los problemas, pero no es más que una breve ilusión y su migración debe hacerse más temprano que tarde convirtiéndose en otro gran problema y gasto de recursos económicos a corto plazo. Resultado final: El tratamiento adecuado de la información aún es un gran problema. 45

46 c) Indicador: Cableado Estructurado Se cumple con las normas y estándares de cableado estructurado en el GPI? Conocen cuántos puntos de red tienen en el GPI y si éstos funcionan adecuadamente? Análisis: En el GPI se incumplen con ciertas normas y estándares de cableado estructurado, en el edificio del GPI cuenta con 150 puntos de red fijos, que al no existir la documentación pertinente, no permite realizar monitoreo ni seguimiento, igualmente se han detectado que el 37 % de los puntos de red han perdido conectividad, es decir no están cumpliendo con los mínimos estándares de cableado estructurado. Todos los puntos de red están conectados hasta el cuarto donde se ubican los patch panels. Al no existir documentación, se infiere de poca utilidad realizar un esquema de la arquitectura física actual. d) Indicador: Cableado Horizontal Qué tipo de cableado horizontal tienen? El cableado horizontal está diseñado apropiadamente siguiendo las reglas, normas y estándares? Análisis: El cableado horizontal del edificio es par trenzado categoría 5e, los pisos no cuentan con su respectiva distribución ni bandejas metálicas de soporte. No existe documentación acerca de las instalaciones realizadas en años anteriores. e) Indicador: Cableado Vertical El cableado vertical está diseñado apropiadamente siguiendo las reglas, normas y estándares? Análisis: No existe backbone 5 que conecte las diferentes plantas del GPI, el cableado es directo desde el cuarto de equipos hasta cada punto de red. Al no existir cableado 5 Backbone : Principales conexiones troncales de Internet 46

47 vertical, no existe cableado vertical redundante, por lo que cada punto de red depende de su propia conexión. f) Indicador: Cuarto de Telecomunicaciones El ambiente del cuarto de telecomunicaciones cuenta con un ambiente físico apropiado para su buen funcionamiento? Análisis: No existen cuartos ni gabinetes intermedios apropiados GPI, pero existe un cuarto, cerrado con paneles de vidrio, donde están instalados los equipos de comunicaciones. g) Indicador: Equipos de Control y Seguridad Qué accesos de seguridad tiene el cuarto de equipos? Análisis: Para el acceso al cuarto de equipos, solamente existe una puerta con llave, no existen otros niveles de seguridad digital ni electrónica. h) Indicador: Espectro Wifi Monitorean los canales utilizados y las frecuencias en tiempo real? Conoce Ud. los requerimientos de los usuarios? Análisis: No se tiene documentación sobre los canales utilizados y la frecuencia es la pública. Tampoco se han realizado monitoreo de uso de canales en tiempo real, por lo cual no se tiene un resultado de potencias captadas, por lo que no se puede definir si los canales wireless están llegando con sus señales óptimas que deberían estar en un rango entre -70 dbm a -120dBm. Son varios los requerimientos por parte de los usuarios, los mismos que se detalla a continuación: - Adición de Puntos de red.- Es necesario estudiar los requerimientos de cada uno de los departamentos, para determinar la factibilidad de la adición o modificación de puntos de red. 47

48 - Permisos de descarga.- Es necesario conocer los requerimientos de los usuarios para así determinar las políticas y estrategias para permisos de acceso a la red en general. - Acceso a las Aplicaciones.- Se debe conocer las necesidades de acceso de los usuarios, a las aplicaciones que cada uno precise. - Mejora en la velocidad de acceso a Internet.- el acceso a la red de internet se torna deficiente causando inconvenientes al trabajar con ella, en vista de que no se aplican políticas de autorización y asignación de ancho de banda. - Equipos de telefonía IP obsoletos.- Los equipos de telefonía IP han cumplido con su vida útil, es notorio su deterioro, lo cual incide en su rendimiento y generación de ruido para la red. - Expectativa por nuevas aplicaciones.- en el ámbito de gestión se precisa de nuevas aplicaciones, que por lo general trabajen sobre la red y sobre la WEB. (sistema de Gestión Institucional, sistema de información territorial, SIG en general, workflow, control scorecard, etc). - Acceso a videoconferencias.- No existe una adecuada infraestructura para videoconferencia, utilidad que es común para todas las áreas. - Mantenimiento preventivo y antivirus actualizados.- Es necesario que sea permanente los mantenimientos preventivos y contar con software antivirus actualizado. i) Indicador: Certificación de Puntos de Red Los puntos de red cuentan con una certificación en base a las normas y estándares internacionales? Análisis: No se ha podido realizar la certificación de los puntos de red, pero sin embargo se han realizado pruebas de software con testeadores manuales, detectando entre otras: - Pérdida de conectividad, - Atenuación a la relación de Crosstalk (ACR). - Pérdida de paradiafonía (NEXT). 48

49 - Pérdida de retorno. - Retraso de propagación. j) Indicador: Mapa de cableado Cuentan con un mapa de cableado? Análisis: Se puede concluir que no se cumple en su totalidad con los parámetros de certificación de un cableado estructurado según la norma ANSI/TIA/EIA/568-B. El mapa de cableado puede fallar. k) Indicador: Data Center Defina las características del Data Center del GPI? Análisis: No existe un data center que cumpla las normas técnicas, en su lugar se ha asignado un espacio donde se han ubicado los servidores y dos rack. No se puede establecer si es que se tiene una instalación de puesta a tierra para protección de los equipos del Data Center (en vista de que el edificio es antiguo y pertenecía a una entidad financiera por lo que su estructura es de difícil acceso). Existe también un UPS de 1 kva que alimenta a los equipos de conmutación y servidores del Data Center en caso de fallas en la energía eléctrica solo permite el funcionamiento por 10 minutos y no soporta la carga instalada y menos soportará la proyectada. l) Indicador: Red de Datos La red de datos está instalada de acuerdo a las normas y estándares internacionales? Análisis: La Red de Datos no se encuentra instalada de acuerdo a normas y estándares. m) Indicador: Red LAN interna Conoce Ud. hace que tiempo se implementó la primera red LAN en el GPI? 49

50 A qué estructura corresponde la red LAN? Análisis: Aproximadamente diez años atrás se implementó la primera red LAN en el local del Consejo Provincial de Imbabura, en aquel entonces la tecnología de redes y comunicaciones estaba en proceso de desarrollo, los estándares respondían a realidades diferentes a las actuales, por ejemplo en aquel tiempo, bastaba con transmitir datos a través de la red; la voz y el video se transmitía utilizando otros medios distintos, por lo cual se precisaba instalar otros medios físicos de transmisión. Su estructura se corresponde a una Lan básica, donde se interconectan en cascada todos los switchs, y la red funciona sin subneting, aprovechando únicamente la proxificación Ethernet del servidor de red y del servidor de voz. n) Indicador: Situación actual del Software Cómo se podría mejorar la situación actual del software en el GPI? Análisis: El directivo y funcionario moderno, debe apropiarse de los cambios y evolución tecnológico, las TIC s son herramientas que posibilitan mejor productividad, su inserción es un proceso fácil en la curva de aprendizaje, pero complejo en los procesos psicosociales, por lo cual es necesario que en el GPI se inicie con el mismo. Es importante resaltar que, la demanda actual de servicios informáticos es completamente convergente, es decir, es necesario a través de la misma red enviar datos, imagen, audio y video. De acuerdo a las circunstancias de trabajo actual, es necesario que los objetivos de cada departamento se apeguen al cumplimiento de los objetivos institucionales y que el elemento aglutinador tanto física como lógicamente sea las TIC`s. En nuestro caso los procesos y productos que se trabajan en cada departamento, en conformidad a las competencias establecidas en la ley deben tener como punto de encuentro una aplicación gerencial. 50

51 o) Indicador: Aplicaciones desarrolladas hasta julio del 2009 Qué porcentaje de aplicaciones desarrolladas hasta julio del 2009, presentan un nivel de integración con el resto de software? Cómo trabajan éstas aplicaciones? Análisis: Hasta el año 2009 se han desarrollado 31 programas informáticos El 100% de las aplicaciones desarrolladas necesitan ser migradas y rediseñadas para que se ajusten a las nuevas competencias y las nuevas políticas de desarrollo de software de la Dirección de TICs. El 95% de las aplicaciones no están debidamente documentadas. El 60% de las aplicaciones anteriormente desarrolladas trabaja en forma independiente sin una verdadera integración de la información. En síntesis no cumplen satisfactoriamente los fines para lo cual fueron desarrolladas éstas aplicaciones, no cuentan con manuales técnicos para su mejora, ni de usuario para un manejo adecuado de las mismas. p) Indicador: Aplicaciones adquiridas a terceros Para qué actividades del GPI han contratado aplicaciones a terceros? Análisis: Se han contratado aplicaciones para el sistema administrativo financiero, sistema financiero integrado y el de Posicionamiento geográfico de vehículos q) Indicador: Desarrollo de aplicaciones no concluidas Para qué actividades del GPI están desarrollando aplicaciones y todavía no están concluidas? Análisis: Para: la gestión de equipo caminero y proyectos viales, gestión de vehículos y talleres y la gestión del talento humano Observación 51

52 a) Indicador: Diagnóstico de equipos en el cuarto de comunicaciones Análisis: En el cuarto de comunicaciones se observó: - Equipos de escritorio que se utilizaban como servidores, cuya arquitectura no está diseñada para ese funcionamiento. - Equipos descontinuados, para los cuales ya no existes repuestos. - La falta de equipos para realizar backups. - El número de puertos no satisfacen las necesidades de la red institucional. - Switchs linksys de 48 puertos, descontinuados. - Algunos switchs en buen estado. - Aire acondicionado doméstico. - 1 UPS que no abastece a los equipos con que cuenta la institución. - 3 equipos de control dactilar, que no están conectados a la red. - Teléfonos IP que ya presentan un desgaste avanzado. Por lo que se puede deducir que existen problemas de conectividad, tienen alto riesgo de pérdida de información, reducido control de acceso al Data Center, seguridad escasa en las aplicaciones. 52

53 Gráfico 5: Cuarto de Telecomunicaciones b) Indicador: Cableado Estructurado Análisis: Durante el levantamiento de información se observó y detectó el incumplimiento de ciertas normas y estándares de cableado estructurado las cuales se especifican a continuación: En el cuarto de comunicaciones se ha detectado que las instalaciones de luminarias y cables de energía eléctrica no cumplen con las normas de cableado estructurado ANSI/EIA/TIA 569. Los requisitos mínimos para separación entre circuitos de alimentación (120/240V, 20 A) y cables de telecomunicación prevé: - Los cables de telecomunicaciones se deben separar físicamente de los conductores de energía; - cuando pasan por la misma canaleta deben estar separados por barreras entre el cableado lógico y el eléctrico; - incluso dentro de cajas o compartimentos de tomas, debe haber separación física total entre los cableados. 53

54 Para reducir el acoplamiento de ruido producido por cables eléctricos, fuentes de frecuencia de radio, motores y generadores de gran porte, calentadores por inducción y máquinas de soldadura, se deben considerar las siguientes precauciones: - aumento de la separación física; los conductores línea, neutro y tierra de la instalación deben mantenerse juntos (trenzados, sujetos con cinta o atados juntos) para minimizar el acoplamiento inductivo en el cableado de telecomunicaciones; - uso de protectores contra irrupción en las instalaciones eléctricas para limitar la propagación de descargas; uso de canaletas o conductos metálicos, totalmente cerrados y puestos a tierra, o uso de cableado instalado próximo a superficies metálicas puestas a tierra; éstas son medidas que irán a limitar el acoplamiento de ruido inductivo. La norma ANSI/EIA/TIA 568 B establece que no deben existir empalmes a lo largo del cableado horizontal, lo que no se cumple en algunos casos ya que no se ha dimensionado correctamente la extensión de los cables y se encuentran colocados jacks flotantes y patch cords para reflejarse en el patch panel. Según los criterios de cableado estructurado: No debe existir cielos falsos en los cuartos de telecomunicaciones para evitar problemas de seguridad física. Las entradas al cuarto de telecomunicaciones del GPI tiene cielos falsos sin las debidas protecciones. Los cuartos de telecomunicaciones deben estar libres de cualquier amenaza de inundación. No debe haber tubería de agua pasando por (sobre o alrededor) el cuarto de telecomunicaciones. De haber riesgo de ingreso de agua, se debe proporcionar drenaje de piso. De haber regaderas contra incendio, se debe instalar una canoa para drenar un goteo potencial de las regaderas. Los puntos de red que se encontraron sin etiqueta no cumplen con lo que especifica la norma ANSI/EIA/TIA 606, la cual propone el uso de Etiquetas únicas e individuales, con la finalidad de identificar los diferentes elementos que forman parte del equipo de telecomunicaciones, el cableado, las rutas y espacios del 54

55 edificio; para ello dichas etiquetas deben estar firmemente sujetas a los elementos que se desean identificar, o de lo contrario cada uno de los elementos debe ser marcado directamente sobre su superficie. Se puede concluir que no existe una correcta administración ni gestión de los puntos de red, como se puede apreciar en el siguiente gráfico: Gráfico 6: Patch Panels c) Indicador: Cableado Horizontal Análisis: Las bandejas metálicas que se encuentran instaladas en los cuartos de telecomunicaciones no solamente soportan los cables de datos, sino, que además conducen los cables de energía eléctrica, pudiendo causar problemas de interferencia electromagnética en los cables de datos. Los cables que van desde el rack hasta las bandejas de techo horizontal no se encuentran instalados con las debidas precauciones, como se puede apreciar en el siguiente gráfico. 55

56 Gráfico 7: Cableado Horizontal En algunos departamentos existen canaletas y cables instalados de forma no apropiada en techos falsos, pisos y paredes. Debido al crecimiento de usuarios dentro de la red se han realizado conexiones con cables directos hacia el switch del cuarto de telecomunicaciones sin llegar a patch panel y sin usar canaletas como se puede apreciar en el siguiente gráfico. Gráfico 8: Conexiones de Cables Directos Existen 30% de puntos de red que tienen daños físicos como jacks sueltos, sin face plate, cajetines sueltos y cajetines rotos. Puntos de red no tienen etiqueta, lo cual dificulta su ubicación dentro del edificio. d) Indicador: Cableado vertical Análisis: No se existe cableado vertical. e) Indicador: Cuartos de telecomunicaciones 56

57 Análisis: Se observó en el cuarto de comunicaciones: dos raks de 48 UR, en el uno se han instalado los servidores y en el otro los switch`s correspondientes con patch panels de datos y de voz, además el router de CNT para conexión a Internet. También se tiene un UPS de 1KVA, un sistema de aire acondicionado doméstico y el switch de energía alterna. En los switch`s ubicados en el cuarto de comunicaciones se observa una gran densidad de puntos de red ocupados, por lo que existe poca disponibilidad para un crecimiento futuro de la red de área local. Los switch`s se encuentran conectados en cascada, es decir no se tiene definida una arquitectura de switching (core, distribución y acceso), estos sirven para dar servicio a ciertos departamentos debido a la alta demanda de puntos de red, esto produce mayor tráfico a nivel de puertos e implica disminución en el ancho de banda haciendo que la red se vuelva más lenta (exceso en el flooding de broadcast). Por lo tanto inferimos que no existe Data Center, pero se ha destinado un ambiente, en el que se encuentran servidores de: red, aplicaciones, telefonía IP, Quipux y POT. f) Indicador: Equipos de control y seguridad Análisis: Se observó que existen cuatro equipos para el control de ingreso y salida de personal por huella dactilar ubicados en el primer piso del edificio principal, en los talleres y en espacio asignado a Gestión de Ambiente, se detalla en la siguiente tabla. CANTIDAD MARCA MODELO ESTADO UBICACION 1 BioSystem BoiKey Vx9.0 Operativo Edificio GPI 1 BioSystem BoiKey Vx9.0 Operativo Talleres 1 Full Time Full Time Operativo Gest. Ambiental 1 Full Time Full Time Operativo PAS Tabla 3: Equipos de control de ingreso y salida de personal 57

58 Estos equipos no tienen conexión a la red institucional, la lectura de datos es realizada de forma manual. g) Indicador: Espectro Wifi Análisis: Se encuentran instalados en el edificio principal 6 AP, existe falta de puntos de red y equipos de telefonía IP obsoletos, como se puede apreciar en el siguiente gráfico: Gráfico 9: Equipos de telefonía IP obsoletos h) Indicador: Certificados de punto de Red Análisis: No existen puntos de red certificados según normas y estándares vigentes. i) Indicador: Mapa de cableado Análisis: Se observa cables mal ponchados, jacks sin face plate, cables torcidos con curvaturas menores a 90 grados, existen muy cerca cajas eléctricas lo cual puede ocasionar interferencia electromagnética. j) Indicador: Data Center Análisis: El área posee un sistema de aire acondicionado doméstico (como se puede apreciar en el siguiente gráfico), que no permite regular la temperatura bajo 58

59 parámetros técnicos adecuados, ocupa mucho espacio y su tiempo de vida útil 8 años - ha fenecido. Gráfico 10: Sistema de aire acondicionado doméstico. k) Indicador: Situación actual del Software Análisis: Se observa en los diferentes departamentos del GPI, que existen aplicaciones y que aunque con falencias si son utilizadas Documentos a) Indicador: Diagnóstico de Equipos de Redes En la siguiente tabla se indica la información analizada: EQUIPO / DIAGNÓSTICO PROBLEMA IMPACTO 59

60 EXISTENCIA clon, con procesador core I7 Compaq proliant ML370 clon, pentium IV 3.0 GH. Fallas continuas, daños periódicos en las piezas y partes 10 años de servicio, vida útil ha caducado, presenta fallas continuas, 5 años de servicio, vida útil ha caducado, su arquitectura no está diseñada para ser servidor, fallas continuas Es equipo de escritorio, arquitectura del equipo no está diseñada para ser servidor, alto riesgo de pérdida de información, pérdida continua en conectividad de telefonía Equipo descontinuado, no existen repuestos en el mercado, su falla total causaría pérdida de la información, sin opción de recuperación Es equipo de escritorio, arquitectura del equipo no está diseñada para ser servidor, pérdida continua en conectividad de telefonía conectividad información conectividad HP proliant DL360G6 Trabajo normal información DELL POWER Trabajo normal información EDGE 2900 HP proliant DL360G6 Trabajo normal información no existe No existe un equipo que realice backups en línea, por una posible caída de la red. Pérdida información de información 60

61 no existe Por la red interna del GPI, se transporta todo tipo de información Las aplicaciones y servicios no tienen control de acceso, seguridad cero en las aplicaciones - información, los usuarios acceden a internet a cualquier página Control no existe No se puede definir VLAN`s, todos los equipos trabajan en una sola red física y lógica Exceso de broadcast en la red, ancho de banda saturado conectividad no existe 3 switch 3com 24 puertos (presenta fallos constantemente) Red existente presenta fallos continuos en transmisión, por exceso de broadcast, y porque existen muchos puertos de los switchs quemados, y cada semana se pierden uno o dos puertos Presentan continuas fallas El número de puertos no satisfacen las necesidades de puertos de red en la institución, se decrementa continuamente el número de puertos, se debe comprar switchs no administrables cada mes para suplir la necesidad Equipos descontinuados, no trabajan a capacidad total, producen corte en comunicaciones, propensos a broadcast conectividad conectividad 1 switch Dyna trabajo normal conectividad de 36 puertos 2 switchs Maipu de 48 puertos Trabajo normal conectividad 61

62 2 switchs linksys de 48 puertos (fallas constantes, trabajan 24 puertos en cada uno) no existe 2 rack de 48 RU 1 aire acondicionado doméstico Continuas fallas En internet si un equipo se apodera del ancho de banda, este lo consume en gran parte, dejando al resto con velocidades muy bajas En buen estado Su vida útil ha caducado, ha tenido 4 reparaciones, las reparaciones se demoran y los equipos corren el riesgo de colapsar por el sistema climático Equipos descontinuados, no trabajan a capacidad total, producen corte en comunicaciones, propensos a broadcast Apropiación de ancho de banda de internet por ciertos usuarios, mediante aplicaciones difíciles de detectar manualmente. No abastecen al número de equipos proyectados Cuando se daña, exceso de calor en el cuarto de equipos, riesgo de que se quemen las mainboards y procesadores de los servidores conectividad Control seguridad y conectividad seguridad 1 ups de 1KVA - 10 minutos Este equipo está funcionando como un regulador de voltaje, no como un verdadero UPS, ya que la potencia de los equipos instalados supera el 1KVA Riesgo de que se quemen las fuentes de poder de los equipos, con la consiguiente pérdida de información de los discos duros de los servidores Seguridad 3 equipos de control dactilar - no conectados a la red Funcionan, pero no están conectados en red para trabajo en línea No están conectados a la red Control 62

63 92 teléfonos IP (76 % adquiridos hace 6 años) En la mayoría no se ve los números del teclado, fallas continuas en los alimentadores de energía, los auriculares presentan ruido. No funcionan correctamente Higiene ocupacional 150 puntos de red (no certificados), de categoría 5 y 6, que soportan máximo 100 Mbps No abastecen el número de usuarios que requieren este servicio, el 60 % no pasan los niveles básicos de certificación, continuamente se implementa parches switchs no administrables - para la ampliación. Problemas en la transmisión de datos en la red interna Conectividad No existe Los cables desde el cuarto de comunicaciones hasta los puntos de red no cumplen las normas de cableado horizontal y exceden la norma. Distancia entre patch panel y punto de red son muy altos Conectividad No existe Los equipos de patronato no tienen conectividad con la red del GPI El trabajo del PAS, y otras dependencias que pudieran ubicarse ahí no tienen conectividad con el GPI Conectividad Tabla 4: Diagnóstico en Equipos del Cuarto de Comunicaciones b) Indicador: Lista de servidores 63

64 En la siguiente tabla se muestra la lista de servidores con sus respectivas IP e interfaces del GPI. SERVIDOR IP INTERFAZ Servidor de red FastEthernet Servidor de aplicaciones FastEthernet Servidor de telefonía IP FastEthernet Servidor sistema financiero GigabitEthernet Servidor de Quipux GigabitEthernet Servidor POT GigabitEthernet Tabla 5: Lista de Servidores del GPI Ninguno de estos equipos cuenta con algún medio físico o de software que garanticen su integridad física ni lógica, a excepción de antivirus (eset) instalado en los equipos que utilizan Windows server c) Indicador: Equipos de Red En la siguiente tabla se indican los equipos de red del GPI. CANTIDAD MARCA MODELO ESTADO 3 Switch 3Com de puertos DEFECTUOSOS 1 Dyna de OPERATIVO puertos 2 Linksys de 48 Srw248g4 DEFECTUOSOS puertos 2 Maipu de 48 My power s3152 OPERATIVOS puertos Tabla 6: Equipos de Red del GPI. d) Indicador: Topología Física 64

65 Análisis: No se tiene documentada la descripción de la topología física y los elementos que conforman la red del GPI incluidas sus direcciones IP, cabe mencionar que no se ha realizado subneting, ni tampoco administración por VLAN`s. e) Indicador: Red de Internet Se analizó el documento correspondiente, se indica una parte del mismo: El proveedor actual del servicio de Internet al GPI es CNT, tiene dos medios físicos para proveer el servicio; uno de ellos es Fibra Óptica, y el otro es enlace de cobre que se lo utiliza como backup. Éstos medios físicos llegan directamente a las instalaciones de cuarto de comunicaciones, desde donde se realiza la distribución del servicio hacia los diferentes usuarios del GPI. El Internet llega hasta los equipos de enrutamiento (cisco 877-m) y servidor de red, los mismos que se encuentran instalados en el Cuarto de comunicaciones. Desde el servidor de red se distribuye el servicio de internet para todos los usuarios del GPI, utilizando como medio de transmisión utp cat 5e. No existe asignación de ancho de banda ni grupos de acceso, se realiza un bloqueo básico a algunos dominios. f) Indicador: Topología Lógica El documento que nos facilita el jefe de infraestructura está indicado que no se tiene diseñada la topología lógica de la red. g) Indicador: Situación actual del Software Según informes departamentales, en los últimos meses el GPI ha adquirido el sistema financiero Olimpo, que ha absorbido el 35% de las aplicaciones desarrolladas internamente, por lo tanto queda pendiente por desarrollar el 65%, más la integración que se deberá hacer a causa de ésta adquisición. 65

66 h) Indicador: Aplicaciones desarrolladas hasta julio del 2009 Según informe departamental, tenemos que las aplicaciones desarrolladas Dirección de Gestión de Tecnologías de la Información Comunicación son: en la N NOMBRE DESCRIPCIÓN PLATA FORMA 1 ADMINISTRACIÓN Administra las WEB, PHP, aplicaciones web en la MYSQL Intranet y los usuarios 2 SCOAD 3 ANTICIPOS DE SUELDO 4 BODEGA 5 CERTIFICADO 6 7 CONTROL DE ACCESO CONTROL TELEFÓNICO 8 PINES 9 DOCUMENTACIÓN EXTERNA 10 JUBILACIÓN 11 LEGAL 12 NOTICIAS Sistema de Costos por administración Directa Verifica las remuneraciones de los tres últimos meses de empleados y trabajadores Sistema que alimenta al SCOAD en cuanto a materiales y repuestos Sistema que emite los Certificado de No Adeudar al GPI previa consulta en Base de Datos Sistema de control de asistencia del personal Sistema que controla el uso de minutos de la central telefónica Sistema que genera y administra pines de acceso telefónico para los funcionarios Sistema de seguimiento de la documentación que ingresa al GPI Verifica las remuneraciones de los tres últimos meses de los jubilados Sistema que permite ver las Resoluciones, Ordenanzas y Actas Es un generador de noticias que se conecta a la WEB 13 OBRAS Módulo del SCOAD 14 MANTENIMIENTO 15 ORDENES DE BODEGA Sistema que registra los mantenimientos vehiculares Ordenes de Ingreso a Bodega WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL GPI WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL directamente WEB, PHP, MYSQL que permite la gestión de Obras WEB, PHP, MYSQL WEB, PHP, MYSQL ESTADO OPERANDO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO OPERANDO OPERANDO OPERANDO OPERANDO OPERANDO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO OBSER - VACIÓN Migrar Migrar Migrar Migrar Migrar Migrar Migrar Migrar Migrar Reempla-zado por OLYMPO Migrar Migrar Reempla - zado por OLYMPO Reemplazado por OLYMPO 66

67 16 PERSONAL 17 ROL DE PAGOS 18 TRANSPORTE 19 VIÁTICOS 20 ACTIVOS FIJOS BIENES DE CONTROL CONSUMO INTERNO ANÁLISIS DE PRECIOS UNITARIOS CONTROL DE CONTRATOS SISTEMA DE VIALIDAD ADMINISTRACIÓN DE CONTRATOS SISTEMA DE RECURSOS HUMANOS SISTEMA DE INFORMACIÓN GEOGRÁFICA 28 TESORERÍA Sistema de Administración de Nómina Sistema que genera los roles de pago Sistema que registra la entrega de combustibles Sistema de registro de viáticos Sistema que registra los Activos Fijos Sistema que registra los Bienes de Control Sistema que registra los consumibles Sistema que genera los presupuestos de obra Registro de Contratos Sistema de Administración del Equipo Caminero Sistema de información de Contratos y Ordenes de Trabajo Sistema de gestión de Recursos Humanos Sistema que publica los resultados del GIS a través de la WEB Control de los comprobantes de pago, ordenes de transferencia y timbre provincial WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL FOX FOX FOX HARBOUR +DBASE CLIPPER WIN HARBOUR- MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, POSTGRES CLIPPER DOS NO ESTA EN USO NO ESTÁ EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO OPERANDO OPERANDO DESARROLLO PARALIZADO OPERANDO POR DESARROLLA R OPERANDO OPERANDO Tabla 7: Aplicaciones Desarrolladas en la Dirección hasta julio del 2010 Reempla - zado por OLYMPO Reempla - zado por OLYMPO Reempla - zado por OLYMPO Reempla-zado por OLYMPO Reempla-zado por OLYMP Reempla-zado por OLYMPO Reempla-zado por OLYMPO Migrar Migrar Retomar en nueva plataforma Migrar Cubierto por OLYMPO Migrar i) Indicador: Aplicaciones adquiridas a terceros Según informe departamental, tenemos que las aplicaciones adquiridas a terceros son: N NOMBRE DESCRIPCIÓ N 29 GUBWIN Sistema Administrativo Financiero 30 OLYMPO Sistema Financiero Integrado 31 GEORUTA Posicionamiento Geográfico de Vehículos PLATAFORMA AUTOR ESTADO VISUAL FOX SQL Server SQL Server PROTELC OTELSA Tabla 8: Aplicaciones Adquiridas a Terceros NO ESTÁ EN USO OPERAN DO OPERAN DO OBSERVA- CIÓN Reemplazado por OLYMPO 67

68 j) Indicador: Aplicaciones no concluidas Según informe departamental, tenemos que las aplicaciones no concluidas son: N NOMBRE DESCRIPCIÓN 32 SISTEMA DE VIALIDAD Gestión de Equipo Caminero y Proyectos Viales 33 GPICAR Sistema para la Gestión de Vehículos y Talleres 34 RECURSOS Sistema de Gestión del HUMANOS Talento Humano PLATAFOR MA Tabla 9: Aplicaciones no concluidas ESTADO Paralizado Paralizado Paralizado OBSERVA- CIÓN Reemplazado por OLYMPO Reemplazado por OLYMPO k) Indicador: Misión del GPI Coordinar, planificar, ejecutar y evaluar el Plan de Desarrollo Provincial Participativo; fortaleciendo la productividad, la vialidad, el manejo adecuado de sus recursos naturales y promoviendo la participación ciudadana, a fin de mejorar la calidad de vida de sus habitantes. l) Indicador: Visión del GPI El Gobierno Provincial de Imbabura, se consolida como una Institución de derecho público, autónoma, descentralizada, transparente, eficiente, equitativa, incluyente y solidaria, líder del desarrollo económico, social y ambiental provincial. m) Indicador: Misión de la Dirección de Gestión de tecnologías de la Información y Comunicación Dirigir la formulación y seguimiento del Plan Estratégico de Tecnologías de Información alineado al Plan Operacional y Estratégico del GPI, así como gestionar los proyectos de Tecnología de Información y apoyar la gestión administrativa del Departamento. n) Indicador: Misión de la Unidad de Gestión de Proyectos Desarrollar, incorporar e implementar sistemas de información que requiera el GPI para su óptima operación, administración y gestión. 68

69 o) Indicador: Misión de la Unidad de Gestión de infraestructura Diseñar, instalar y optimizar la arquitectura de hardware, software, redes (voz, datos y telefonía) y comunicaciones del GPI de manera que permita que los productos y servicios informáticos puedan ser brindados en condiciones de alta disponibilidad y confiabilidad utilizando las ventajas que nos brinda la tecnología. p) Indicador: Misión de la Unidad de Gestión de Servicios Velar por la correcta operatividad de la plataforma tecnológica del GPI (hardware, software, redes y comunicaciones), protegiendo la información tanto de ingreso como de salida; asimismo, el soporte a usuarios de primer nivel y de la certificación de los productos puestos en operación. Brindar en forma centralizada el soporte técnico de primer nivel en la solución de los problemas en equipos, software y servicios de computación personal que reporten los usuarios internos y externos del GPI. q) Indicador: Funciones de la Unidad de Gestión de Proyectos Según informe, le corresponde a esta unidad: Participar en el proceso de formulación del Plan Anual Operativo del Departamento y el Plan Estratégico de TIC s, alineado al Plan Estratégico del GPI. Centralizar en la Agenda de Proyectos Informáticos, los proyectos inscritos en el Plan Anual Operativo del GPI, Planes Departamentales y aquellos proyectos derivados de requerimientos tanto internos como externos. Gestionar la Agenda de proyectos informáticos, definiendo el alcance de los mismos en coordinación con las áreas usuarias, así como determinando su viabilidad técnica y estableciendo los recursos requeridos. Mantener actualizada la Agenda de proyectos informáticos, así como realizar el seguimiento periódico de la ejecución de los mismos, de acuerdo a la planificación, a fin de informar a las instancias correspondientes los avances, y sugerir las acciones correctivas de ser el caso. 69

70 Centralizar y coordinar la disponibilidad de facilidades logísticas y administrativas requeridas para el desarrollo de los proyectos comprendidos en la agenda de proyectos informáticos. Participar en la formulación y actualización del Plan de Seguridad de la Información y Plan de trabajo del GPI, así como supervisar la implementación de las políticas, procedimientos y recomendaciones asociadas a la Seguridad de la Información y Riesgos en TIC s. Centralizar y coordinar con los organismos públicos y privados la obtención y renovación de licencias de instalación y operación de software de libre distribución y propietario en caso de ser necesario y que no se contraponga con el decreto 1014(uso y cesión de software de libre distribución), igualmente de frecuencias del espectro radioeléctrico y servicios telemáticos; así como de asistencia técnica que coadyuve al intercambio óptimo de información en las redes que genere el GPI. Proponer los indicadores de niveles de servicios informáticos, así como analizar y evaluar la medición de estos parámetros, a fin de sugerir acciones para el mejoramiento continuo de los procesos y uso de las TIC s. Formular y controlar el Presupuesto de Inversiones de Tecnologías de Información y Comunicación. Formular normas, metodologías y estándares aplicados a las TIC s. Participar como representantes del Departamento, en los procesos de selección y/o adquisición de bienes y/o servicios. Consolidar las necesidades de capacitación del Departamento y formular el Plan de Capacitación para su respectiva aprobación. Revisar y actualizar los procesos del Departamento de acuerdo a los avances tecnológicos. Realizar otras funciones afines que le sean asignadas por la Jefatura del Departamento. Funciones Particulares: Elaborar el perfil técnico de los proyectos de sistemas de información, definidos en la Agenda de proyectos informáticos. 70

71 Planificar las actividades y recursos de los proyectos de sistemas de información, de acuerdo a las normas establecidas en el GPI. Desarrollar los sistemas de información que requieran las dependencias del GPI, de acuerdo a las prioridades establecidas en la Agenda de proyectos informáticos. Efectuar el mantenimiento y actualización de los sistemas de información garantizando su adecuación a las necesidades de los usuarios, su continuidad y/o correcta operatividad. Implementar las soluciones de sistemas de información desarrolladas por la Sección, así como participar y supervisar la implementación de las aplicaciones adquiridas o cedidas por terceros, a fin de garantizar su correcta operatividad e integración con la arquitectura de aplicaciones del GPI. Proponer soluciones en sistemas de información que optimicen los procesos y generen valor al GPI. Participar en la definición de especificaciones técnicas de los sistemas de información adquiridos o cedidos por terceros, así como supervisar el cumplimiento de las obligaciones contractuales respectivas. Participar en las reuniones de coordinación de proyectos de sistemas de información con entidades externas. Participar en la elaboración de normas, metodologías, estándares y/o técnicas, que mejoren y optimicen los procesos de planeamiento, desarrollo e implementación de los sistemas de información. Participar en la elaboración de estándares y Plan de Seguridad de la Información, asimismo, implementar las políticas de Seguridad de Información. Apoyar al usuario final en el adecuado uso de los sistemas de información, proporcionándole las herramientas y los medios necesarios para tales fines. Participar en la formulación del Plan Operativo y presupuestos de inversión del Departamento en recursos de hardware y software que requiera el GPI para la implementación del Plan Estratégico de TIC s y Plan Operativo Anual. Administrar la documentación de los sistemas de información; así como, la biblioteca técnica que incluya los manuales y documentos que sirvan de apoyo a los usuarios finales y de actividades de investigación. 71

72 r) Indicador: Funciones de la Unidad de Gestión de infraestructura Según informe, le corresponde a esta unidad: Evaluar, planificar, diseñar y configurar la arquitectura de comunicaciones de los computadores centrales, servidores corporativos, redes de voz, telefonía y datos, tanto interno como externo al GPI. Investigar nuevas tendencias tecnológicas, evaluar y probar nuevos productos de hardware, software y servicios para considerar su posible aplicación en el GPI. Planificar el crecimiento o expansión de la infraestructura de comunicaciones o telefonía que requiera el GPI para el cumplimiento del Plan Operativo y de TIC s. Brindar el soporte especializado en infraestructura y comunicaciones o supervisar el servicio de terceros en servicios de su competencia. Definir la arquitectura en infraestructura, comunicaciones y telefonía asegurando su integración con los servicios informáticos que el GPI posee. Evaluar, diseñar, implementar, mantener y definir la configuración de los medios de comunicaciones para los puntos de red rurales. Participar en la formulación de los Planes de Tecnología de Información y Presupuesto del Departamento en relación a equipos y software de la infraestructura de cómputo y telefonía, definiendo las especificaciones técnicas de sus componentes. Diseñar, implementar, administrar, dar soporte y mantenimiento del sistema de gestión de redes de comunicación y servicios garantizando la continuidad y correcta operatividad. Participar en la evaluación e instalación de sistemas, equipos informáticos y telefonía adquiridos por otras dependencias que requieran conexión a la red de comunicaciones del GPI. Coordinar con los proveedores de servicios de transmisión de datos así como realizar las coordinaciones para los mantenimientos preventivos y correctivos. Diseñar y mantener el modelo físico de las bases de datos del GPI, permitiendo su eficiente utilización en los sistemas operacionales y de información. Coordinar, diseñar, evaluar e implementar la interconexión de equipos y redes del GPI con redes de otras instituciones. 72

73 Mantener actualizado el software base del GPI, planificando y ejecutando la instalación de las nuevas versiones. Asegurar la permanente comunicación, funcionalidad, confiabilidad y seguridad entre las dependencias del GPI, estableciendo normas que garanticen la seguridad en la transmisión y/o recepción de voz, así como su buen uso. Evaluar, planificar y diseñar las mejoras en la red de comunicaciones y telefonía corporativa, en cuanto a recursos de hardware, software, ancho de banda y de la infraestructura de comunicaciones en la red interna y externa al GPI. Evaluar, diseñar, controlar y definir la configuración de los equipos de comunicación, conformados por routers, switches, puntos de acceso y módems, centrales telefónicas y/o servidores de llamadas, en las sedes administrativas y operativas del GPI. Administrar el inventario de licencias de software y equipos de cómputo que el GPI adquiera, reciba en legación o alquile. Realizar otras funciones afines que le sean asignadas por la Jefatura del Departamento. s) Indicador: Funciones de la Unidad de Gestión de Servicios Según informe, Le corresponde a esta unidad: Recibir y registrar las solicitudes de atención de problemas reportados por los usuarios. Velar por la operatividad y seguridad física del centro de cómputo, protegiendo la información de ingreso, salida y almacenamiento. Participar en la elaboración del Plan de Contingencia que hará frente a las interrupciones en las operaciones del sistema de cómputo y las redes. Así como también, la implementación de acciones que mitiguen los riesgos en TIC s. Aplicar las normas y estándares en la certificación de productos informáticos, así como de los procedimientos automatizados, a fin de incrementar la productividad de los recursos de cómputo. Supervisar los sistemas de monitoreo de la plataforma tecnológica, a fin de garantizar su adecuado funcionamiento. 73

74 Centralizar y atender en primer nivel a los usuarios finales en la solución de problemas de operación de sus equipos de cómputo, software aplicativo y comunicaciones. Aplicar las políticas y procedimientos de seguridad de acuerdo al Plan de Seguridad de la Información y Plan de trabajo del GPI, en lo relacionado a su competencia. Procesar los datos generados por las áreas y emitir oportunamente la información requerida por los usuarios y las aplicaciones. Ejecutar los planes de respaldo y las recuperaciones de información que se requieran para garantizar la continuidad operativa de la instalación. Proponer, implementar y/o actualizar herramientas y de adecuados procedimientos de administración de centros de cómputo. Otras funciones afines que le sean asignadas por la Jefatura del Departamento. Brindar el soporte técnico de primer nivel a los usuarios, de ser necesario escalar la atención a soporte especializado (a las oficinas del Departamento), manteniendo informado en todo momento al usuario. Realizar la priorización, asignación y el seguimiento de los requerimientos registrados. Absolver consultas técnicas de los usuarios, incentivándolos en el mejor uso y operación de las tecnologías de la Información. Facilitar el cumplimiento de su función con el uso de herramientas de distribución de software, toma de inventario y control remoto. Administrar la Base de Conocimientos de Solución de Incidentes, para un correcto uso y distribución de información a los usuarios, como también para la elaboración de un Plan de Capacitación anual a usuarios finales. Capacitar al usuario final, suministrando conocimientos del software aplicativo para su correcta utilización y explotación. Ejecutar los planes de respaldo y la recuperación de información que se requieran para garantizar la continuidad operativa del GPI. Administrar los medios de almacenamiento de datos que permitan una operatividad óptima de los recursos informáticos. 74

75 Proponer mejoras en los procesos de ejecución Batch y/o Distribuidos para un mejor uso de los recursos tecnológicos del GPI. Elaborar y actualizar la documentación de los sistemas de información desarrollados por el Departamento, centralizando en la biblioteca técnica los manuales y documentos que sirvan de apoyo a los usuarios finales y de referencia técnica a los integrantes de la Sección. Realizar otras funciones afines que le sean asignadas por la Jefatura del Departamento FODA Fortalezas Know how 6 del personal técnico de la dirección de TIC. Estructura Organizacional adecuada de la Dirección de TIC s. Predisposición al cambio. Apoyo del Director de TIC s. Presupuesto asignado para equipamiento tecnológico Oportunidades Nuevo Marco Legal a favor de las competencias de GPI en aspectos tecnológicos (COOTAD 7 ). Colaboración con CONCOPE 8 para capacitación e implementación de herramientas tecnológicas. Interés de empresas e instituciones públicas para convenios de cooperación Apoyo de la Dirección de Gestión de Cooperación Internacional. Posibilidad de cooperación con empresas públicas venezolanas. Posibilidad de implementar software de uso libre, minimizando costos. Posibilidad de adquirir herramientas informáticas forenses para inducir a un proceso preventivo de los ataques tecnológicos. 6 Know how: Conocimiento que se adquiere en base a la experiencia 7 COOTAD: Código Orgánico de Ordenamiento Territorial Autonomía y Descentralización 8 CONCOPE: Consorcio de Gobiernos Provinciales del Ecuador. 75

76 Coyuntura política Debilidades Falta de personal técnico para apoyo en procesos de administración y proyectos de TI. Falta de planificación de informática adecuada. Carencia de un plan de capacitación adecuado. Espacio físico no funcional para el desarrollo de actividades de la dirección de TIC s. Falta de normas y políticas sobre el uso de TIC s. Insuficientes recursos financieros para contratación de personal técnico Amenazas Falta de comunicación y colaboración con las diferentes áreas. Carencia de definición formal de procesos en las diferentes áreas. Dependencia de terceros en la implantación de software propietario Demora en el establecimiento formal de los cargos y funciones correspondientes a la nueva estructura orgánica vigente. Recortes presupuestarios debido a situaciones emergentes. El cambio en la definición de políticas tecnológicas en el país. Incremento de nuevas formas de delinquir tecnológicamente ESTRATEGIAS FA, FO, DO, DA Fortalezas Amenazas Fortalecer las capacidades de gestión institucional para la gobernabilidad democrática a través del uso de las TIC s. Diseñar una metodología para implementar el análisis informático forense en el GPI. Oportunidades Diseñar e implementar los manuales de normalización para el desarrollo de las aplicaciones y el uso del hardware y software, de tal forma que el personal del área de informática como los usuarios tenga el conocimiento de las actividades que se puede realizar y las herramientas disponibles. Implementar una metodología informática forense para el control preventivo de ataques tecnológicos. 76

77 Debilidades Diseñar políticas y procedimientos a ser implementados en el GPI. Mejorar la seguridad en el área física del Data Center. Implementar mecanismos de seguridad de acceso al software, en sus diferentes niveles: protección a la red, a la base de datos, a los sistemas y a los datos. Realizar un análisis de varias herramientas informáticas forenses, que podrían utilizarse en caso de presentarse un delito informático. Establecer un plan de contingencia tanto de hardware como de software, para garantizar la continuidad en el procesamiento de datos. Promover mecanismos de respaldo tanto en hardware como software. Tabla 10: Estrategias FA, FO, DO, DA Nota: En el capítulo V se desarrolla la siguiente estrategia, planteada en la tabla anterior. Diseñar políticas y procedimientos a ser implementados en el GPI. En el capítulo VI se desarrolla las siguientes estrategias, planteadas en la tabla anterior. Diseñar una metodología para implementar el análisis informático forense en el GPI. Realizar un análisis de varias herramientas informáticas forenses, que podrían utilizarse en caso de presentarse un delito informático DETERMINACIÓN DEL PROBLEMA DIAGNÓSTICO El campo de acción de un departamento informático siempre está en constante desarrollo y evolución y no es ajeno a esta dinámica de cambio el departamento de Gestión de las Tecnologías de la Información y comunicación del GPI. Del análisis de la información diagnóstica, se puede concluir que el problema principal es la falta de una Metodología para el análisis informático forense en el Gobierno Provincial de Imbabura, causada básicamente por: la falta de personal técnico para apoyo en procesos de administración y proyectos de tecnologías de información, la carencia de un plan de capacitación, normas y políticas sobre el uso de TIC s, combinadas con la falta de comunicación y colaboración en 77

78 las diferentes áreas y además el incremento sustancial de nuevas formas de delinquir tecnológicamente, que conducen al GPI a estar expuesto a problemas de seguridad como: fraude, robo de información confidencial, espionaje institucional, competencia desleal, etc., presentando una vulnerabilidad alta, que al ser descubierta por un atacante, el GPI se encontraría en serios problemas. 78

79 CAPÍTULO III: ANÁLISIS DE LA SITUACIÓN JURÍDICA EN EL ECUADOR 3.1. ANTECEDENTES Gerberth Adín Ramírez Rivera, nos dice que para que todo lo realizado en la informática forense sea exitoso, es necesario que se tengan regulaciones jurídicas que penalicen a los atacantes y que pueda sentenciárseles por los crímenes cometidos. Cada país necesita reconocer el valor de la información de sus habitantes y poder protegerlos mediante leyes. De manera que los crímenes informáticos no queden impunes [8]. La Pirámide Kelseniana es un referente que ilustra la categorización de las leyes y normas legisladas en general [9]. La propuesta de Kelsen adaptada a la realidad ecuatoriana y al nuevo orden legal y de derecho, podemos resumirla en: - La Constitución del Ecuador, en su art. 24 establece: La Constitución es la norma suprema y prevalece sobre cualquier otra del ordenamiento jurídico. Las normas y los actos del poder público deberán mantener conformidad con las disposiciones constitucionales; en caso contrario carecerán de eficacia jurídica. La Constitución y los tratados internacionales de derechos humanos ratificados por el Estado que reconozcan derechos más favorables a los contenidos en la Constitución, prevalecerán sobre cualquier otra norma jurídica o acto del poder público. - La Constitución del Ecuador, en su art. 425 reza: El orden jerárquico de aplicación de las normas será el siguiente: La Constitución; los tratados y convenios internacionales; las leyes orgánicas; las leyes ordinarias; las normas regionales y las ordenanzas distritales; los decretos y reglamentos; las ordenanzas; los acuerdos y las resoluciones; y los demás actos y decisiones de 79

80 los poderes públicos. En caso de conflicto entre normas de distinta jerarquía, la Corte Constitucional, las juezas y jueces, autoridades administrativas y servidoras y servidores públicos, lo resolverán mediante la aplicación de la norma jerárquica superior. La jerarquía normativa considerará, en lo que corresponda, el principio de competencia, en especial la titularidad de las competencias exclusivas de los gobiernos autónomos descentralizados Las Naciones Unidas, a través del CNUDMI (Comisión de las Naciones Unidas para el Derecho Mercantil Internacional), en 1996 publica la Ley Modelo sobre comercio Electrónico, incluyendo una guía para que sea incorporada en el aparato legal de cada País, siendo ésta la primera experiencia formal sugerida a los países para poder utilizar los medios electrónicos y digitales como instrumentos para finiquitar tratos y negocios, facultando los principios de no discriminación, neutralidad y equivalencia, tanto interna y externamente en cualquier país. En el 2001, el CNUDMI, lanza la Ley modelo para utilización de firmas electrónicas y establece los criterios para su fiabilidad técnica y su equivalencia entre firma manuscrita y la propuesta. En el 2005, este organismo convocó a una convención para tratar sobre la utilización de las comunicaciones electrónicas en los contratos internacionales, garantizando la validez del comercio internacional utilizando medios electrónicos. En el 2006, se realiza una recomendación a la convención sobre reconocimiento y la ejecución de las sentencias arbitrales extranjeras, como respuesta al incremento del comercio electrónico, nuevas leyes internas en los países miembros y su jurisprudencia [10]. Como podemos inferir, el desarrollo de las comunicaciones, causó el aparecimiento de realizar trámites de comercio a través de las redes, es aquí cuando se comienza a detectar ciertas vulnerabilidades que cuestionan seriamente este nuevo estilo de vida, y que necesita de una nueva forma de prevenir, controlar y sancionar delitos que puedan ejecutarse bajo esta modalidad. En Sudamérica, el primer país que se preocupó por estos temas fue Chile, promulgó ley contra delitos informáticos, la cual entró en vigencia el 7 de junio de 1983, En 1999 Colombia publica su ley 527, misma que regula el comercio electrónico, firmas digitales y la entidades de certificación luego en el mes de mayo del año 2000 Perú publica la ley 27269, 80

81 sobre Ley de Firmas y Certificados Digitales. Luego, le siguen en el 2001 Argentina y Venezuela, luego Ecuador en el año LEGISLACIÓN ECUATORIANA SOBRE DELITOS INFORMÁTICOS Desde el aparecimiento de la dependencia tecnológica en el quehacer de la humanidad, la justicia encontró una nueva necesidad de tipificar los delitos que por esta causa iban apareciendo, siendo similares por su consecuencia a los delitos comunes (estafa, robo, suplantación de identidad, etc.), pero por su origen y medio de ejecución, totalmente diferentes, encontrando que todos aquellos dispositivos a través de los cuales se transporta y se almacena información digital son los lugares recurrentes donde se cometen estos delitos y también por ende son los lugares donde se puede indagar por parte del perito para encontrar las evidencias del caso. Como consecuencia, las investigaciones se orientan a analizar la relación entre Derecho e informática, fueron causa de muchos congresos, foros, mesas redondas, etc, concluyendo en la aparición de dos nuevos conceptos, esto es: Informática Jurídica y Derecho Informático; el primero engloba todas las actividades en las que apoya la informática para la automatización del Derecho, el segundo concepto es más complejo ya que se refiere a toda la legislación y aparataje legal con fines de prevenir, investigar y sancionar delitos que por el uso de la informática se producen. Los delitos informáticos han tenido un crecimiento acelerado los últimos años y por ser cometidos dentro de una especialidad en constante evolución, se ha vuelto necesario que tanto el aparato legal estatal como la policía judicial en nuestro país y además los técnicos informáticos de empresas públicas y privadas estén en constante capacitación, tanto en seguridad de infraestructura física como lógica, esto con el fin de integrar sólidamente el cuerpo policial y peritaje de informática forense. En entrevistas realizadas a Jueces de la Corte de Justica de Imbabura mencionan que no están capacitados para interpretar y resolver sobre delitos informáticos y que igualmente son contados los peritos informáticos calificados para el efecto. En el Ecuador, paulatinamente ha ido ganando terreno el hecho de que la información es un bien jurídico, y que como tal debe precautelarse, para ello ha emitido la siguiente legislación: 81

82 a. Constitución Política del Ecuador (2008). Art. 66, numeral 19, Art. 92 b. Ley Orgánica de transparencia y Acceso a la Información Pública (2004) c. Reglamento General a la Ley Orgánica de transparencia y Acceso a la Información Pública (2005) d. Reformas al Reglamento General a la Ley Orgánica de transparencia y Acceso a la Información Pública(2005) e. Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos (2002) f. Reglamento General a la Ley de Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos (2002) g. Reformas al reglamento general a la Ley de Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos (2008) h. Ley de Propiedad intelectual (1998) i. Ley Especial de Telecomunicaciones. (1992) j. Ley de Control Constitucional (Reglamento de Habeas Data) 3.3. CÓDIGO PENAL DEL ECUADOR A continuación se realiza un resumen de lo legislado en el Ecuador en lo que se refiere a delitos informáticos y se relaciona con en el código penal (CP) para el establecimiento de sanciones. INFRACCIONES INFORMÁTICAS REPRESIÓN MULTAS Delitos contra la información protegida (CP Art. 202) 1. Violentando claves o sistemas accede u obtiene información 2. Seguridad nacional o secretos comerciales o industriales 3. Divulgación o utilización fraudulenta 4. Divulgación o utilización fraudulenta por custodios 5. Obtención y uso no autorizados 6 meses a 1 año 1 a 3 años 3 a 6 años 6 a 9 años 2 meses a 2 años $500 a $1000 $ $1500 $ $ $ $ $ $2.000 Destrucción maliciosa de documentos (CP Art. 262) Falsificación electrónica (CP Art. 353) 3 a 6 años a 6 años

83 Daños informáticos (CP Art. 415) 1) Daño dolosamente 2) Servicio público o vinculado con la defensa nacional 3) No delito mayor 6 meses a 3 años 3 a 5 años 8 meses a 4 años $60 $150 $200 - $600 $200 - $600 Apropiación ilícita (CP Art. 553) 1) Uso fraudulento 2) Uso de medios (claves, tarjetas magnéticas, otros instrumentos Estafa (CP Art. 563) Contravenciones de tercera clase (CP Art. 606) 6 meses a 5 años 1 a 5 años Tabla 11: Infracciones informáticas. Fuente: Código Penal del Ecuador $500 - $1000 $ $ años $ a 4 días $7 - $ LOS DELITOS INFORMÁTICOS EN EL ECUADOR Las Naciones Unidas, a través de su organismo, CNUDMI, estableció los lineamientos generales para que en los países miembros regulen y legislen estos nuevos actos delictivos que aparecían y se desarrollaban conforme avanzaba la tecnología, fueron muchos los intentos por establecer estas normas, sin embargo la situación política irregular que vivió el país después de la dictadura, no permitieron aterrizar en algo concreto y los intentos se desvanecían poco a poco, los primeros participantes en reuniones para proponer una ley al respecto fueron: superintendencia de bancos, banco central, asociación de bancos privados, asociación de financieras del Ecuador, ministerio de relaciones exteriores, servicio de rentas internas, corporación aduanera del Ecuador, ministerio de comercio exterior, ministerio de turismo, cámaras de comercio de Quito y Guayaquil, universidades, operadores privados de telefonía. Pese a que no existe tipificado como delito informático, las infracciones cometidas en o sobre medios digitales o electrónicos, nuestra legislación ya prevé sanciones por ciertas acciones como se lo observa en la tabla 11, esto demuestra que se necesita establecer la metodología que permita: definirlos, demostrarlos, prevenirlos y combatirlos. Las infracciones informáticas son de diferente índole de origen y de individuos o grupos que las realizan, de la información recolectada, propongo la siguiente clasificación de delincuentes informáticos: 83

84 Hacker: se refiere al delincuente más común en la infraestructura física y lógica de las comunicaciones digitales y electrónicas, comúnmente se dedica a descifrar claves para ingresar a sitios no autorizados, utilizando los mínimos recursos. Es decir, su misión violar la seguridad informática, aunque aparentemente tengan un código de ética, que en su parte pertinente indica que la información deberá ser libre y gratuita, desconfiando de la autoridad y promoviendo procesos descentralizados. Desde luego que la concepción del hacker, difiere con la del procedimiento legal, ya que el hecho de ingresar sin autorización a algún sistema, ya es un delito, algunos hackers manifiestan que su ingreso a los sistemas lo hacen por diversión, para dar un paseo de diversión y suelen llamarlo JOY RIDING. Cracker: se denomina así al individuo que ingresa a un sistema informático para hacer daños en la información o para robarla. También suele realizar reingenierías del software para dejarlos abiertos y que no requieran claves para su activación. Generalmente su acción se difunde a través de la red para conocimiento general. Phreaker : Se relacionan con toda la actividad de telefonía, sea esta convencional, celular, móvil, terrestre. Sus inicios fueron con la telefonía analógica, pero actualmente tienen amplios conocimientos de telefonía digital e inalámbrica, es decir sobre conmutación de paquetes. Su propósito es apoderarse, interferir, dañar, destruir, conocer, difundir, obviar pago por uso, lucrar con el servicio, hacer actos de sabotaje, o hacer uso de la información accediendo al sistema telefónico, busca sabotear, pinchar, pueden clonar líneas de celular, tarjetas y captar información del aire. Lammers: individuos que no poseen muchos conocimientos, y que actúan con los procedimientos publicados en internet o a través de otros medios por los hackers o crackers. Gurus: Personas que sirven de maestros de los hackers, no están en actividad. Bucaneros - Pirata Informático: Son aquellas personas que comercializan los productos de los crackers. 84

85 Trashing: aquellos que están pendientes de la basura física y también de la basura lógica, para utilizarla por medios informáticos con el fin de cometer delitos. Virucker: Generalmente una variante del hacker, que al realizar el hackeo procede a insertar código en el sistema para dañarlo, alterarlo o destruirlo, creando la consecuencia de inutilizar los sistemas. En los medios de comunicación pública constantemente se publican acciones delictivas cometidas a través de medios electrónicos, pero también se especula que existen muchos afectados que no se atreven a denunciarlos, por esta razón, no existen estadísticas formales que permitan visibilizar el número, el tipo y la incidencia de los delitos informáticos, pero lo que sí se asegura en estos medios es el incremento paulatino en este tipo de actividad delincuencial TIPOS DE DELITOS INFORMÁTICOS Luego de un análisis exhaustivo de varias formas de tipificar los delitos informáticos, a continuación se detalla una tabla que recopila la mayor cantidad de delitos y sintetiza sus características: Fraudes cometidos mediante manipulación de computadoras Delitos Reconocidos por las Naciones Unidas Manipulación de los datos de entrada La manipulación de programas Características Este tipo de fraude informático conocido también como sustracción de datos, representa el delito Informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. 85

86 Manipulación de los datos de salida Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a partir de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipos y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. Fraude efectuado por manipulación informática Aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica especializada que se denomina "técnica del salchichón" en la que "rodajas muy finas" apenas perceptibles de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Tabla 12: Fraudes mediante computadoras Fuente: Falsificaciones Informáticas Delitos Reconocidos por las Naciones Unidas Características Como Objeto Cuando se alteran datos de los documentos almacenados en forma computarizada. Como instrumentos Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos. Tabla 13: Falsificaciones informáticas Fuente: 86

87 Daños o modificaciones de programas o datos computarizados (Delitos reconocidos por las Naciones Unidas) Sabotaje informático: Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Técnicas que permiten cometer sabotajes informáticos Virus Gusanos Bomba lógica o cronológica Acceso no autorizado a Sistemas o Servicios Piratas informáticos o Hackers Características Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba. Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informáticos (Hacker) hasta el sabotaje o espionaje informático. El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema, esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. 87

88 Reproducción no autorizada de programas informáticos de protección Legal. Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual. Tabla 14: Daños o modificaciones de programas o datos computarizados Fuente: Realizando una compilación general, se puede enumerar los delitos informáticos de la siguiente manera: fraudes, ataques contra el derecho a la intimidad, infracciones a la propiedad intelectual, falsedades, sabotajes, terrorismo virtual, amenazas, tráfico de drogas, calumnias, injurias, hostigamiento, acoso, pornografía infantil, entre los más comunes. 88

89 CAPÍTULO IV: NIVELES DE SEGURIDAD 4.1. SERVICIOS DE SEGURIDAD INFORMÁTICA Todas las metodologías, actividades y acciones que se implementan para contrarrestar los impactos de los delitos informáticos sobre la integridad y privacidad de datos, se denominan servicios de seguridad Informática, mismos que se aplican de acuerdo a la realidad de cada empresa. Con el vertiginoso crecimiento de la Tecnologías de la Información y las Telecomunicaciones se han abierto cada vez más las zonas vulnerables para una empresa y sus datos Importancia de la Seguridad Informática Desde un simple contagio de virus informáticos hasta verdaderas catástrofes han sido el producto de las acciones de los delincuentes informáticos. La humanidad día a día incrementa el volumen de información, existen y aparecen más organismos, lugares e instituciones estratégicas que manejan información de extrema confidencialidad, información que tiene carácter de misión crítica. Por ejemplo, organismos o institutos de investigación, financieras, aeropuertos, líneas de transporte terrestre, gobierno, militares, educativos, etc. Tras esa información existen muchos grupos e individuos que le apuestan a todo con tal de conseguirla. El método encontrado por estos interesados es vulnerar la transmisión de datos y los lugares donde se almacenan los mismos. Los perjuicios sociales, políticos y sobre todo económicos son invaluables. Es importante anotar que las vulnerabilidades encontradas no solamente son de carácter digital, sino también ocurren por descuido de los responsables de la información, que físicamente dejan puertas abiertas 89

90 que facilitan el acceso de los delincuentes. Algunos autores sostienen que cerca del setenta por ciento de las actividades delictivas en este sector, son iniciadas por personal interno de las organizaciones. Las ciencias computacionales y de comunicaciones están en constante desarrollo y cambio, vertiginosamente aparecen equipos de nuevas generaciones al igual que el software que los gestiona, por tal razón los encargados de éstas áreas en las instituciones no tienen la capacitación adecuada ni los conocimientos necesarios para protegerse totalmente de los intrusos. Realidad que afrontamos en vista de que la mayoría de empresas en el mundo no cuentan con un Plan de seguridad eficiente y es más el personal que labora en estas áreas no están capacitados para enfrentar este reto. Otro aspecto a destacar es la poca importancia que se da a la seguridad de la Información, en la mayoría de los casos solamente se comienza a tomarla en cuenta, cuando ha sucedido una intrusión o cuando ha ocurrido algún desastre GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN Es hora de incentivar entre las empresas, la importancia y necesidad que tiene una acertada gestión de la información, misma que no solo garantizará la prolongación de vida de la empresa, sino también llegar a obtener un apropiado sistema organizativo que permita optimizar el rendimiento productivo y minimizar los riesgos, sobre todo aquellos de fuga de información, de amenazas internas y externas, disponibilidad de recursos, etc. El marco de planificación y gestión integral de la seguridad de la información, tiene tres actores que deben interactuar sistemáticamente para optimizar las inversiones y resultados de su implementación, esto es: recurso humano, procesos y tecnología. Actualmente, se dispone de una normativa europea y estatal en materia de protección de datos de carácter personal cuya finalidad es proteger legal, técnica y organizativamente los datos personales que son tratados por parte de las empresas, especialmente, a través de los sistemas de información. Sin embargo, a través de la presente investigación, se desea 90

91 acercar al GPI a normas de estándar internacional, similares a las ISO 9000 y/o cuya finalidad es certificar el proceso de gestión en materia de seguridad de la información: UNE-ISO/IEC 17799, ISO y UNE El objetivo del conjunto de estándares UNE-ISO/IEC 17799, ISO y UNE es el establecimiento de metodologías, prácticas y procedimientos para proteger la información como activo valioso. Se propone los siguientes pasos con el fin de procurar minimizar las amenazas y apaliar los riesgos: a) Inventariar Activos: Es importante nominar, categorizar, describir, identificar usuarios y ubicación de los dispositivos y activos relacionados con la información, esta es información base para el sistema de gestión de seguridad. b) Valorar Activos: En base al inventario, se debe realizar valoraciones periódicas, realizar cálculos de incremento de valor y depreciación, los parámetros que se utilicen deben estar normalizados en base a disponibilidad, integridad y confidencialidad. c) Analizar Riesgos: Utilizando cualquier metodología para análisis de riesgos, realizar una clasificación de ellos de acuerdo a su impacto y recoger datos necesarios que permitan su tratamiento. d) Tratar los riesgos y definir controles: Son las actividades que se ejecutarán, esto es: una vez identificados los riesgos establecer los objetivos de control, es decir, establecemos criterios de aceptación de riesgos, previo análisis de los aspectos y normas legales y contractuales, estos riesgos deben ser controlados y revisados periódicamente de tal manera que no incrementen el poder del riesgo, de ser necesario subcontratar su tratamiento o en último caso eliminar el riesgo. Desde luego, que pese a que pongamos todos los controles necesarios, no podremos garantizar seguridad absoluta, pues nos quedará un riesgo residual. También se encuentra en pleno auge, la aplicación del estándar TIA-942 y la categorización de tiers (niveles), ya que gracias a este se puede llevar a cabo un replanteo 91

92 de las necesidades de la infraestructura de un Data Center de una manera racional y alineada con las necesidades propias de disponibilidad del negocio en que se encuentran las organizaciones. La infraestructura debe funcionar ininterrumpidamente, el Data Center, se considera como la interrelación de una serie de subsistemas de infraestructura que dan respaldo al equipamiento crítico (hardware). El estándar TIA-942 da recomendaciones y directrices para diseñar e instalar un Data Center. En este caso, para el GPI, servirá para prever en la planificación y en la integración con el sistema de cableado y diseño de red. A continuación se detalla, algunas normas que el administrador del Data Center y sistemas de red, debe tomar en cuenta: diseñador, implementador y UNE-ISO/IEC Código de buenas prácticas para la Gestión de la Seguridad de la Información El objetivo es asegurar los parámetros básicos de confidencialidad, disponibilidad e integridad, es decir que la información pueda ser accedida únicamente por personal autorizado, que se pueda acceder a ella en cualquier momento y que esté operativa, sin ser manipulada en el origen ni en el destino, por ejemplo la norma sobre firmas electrónicas se basa en este principio, el funcionamiento del D.N.I. electrónico 9, las acciones tomadas para protección de datos personales, etc Política de Seguridad De acuerdo a los procedimientos, realizamos la identificación y evaluación de los riesgos, vulnerabilidades y amenazas en el tratamiento de la información, luego delinear y definir la(s) política(s) de gestión de seguridad, que contendrán los siguientes aspectos: 9 DNI: Documento Nacional de Identidad Electrónico. En el 2006, España logró poner en marcha este ambicioso proyecto de identidad electrónica, que ha situado a éste país en la vanguardia tecnológica mundial. En la actualidad, España es líder en esta tecnología, pues la Policía Nacional ha expedido hasta la fecha más de 21 millones de DNI electrónicos. 92

93 Asignar y documentar los roles de usuarios para gestionar la información, ellos garantizarán el cumplimiento de las políticas de seguridad, en lo referente a: supervisión y revisión, soporte informático, permiso de acceso a servidores y a equipos de escritorio y comunicaciones. La Institución debe observar y dar cumplimiento a la normativa vigente: Constitución, tratados internacionales, ley de comercio electrónico, propiedad intelectual, propiedad industrial, normas y reglamentos internos. Las principales funciones y competencias del personal que labore en esta área se orientan a crear, monitorear y actualizar las normas catalogadas como políticas de seguridad; luego, el personal para fijar los roles de usuario en el acceso a la información, incluye permisos y soporte, control de entrada y salida de datos, caracterización y solución de incidencias, etc.; además, debe orientarse al usuario final a tratar la información con ética, sujetándose a las políticas y normas de gestión de la organización. Dentro de las normas es importante puntualizar el valor de la información que sirve de apoyo en las transacciones internas y sobre todo externas, asegurando su confidencialidad mediante firma de acuerdos entre pares. Definidas las políticas, normas, procedimientos y el personal relacionado con la seguridad informática, se precisa establecer las acciones a implementar para asegurar la información, por ejemplo todo el proceso para almacenamiento de backups, proceso para cambio periódico de claves, proceso para elaboración, revisión y custodio de manuales técnicos, etc. Comúnmente, en el ámbito de seguridad informática se ha utilizado la norma ISO 27001, misma que sustituye a la BS :2002 y que complementa a la UNE- ISO/IEC UNE Esta norma fue certificada por AENOR (Asociación Española de Normalización y Certificación). Se le denominó: Especificaciones para los sistemas de Gestión de la Seguridad de la información (SGSI). Fue anulada por UNE-ISO/IEC 27001:2007, su 93

94 aparición en el 2004, aportó en procesos y procedimientos para adecuar la seguridad de la información, el principal producto desarrollado fue MAGERIT 10, ampliamente utilizado en la administración pública española, dirigida especialmente para declarar, evaluar y gestionar los riesgos informáticos ISO Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. A continuación se presenta un resumen de las distintas normas que componen la serie ISO y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO [11]. La serie Enfrenta la seguridad de la información de una forma sistémica, metódica, con documentación detallada y con una definición de objetivos precisos de seguridad y evaluación de riesgos informáticos dentro de una organización. 10 MAGERIT: Es un método formal para investigar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. 94

95 Se le denomina serie porque lo componen varios estándares, algunos normalizados oficialmente, otros en proceso por la ISO (Organización Internacional de Estandarización) y por la IEC (Comisión Internacional Electrotécnica). Con el fin de no obviar ciertos aspectos que podrían ser excluidos en este trabajo, se propone al lector recurrir al sitio oficial: donde se encontrará a detalle la metodología de acuerdo a estas normas de como una organización puede implementar un sistema de seguridad de la información, basada sobre todo en ISO A continuación se muestra un gráfico, que clarifica el proceso para implementar estas normas, identificando las fases de: planificación, implementación, seguimiento y mejora continua. Gráfico 11: Fases de: Planificación, Implementación, Seguimiento y mejora continua. Fuente: En cuestión de normas y metodologías relacionadas con la seguridad de la información y de los procesos informáticos, existen diversas fuentes, el objetivo es el mismo, cambian ciertos pasos en las fases, a continuación sólo mencionaremos algunas: 95

96 ISO del comité SC27 (2010).- ISO/IEC (2011).- =51988 Gráfico 12: ISO/IEC (2011) Fuente: ITIL (IT Infraestaructure Library).- Gráfico 13: ITIL (IT Infraestaructure Library) Fuente: NIST (National Institute of Standards and Technology) Serie

97 CobiT (Objetivos de control para tecnologías de la información y similares).- Gráfico 14: Objetivos de control para tecnologías de la información y similares Fuente: COSO (Committe of Sponsoring Organizations of treadway Commission).- Gráfico 15: Committe of Sponsoring Organizations of treadway Commission Fuente: 97

98 Existen otras normas relacionadas como UNE 71502, BS 25999, BS 25777, algunas que ya han sido retiradas o sustituidas por las anteriores TIA_942 Esta norma se relaciona con las particularidades de todos los componentes y dispositivos que intervienen en la infraestructura sobre la cual corre o se guarda la información, desde su diseño, implementación hasta el monitoreo y gestión. Fue aprobado por TIA (Asociación de Industrias de Telecomunicaciones) y ANSI (Instituto de Estándares Nacionales Americanos), propone cuatro capas redundantes, que garantizan disponibilidad, confiabilidad y los costos en la construcción y mantenimiento. Se puede emplear una, dos, tres o cuatro capas, a mayor número, los parámetros serán más elevados en su calidad. Esta norma toma en cuenta los siguientes módulos: telecomunicaciones, arquitectura, sistema eléctrico y sistema mecánico del Data Center; la siguiente tabla ilustra los aspectos concernientes a cada módulo. Tabla 15: Subsistemas de la Infraestructura de un Data Center Fuente: Las diligencias de la norma deben ejecutarse de acuerdo a la realidad de la organización y al grado necesario de seguridad. Para el efecto, se realiza un análisis de 98

99 impacto de negocio, que cuantifica económicamente el impacto que produce una parada del Data Center en el negocio de la organización [12]. (Ver gráfico 16). Gráfico 16: Clasificación de la Criticidad de los sistemas para distintas áreas de actividad Fuente: Un Data Center se lo calificará si cumple todos los requerimientos de la capa o nivel correspondiente, caso contrario se lo calificará en la inmediata anterior, como se ilustra en la siguiente tabla: Tabla 16: Requerimientos de un data Center Fuente: A continuación se describen brevemente lo que debe tomar en cuenta en cada capa o nivel: 99

100 Tier I: Se refiere a la Infraestructura básica, es susceptible a complicaciones por cualquier suceso, planificado o no, sus fallos inciden en el funcionamiento del Data Center, generalmente se utiliza en negocios pequeños, que utilizan solo procesos internos y a la web como herramienta de mercadeo, organizaciones que no necesitan de calidad de servicios. Tier II: Infraestructura que ya incluye componentes redundantes, cumple con todos los requerimientos de la Tier I, además es necesario el generador y UPS redundante, se aplica generalmente a negocios pequeños, es limitado el uso de equipos en las horas normales de trabajo, estas compañías no ofrecen servicios online o realtime, su negocio se basa en internet, pero igual no es necesaria la calidad de servicios. Tier III: En esta infraestructura se aplica el mantenimiento continuo o redundante, los paths de distribución son redundantes (activa y pasivas), los componentes de preferencia son cambiables en caliente, sin interrumpir el sistema, pueden ocurrir eventos no planeados, se eleva el riesgo durante el mantenimiento. Se aplica a organizaciones que dan soporte continuo, es decir, online o realtime, trabajan óptimamente en empresas transnacionales. Tier IV: Infraestructura con tolerancia a fallas, cumple con las características de las capas anteriores, en este caso tiene varios paths de distribución activos y pasivos de carácter redundante, los eventos no planeados no generan interrupción, únicamente podría suceder por alarmas de incendio y apagado de energía de emergencia. Se aplican a organizaciones internacionales, que realicen operaciones de mercadeo activo y online, entidades financieras, etc. A continuación se muestra una tabla de máximo tiempo fuera que puede estar el Data Center de acuerdo a la tier correspondiente: TIER I TIER II TIER III TIER IV Downtime anual 28.8 h 22.0h 1.6h 0.8h Disponibilidad % % % % Tabla 17: TIER - Máximo tiempo fuera de un Data Center Fuente: White Paper: Tier Classification Defines Site Infraestructure Performance UPTIME INSTITUTE, INC. 100

101 4.3. VULNERABILIDAD DE LOS SISTEMAS INFORMÁTICOS. La alta probabilidad de ocurrencia de un riesgo informático, puede darse por: virus, códigos malignos, caballos de troya, gusanos, intromisión de hackers, etc., que pueden afectar por diferentes medios y formas. Existe el denominado negación de servicio, que básicamente ocupa un equipo como intermediario para afectar a otro, ya sea eliminando el servicio de red, sobresaturando el ancho de banda, cambiar el sitio web de la organización, etc., como corolario podemos manifestar que el aparecimiento de las redes de computadoras y las interredes, elevaron el nivel de riesgo y aparecimiento de vulnerabilidades en el mundo informático y de comunicaciones. Con el fin de contrarrestar las vulnerabilidades y sus efectos, es necesario establecer políticas de seguridad, procedimientos y normas específicas, basadas en leyes globales y particulares. Las políticas configurarán la seguridad utilizando soluciones tecnológicas, la implantación de un plan de acción que maneje incidentes y recuperación, con ello se disminuirá el impacto sobre los datos y también sobre los equipos. Es necesario realizar un estudio cuantitativo y cualitativo que demuestre un costo/beneficio positivo, al momento de planificar la implementación de seguridades, ya que no existe la seguridad absoluta. Gastos que podrían incurrir en: utilización de antivirus, firewalls, autenticación, definición de controles, establecimiento de políticas, elaboración de procedimientos y redundancia de lo actuado AMENAZAS A LA SEGURIDAD INFORMÁTICA Amenazas Lógicas Este tipo de amenazas se refieren a las puertas abiertas que se deja al instalar y configurar sistemas operativos y aplicaciones, también en ciertas empresas los usuarios desconocen el tema de seguridad de la información. Sin embargo los últimos años, las empresas se han 101

102 dado cuenta que proteger este activo intangible es prioritario y se asigna significativo presupuesto tendiente a solucionar este problema. Periódicamente la CERT 11 publica los "advisories", que contienen avisos de seguridad, resultado de las investigaciones de vulnerabilidades y riesgos en el software Acceso - Uso - Autorización La combinación de los tres conceptos pueden ocasionar que sea lícita o ilícita la acción, es decir, si a un usuario se le asigna acceso autorizado, quiere decir que está autorizado a usar cierto recurso; los atacantes no tienen acceso autorizado por lo tanto hacen uso de recursos de una forma desautorizada, pero internamente el sistema lo comprende como autorizado. Un ataque es el acceso o intento de acceso a un sistema de una forma desautorizada, usando recursos que tampoco estaban autorizados. Un incidente es un conjunto de ataques. John D. Howard [13] en un estudio realizado en 1995, sobre análisis de seguridad en Internet, realiza una clasificación del número de ataques que puede tener un incidente, concluyendo que varía entre 10 y 1000, estimando un promedio por incidente de 100 ataques Identificación de las Amenazas El objetivo del atacante, el tipo de ataque, la forma de acceso y cómo opera, configuran la identificación de las amenazas en un sistema informático. Como consecuencia del ataque podría ocurrir: corrupción de los datos, denegación de servicios y fuga de información (o redireccionamiento en la comunicación). A diario se producen más ataques informáticos, cuyas características son, ser más sofisticados, difíciles de encontrarlos y automáticos. En el gráfico 17 se muestra una breve síntesis de 11 CERT: Empresa de servicios especializados en las áreas de consultoría y educación para la conectividad de redes y telecomunicaciones. 102

103 algunos tipos de atacantes, las herramientas que utilizan, método de acceso para el ataque, los resultados y el objetivo de la infracción [14]. Gráfico 17: Detalle de Ataques Fuente: HOWARD, Jhon D. Thesis: An Analysis of security on the internet Carnegie Institute of Technology. Capítulo 6 pág Tipos de Ataques Las categorías generales de amenazas o ataques [15], son las siguientes: Interrupción: afecta la disponibilidad, porque pueden llegar a destruir un recurso o dejarlo inhabilitado. Típicos ejemplos: código que formatea discos, produce cortos entre tarjetas, bajar líneas de comunicación, etc. Intercepción: afecta la confidencialidad, usuario no autorizado logra acceder, el usuario puede ser un equipo, programa o persona. Se producen al pinchar líneas de comunicaciones, copiar ilícitamente programas o datos, etc. Modificación: afecta la integridad, usuario no autorizado accede a los recursos y los modifica. Los programas luego del ataque funcionan de forma diferente, han cambiado valores de configuración, administración y/o gestión. Fabricación: afecta la autenticidad, entidad o usuario no autorizado inserta objetos falsos en el sistema. 103

104 De acuerdo al impacto, los ataques se clasifican en pasivos y activos. Ataques pasivos El atacante lo que hace es escuchar y/o monitorizar la transmisión de datos, intercepta y analiza el tráfico. Generalmente, se ocupa de obtener fuente y destino de un mensaje, medir el volumen de tráfico, medición de hábitos en las transmisiones para capturar información de misión crítica. Su detección es complicada por cuanto no altera a los datos, su contra es la utilización de sofisticados métodos de cifrado. Ataques activos En este caso el atacante tiene como objetivo modificar los datos y redireccionar el destino de la transmisión. Los principales ataques categorizados en este tipo son: suplantación de identidad, reactuación, modificación de mensajes y degradación fraudulenta del servicio. Los ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc. Hace varios años, los ataques involucraban poca sofisticación técnica. Los Insiders (operadores, programadores, data entrys que están dentro de la empresa) utilizaban sus permisos para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando una password válida. A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar "agujeros" en el diseño, configuración y operación de los sistemas, a continuación se exponen diferentes tipos de ataques perpetrados, principalmente, por hackers [13]. a) Ingeniería Social.- Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. 104

105 b) Ingeniería Social Inversa.- Consiste en la generación, por parte de los intrusos, de una situación inversa a la originada en Ingeniería Social. c) Trashing (Cartoneo).- Generalmente, un usuario anota su login y password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema..."nada se destruye, todo se transforma". El Trashing puede ser físico (como el caso descrito) o lógico, como analizar buffers de impresora y memoria, bloques de discos, etc. El Trashing físico suele ser común en organizaciones que no disponen de alta confidencialidad, como colegios y universidades. d) Ataques de Monitorización.-Este tipo de ataque se realiza para observar a la víctima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro. e) Denial of Service (DoS).- Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma. f) Ataques de Modificación (Daño.-Tampering o Data Diddling).- Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima (incluyendo borrado de archivos) Errores de Diseño, Implementación y Operación Muchos sistemas están expuestos a "agujeros" de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de "puertas invisibles" son descubiertas (cada día) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y todas clase de servicios informático disponible. 105

106 Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros más conocidos y controlados que aquellos que existen en sistemas operativos cerrados (como Windows ). La importancia (y ventaja) del código abierto radica en miles de usuarios analizan dicho código en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata. Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de seguridad (y herramientas de Hacking que los explotan), por lo que hoy también se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado Implementación de las Técnicas En internet existen diferentes tipos de programas que son la aplicación de las distintas técnicas, están en versiones ejecutables, y de otros se encuentra el código fuente, generalmente en lenguaje C, Java y Perl. Cada una de las técnicas explicadas (y más) pueden ser utilizadas por un intruso en un ataque. A continuación se intentarán establecer el orden de utilización de las mismas, pero siempre remarcando que un ataque insume mucha paciencia, imaginación acumulación de conocimientos y experiencia dada (en la mayoría de los casos) por prueba y error. a) Identificación del problema (víctima): en esta etapa se recopila toda la información posible de la víctima. Cuanta más información se acumule, más exacto y preciso será el ataque, más fácil será eliminar las evidencias y más difícil será su rastreo. b) Exploración del sistema víctima elegido: en esta etapa se recopila información sobre los sistemas activos de la víctima, cuales son los más vulnerables y cuales se encuentran disponibles. Es importante remarcar que si la victima parece apropiada en la etapa de Identificación, no significa que esto resulte así en esta segunda etapa. 106

107 c) Enumeración: en esta etapa se identificaran las cuentas activas y los recursos compartidos mal protegidos. La diferencia con las etapas anteriores es que aquí se establece una conexión activa a los sistemas y la realización de consultas dirigidas. Estas intrusiones pueden (y deberían) ser registradas, por el administrador del sistema, o al menos detectadas para luego ser bloqueadas. d) Intrusión propiamente dicha: en esta etapa el intruso conoce perfectamente el sistema y sus debilidades y comienza a realizar las tareas que lo llevaron a trabajar, en muchas ocasiones, durante meses. Contrariamente a lo que se piensa, los sistemas son difíciles de penetrar si están bien administrados y configurados. Ocasionalmente los defectos propios de la arquitectura de los sistemas proporciona un fácil acceso, pero esto puede ser, en la mayoría de los casos, subsanado aplicando las soluciones halladas Cómo defenderse de estos Ataques? La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo. La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos NIVELES DE SEGURIDAD A IMPLEMENTAR EN EL GPI. Los niveles de seguridad son: el nivel físico y el lógico, en los cuales siempre se regirán los estándares ISO de la serie 2700 y también el TIA-942 En el Nivel Lógico, un aspecto vital para el GPI es la protección de datos confidenciales y delicados, en el posible evento de que tal información se haga pública, el GPI puede llegar a enfrentar consecuencias legales o financieras. Por lo menos sufrirán la pérdida de la 107

108 confianza de los ciudadanos. En la mayoría de los casos, se puede recuperar de las pérdidas a nivel financiero y de otras con una inversión o una compensación apropiada. El tener información de diferentes niveles de seguridad en el mismo sistema implica una amenaza real. No es fácil aislar diferentes niveles de seguridad de información aunque los diferentes usuarios inician sesión utilizando diferentes cuentas con permisos diferentes y controles de acceso diferentes. Algunas organizaciones incluso llegan a comprar sistemas especiales para cada nivel de seguridad; sin embargo, con frecuencia esto es excesivamente costoso. Se requiere un mecanismo para habilitar a los usuarios en diferentes niveles de seguridad para acceder sistemas de manera simultánea sin el temor de sufrir contaminación de la información. Al GPI se le recomienda utilizar una seguridad Multi-Nivel, en la cual se debe clasificar el tipo de usuario del sistema de información. Se debe otorgar a los usuarios las autorizaciones apropiadas antes de que puedan ver información clasificada. Aquellos con autorización confidencial solamente tienen autorización para ver documentos confidenciales y no se les permite ver información secreta o reservada. Las reglas que aplican al flujo de datos operan desde los niveles más bajos a los más altos y nunca de manera inversa (ver gráfico 18). Usuario con autorización reservada (Máxima Seguridad) Usuario con autorización) (Seguridad Secreta) Usuario Confidencial (Seguridad Moderada) Usuario sin ninguna clasificación Gráfico 18: Seguridad Multinivel en el GPI 108

109 CAPÍTULO V: POLÍTICAS Y PROCEDIMIENTOS 5.1 DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD En el Gobierno Provincial de Imbabura, todos los empleados tienen acceso a Internet, se tiene aplicaciones que corren sobre la web, los ciudadanos tienen acceso a estas aplicaciones, por esta razón se ha definido los recursos que necesitan protección, de esta forma se controla el acceso a los sistemas y se administra los diferentes roles de usuario, tanto para acceso a la Intranet, así como el acceso desde Internet. Para los casos cuando los usuarios no se encuentran en sitio, o por algún motivo deben alejarse del lugar habitual de trabajo, los directivos y empleados pueden realizar su trabajo remotamente, especialmente en el sistema de gestión documental y en el sistema administrativo financiero, además del uso de la telefonía IP utilizando un túnel VPN, especialmente configurado para el efecto. Una de las políticas implementadas para salvaguardar la Información, es el realizar backups diarios de la información, misma que se graba en medios externos con el fin de protegerla y custodiarla con altos niveles de seguridad. El GPI, reconoce que la información tiene el carácter de: Crítica, porque es indispensable para garantizar la continuidad operativa de la institución. Valiosa, que inclusive para el análisis costo / beneficio, se ha tomado en cuenta la premisa que dice que el valor de la información es igual al patrimonio de la Institución. Sensitiva, es apropiada para los funcionarios de acuerdo a su rol o competencia dentro de la Institución. 109

110 Identificados los riesgos de la Información, se concluye que la seguridad informática debe garantizar al menos: Disponibilidad Recuperación de fallo. Integridad de la información. Confidencialidad de la información. 5.2 TIPOS DE MEDIDAS DE SEGURIDAD Tienen como objetivo definir las directrices que orientan al departamento de gestión tecnológica, a implementar procesos para proteger la información del GPI y los recursos involucrados. Al entrar en el proceso de elaboración de un nuevo Plan Informático, la política de la Dirección se encaminan a la utilización de estándares internacionales, observando criterios de austeridad económica, eficiencia, eficacia, efectividad, que tengan indicadores que puedan ser medibles y fáciles de utilizar para optimizar su validez y desempeño. Uno de los problemas que enfrenta el proyectista informático, es la falta de criterios estandarizados para cuantificar los riesgos y amenazas. Pero, al momento de poner en marcha un proyecto, se debe equilibrar la implementación de medidas de seguridad interna o externa, ya que lo que ganemos en algo, podemos perder en otra actividad. En el GPI, se recomienda adoptar los siguientes tipos de medidas de seguridad: Medidas Físicas Se relacionan con los accesos físicos que no han sido autorizados, también entran en este tipo las amenazas causadas por fenómenos naturales o efectos nocivos medioambientales, por lo que en este caso se recomienda seguridades físicas en el perímetro donde se ubica el Data Center. A manera de resumen, se procede a enumerar algunas medidas en concreto: 110

111 Control de condiciones medioambientales (temperatura, humedad, polvo, etc...). Prevención de catástrofes (incendios, tormentas, cortes de fluido eléctrico, sobrecargas, etc.). Vigilancia (cámaras, guardias, etc.). Sistemas de contingencia (extintores, fuentes de alimentación eléctrica ininterrumpida, estabilizadores de corriente, fuentes de ventilación alternativa, etc.). Sistemas de recuperación (copias de seguridad, redundancia, sistemas alternativos geográficamente separados y protegidos, etc.). Control de la entrada y salida de material (elementos desechables, consumibles, material anticuado, etc.) Medidas Lógicas En este caso, se recomienda medidas para preservar el acceso a los sistemas y a la información almacenada, a la implementación de estrictas normas en la definición de roles de usuarios. Las principales medidas que se sugiere al GPI, tomar en cuenta en este campo son: Definición por escrito de políticas de control de acceso, que incluya normativa para autentificar e identificar a los usuarios autorizados, implementando altos niveles de seguridad. Definir un reglamento de instalación y copia de software. Uso de la criptografía para proteger los datos y las comunicaciones. Uso de FireWall y reglas de control de acceso. Reglamento para sacar backups y su conservación. Establecimiento de una base de datos maestra, que tenga controles de logeo y pistas de auditoría. Definición clara de los roles de usuario (administrador del sistema, administrador de seguridad, usuarios, operadores, etc.) Medidas Administrativas 111

112 Son todas aquellas que se deben tomar en cuenta para la correcta aplicación de la normativa general y la normativa particular acerca de la seguridad informática de la institución, para el efecto se debe socializar y difundir las políticas de seguridad, que todos los involucrados conozcan quienes son los que fijan estas políticas y se encargan de su ejecución, debe considerarse en el plan de capacitación del personal. El plan de capacitación se debe organizar para anclar el trabajo o función del usuario con los módulos de los sistemas que correspondan, haciendo hincapié en las cosas más obvias que puedan suceder y que a veces se convierten en fallos involuntarios, pero que pueden causar serios inconvenientes de seguridad, es decir se debe crear conciencia en el funcionario sobre los problemas que pueden ocurrir y afectar a la seguridad de la información Medidas Legales Se recomienda en este caso, crear y adoptar un vademécum legal que se relacione con los procesos y procedimientos de la seguridad informática, aspecto que debe publicarse, socializarse y concientizarse a lo interno y externo del GPI. Se debe crear un reglamento interno que sea concomitante con lo que dictaminan las prevenciones y sanciones estipuladas en el Código Penal ecuatoriano. 5.3 RIESGO RESIDUAL A lo interno del GPI, se ha tomado muy en serio la administración del riesgo informático, no sólo desde el campo de responsabilidad de los encargados de las TIC s, sino también de las autoridades y demás miembros de la institución. Se precisa realizar un análisis inicial y continuo de los riegos informáticos, mantener documentado y actualizado el desktop de activos tecnológicos (tanto en hardware como en software), definir las principales vulnerabilidades y amenazas a las que son propensos esos activos y el impacto que generarían en la Institución. En base a esa información, se aplica los controles necesarios que permitan mitigar los riesgos, inclusive en caso de que 112

113 existan vulnerabilidades que no puedan controlarse, debe declararse como riesgo sin control. Dentro del análisis de riesgo es necesario elaborar una matriz de impactos en la que conste todo tipo de riesgo, proponer pesos para valorar los impactos tanto cuantitativa y cualitativamente y al final podamos priorizar los controles y acciones de mitigación. Es importante que la administración de riesgos identifique el riesgo residual y el riesgo total, así como la propuesta de tratamiento, evaluación y gestión del riesgo. Se ha generalizado en el campo de la gestión de riesgos, la utilización de la siguiente fórmula: [4] RT (Riesgo Total) = Probabilidad x Impacto Promedio Donde interviene la probabilidad anual de ocurrencia del riesgo multiplicada por el impacto promedio en términos monetarios. Por definición el riesgo remanente que queda luego de aplicar controles para mitigar el riesgo total es el riesgo residual. La norma BS ISO / IEC 27001:2005 nos señala que el riesgo residual no es el remanente que queda, sino que es un teórico calculado durante el análisis de riesgos. En el GPI, se realizará lo siguiente para analizar la gestión de riesgos: Identificar el parque computacional y de TIC s. Identificación de los procedimientos legales y de servicio que caracterizan los activos de TIC s. Valoración (tomando en cuenta depreciaciones) de los activos de TIC s Valorar los impactos en riesgos de: confidencialidad, integridad y disponibilidad. Priorizar las amenazas y vulnerabilidades Evaluación del riesgo. Cálculo del riesgo. 113

114 Seguidamente se define las acciones o controles a implementar para mitigar el riesgo total y las acciones a tomar para los riesgos residuales. Las acciones deben tender a robustecer los controles existentes o proponer nuevos, en caso de necesidad eliminar los activos que son causa de riesgo, se debe continuar en acciones como el traspaso de riesgos a terceros (aseguradoras) o en último caso en la imposibilidad de eliminar el riesgo, se recomienda convivir con él con el máximo cuidado. El siguiente esquema nos ilustra de mejor manera los pasos a seguir: Gráfico 19: Gestión del Riesgo en ISO Fuente: [16] 114

115 En caso de que la evaluación de riesgo no sea la adecuada, podemos repetir iterativamente, mejorando los análisis contextuales, de acuerdo al siguiente esquema: Gráfico 20: Tratamiento del Riesgo Fuente: [16] 5.4 EVALUACIÓN Y GESTIÓN DE RIESGOS La administración de riesgos se convierte en el GPI, en una actividad continua, es decir, se debe evaluar constantemente los cambios en la estimación de existencia de los riesgos por activo identificado, así como también la valoración del impacto en los procesos y en la institución. El gráfico 21, ilustra este procedimiento. Gráfico 21: Proceso de Administración del Riesgo Fuente: [17] 115

116 5.4.1 Los riesgos considerados en el GPI, se dividen en dos categorías: Riesgos relacionados con el Proceso de Desarrollo (PD); Riesgos relacionados con el Talento Humano (RH). El rango de importancia definido es el siguiente: 1, importancia baja 10, alta importancia Importancia. Probabilidad De Ocurrencia Descripción Impacto Estrategia mitigación 4 Desconocimiento de metodología de desarrollo ágil del personal de planta Bajo. Puede ocurrir que no se apliquen estándares en el proceso de desarrollo, desviando los objetivos del proyectos y obteniendo resultados de baja calidad Charlas y cursos sobre métodos ágiles Investigación de cada miembro del equipo sobre AD. 7 Una parte considerable del proyecto es la integración con sistemas adquiridos Alto. Podría retrasar la integración o definir de manera inadecuada los aspectos técnicos para compartir datos entre sistemas Establecer contacto con autores para conocer detalles de los sistemas adquiridos 5 Proceso de adquisición de licencias sobre herramientas de desarrollo. Bajo. Podría retrasar las tareas de programación debido a problemas de licenciamiento de software. Agilitar el proceso de compra Tabla 18: Riesgo Categoría Proceso de Desarrollo en el GPI 116

117 Importancia. Probabilidad De Ocurrencia Descripción Impacto Estrategia mitigación 10 9 El talento humano posee actividades laborales que podrían generar restricciones. Falta de personal técnico para actividades de programación. Alto. Podría dilatarse el cumplimiento de tareas. Alto. La magnitud del proyecto requiere la colaboración de programadores Tabla 19: Riesgo Categoría Recurso Humano en el GPI. Establecer cronogramas de trabajo Evitar asignaciones de tareas fuera del contexto del proyecto Practicantes Contratar personal técnico en programación Practicantes Matriz de Riesgos en el GPI Para el análisis y evaluación de Riesgos en el GPI se toma en cuenta las amenazas tanto físicas como lógicas. La matriz de riesgos, (ver tabla 20): En cada columna se presenta una Amenaza identificada En la fila de probabilidad se indica cuán probable es que esa amenaza actúe con independencia de los controles que existan o que se establezcan. La certeza es el 100% y la imposibilidad es del 0%. El porcentaje de cada columna es manejado independientemente. En las filas siguientes se indica para cada uno de los Activos a proteger cuál es el importe de la pérdida media estimada que ocasionaría esa amenaza en ese activo. Por ejemplo, por: - Servidores se entiende las computadoras centrales que soportan las bases de datos, la gestión del correo electrónico, la red interna y otros servicios. - Las terminales son los puestos de trabajo computarizados. 117

118 - Los datos son la información de la organización. - Instalaciones se refiere a toda la parte física, incluyendo edificio, mobiliario, componentes de red (cableados, routers, bridges, switches), etc. - Personal son los recursos humanos. Los datos precedentes permiten calcular la fila siguiente, Riesgo Total, el cual suma los productos de la probabilidad de la amenaza por el impacto, de toda la columna. A continuación se presenta la Efectividad del Control actuante, o sea qué nivel de riesgo se puede mitigar. Por ejemplo los accesos no autorizados vía internet pueden ser mitigados con un firewall, correctamente configurado. En la última fila, se indica el Riesgo Residual, que resulta de aplicar la efectividad del control al Riesgo Total. 118

119 RIESGO RESIDUAL DEL GPI SEGURIDAD FÍSICA SEGURIDAD LOGICA AMENAZAS Incendio Inundación Condiciones Climatológicas Señales de Radar Instalaciones Eléctricas Ergometría Robo Fraude Sabotaje Utilización de Guardias Seguridad con animales Utilización de Detectores de Metal Utilización de Sistema Biométrico Verificación Automática de Firmas Restringir acceso a los Programas y Archivos Asegurar que los operadores puedan trabajar sin supervisión minuciosa Utilizar correctamente Archivos Información recibida por el Destinatario Información Recibida sea igual que la transmitida Que existan Sistemas Alternativos de Transmisión Fallas Virus Riesgo con el P.D. Riesgo con el R.H. Probabilidad 1% 5% 5% 10% 25% 80% 90% 70% 60% 30% 5% 5% 50% 50% 80% 80% 60 % 50% 80% 10% 25% 50% 50% 50% ACTIVOS Pérdida media estimada que ocasionaría la Amenaza (en miles de dólares) Servidores Terminales Datos Instalaciones Personal Riesgo Total 27 13,25 5,75 5,5 6,25 42, ,7 0,85 107, , , ,5 125 Efectividad del Control Riesgo Residual 30% 95% 95% 80% 95% 30% 30% 15% 20% 30% 10% 10% 30% 30% 40% 20% 10% 20% 30% 50% 50% 80% 50% 50% 8,1 12,6 5,4 4,4 5,9 12,7 569,7 212, ,07 0,085 32, ,6 34,5 17, ,5 2, ,75 62,5 Tabla 20: Riesgo Total - Riesgo Residual del GPI 119

120 5.4.3 CONTROLES Del resultado de la matriz de riesgos del GPI (ver tabla 20), se observa que los valores son muy altos, por lo tanto es necesario que se realice una propuesta de acciones o controles que permitan mitigar las amenazas y vulnerabilidades tanto en la seguridad física como en la seguridad lógica. Se debe tomar en cuenta que la inversión en la implementación del control no debe superar el estimado de pérdida por presencia o actuación del riesgo. 5.5 POLÍTICAS Y PROCEDIMIENTOS A SER IMPLEMENTADAS EN EL GPI El departamento de TIC s del GPI en el 2011 ha propuesto una reingeniería de la red de datos y comunicaciones, así como también está elaborando el plan informático tendiente a integrar los procesos de software, los mencionados proyectos al momento se encuentran en fase de aprobación y asignación de recursos económicos. En ese sentido, al Gobierno Provincial de Imbabura se le propone adoptar las siguientes políticas y procedimientos, a ser tomadas en cuenta en el desarrollo de la reingeniería, durante y después de que implementen sus proyectos. Definir un marco gerencial para iniciar y controlar la implementación de la seguridad de la información, así como la distribución de funciones y responsabilidades. La gestión de activos informáticos para que estos reciban un apropiado nivel de protección. Asegurar a un nivel razonable que todos los medios de procesamiento o conservación de información cuenten con medidas de protección física que evite el acceso o utilización indebida por personal no autorizado, así como permitan la continuidad de las operaciones. Funcionamiento correcto y seguro de las instalaciones de procesamientos de la información y comunicación. Asegurar a un nivel razonable que la información y la capacidad de procesamiento manual y automático, esté disponible en el momento necesario para los usuarios 120

121 autorizados. Considerando la continuidad de la operación tecnológica que soporta los procesos institucionales. Asegurar que los datos o transacciones cumplan con los niveles de autorización correspondiente para su utilización y divulgación. El registro e identificación inequívoca de los usuarios de los sistemas. Evitar casos de suplantación de identidad por medio de los recursos tecnológicos. Mantener registro de auditoría de los eventos ocurridos así como el responsable de su ejecución. Mantener los niveles de operación razonables en los sistemas e infraestructura estratégica para el GPI. La identificación de riesgos relacionados al ambiente tecnológico que no permitan soportar al GPI en su cumplimiento de objetivos. Monitorear periódicamente eventos de intrusos en la red del GPI, utilizando herramientas adecuadas para el efecto. Uso adecuado de Passwords, con cambios periódicos de las mismas Establecer lineamientos necesarios que permitan resguardar la información institucional. Establecer lineamientos necesarios que permitan resguardar los recursos tecnológicos relacionaos a su gestión y consumo. Mantener las máquinas actualizadas y seguras físicamente Mantener personal especializado en cuestiones de seguridad (o subcontratarlo). Aunque una máquina no contenga información valiosa, hay que tener en cuenta que puede resultar útil para un atacante, a la hora de ser empleada en un DoS 12 coordinado o para ocultar su verdadera dirección. No permitir el tráfico "broadcast"(transmisión de un paquete que será recibido por todos los dispositivos de la red) desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf (ataque de denegación de servicio que utiliza mensajes de ping a la dirección de broadcast con spoofing que es el uso de técnicas de suplantación generalmente con usos maliciosos o de investigación, para inundar). 12 DoS (Denial of Service): Servicios que deberían estar disponibles no lo están. 121

122 Filtrar el tráfico IP Spoof. Auditorias de seguridad y sistemas de detección. Mantenerse informado constantemente sobre cada una de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de información. Capacitación continua al usuario. Responsabilidades Se recomienda la integración del Comité de Seguridad de la Información, que estará integrado por los Directores de: Tecnologías de la Información y Comunicación, Administrativo, Financiero y de Recursos Humanos. La responsabilidad del comité será: Revisar y aprobar la Política de Seguridad de la Información. Supervisar el Plan de Seguridad de la Información a través de la revisión anual del Plan Estratégico del Área de Seguridad. Definir proyectos de tecnologías que fortalezcan la seguridad de la información del servicio, producto e información. Aprobar el manual de gestión de seguridad de la información y el plan de difusión respectivo hacia el interior del GPI. Entre otras responsabilidades se destacan: El Área de Seguridad de la Información, elaborará las políticas necesarias para proteger la información generada en el ambiente tecnológico del GPI. El director de cada dependencia, cumplirá la función de notificar a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la información y de todas las normas, procedimientos y prácticas que de ella surjan. 122

123 La Dirección de Tecnologías de la Información y Comunicación, tiene la responsabilidad de otorgar las facilidades para la implementación del sistema de Gestión de Seguridad de la Información y tomar decisiones estratégicas en el proceso. El responsable del Área Legal, brindará la asesoría necesaria en el ámbito legal y regulatorio, así mismo otorgará los lineamientos necesarios para no incurrir en incongruencias legales dentro del ámbito de seguridad de la información. El Área de Control Interno del Departamento de Informática, es responsable de practicar auditorías periódicas sobre el cumplimiento de las normas y procedimientos asociados al Sistema de Gestión de Seguridad de la Información. Control de cumplimiento En caso de que haya incumplimiento de esta Política de Seguridad de la Información por parte de cualquier funcionario del GPI, se comunicará a la Dirección General de Recursos Humanos desde donde se tomarán las medidas de sanción respectivas. 123

124 CAPÍTULO VI: INGENIERÍA DEL PROYECTO 6.1. MODELOS, TÉCNICAS Y HERRAMIENTAS TECNOLÓGICAS UTILIZADAS EN LA METODOLOGÍA DE INVESTIGACIÓN EN LA INFORMÁTICA FORENSE La Evidencia Digital Así como se han establecido diferentes definiciones para los delitos informáticos, se han establecido diferentes y especiales consideraciones para su principal y especial insumo que es la evidencia digital. Casey define la evidencia de digital como cualquier dato que puede establecer que un crimen se ha ejecutado (commit) o puede proporcionar una enlace (link) entre un crimen y su víctima o un crimen y su autor [18]. La evidencia digital es un tipo de evidencia física. Está construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales [18]. El conjunto de datos en formato binario, esto es, comprende los ficheros, su contenido o referencia a estos (metadatos) que se encuentran en los soportes físicos o lógicos del sistema vulnerado o atacado [19]. La evidencia digital es la materia prima para los investigadores, donde la tecnología informática es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad: Es volátil, es anónima, es duplicable, es alterable y modificable, es eliminable. Estas características advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y presentar la evidencia presente en una escena del delito. Además, revela con respecto al tratamiento de la 124

125 evidencia digital, que se debe guardar especial cuidado a: su debido registro, admisibilidad, valor probatorio, preservación transformación y recuperación [20]. De acuerdo con el Guidelines for the Management of IT Evidence, la evidencia digital es: "cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático". En este sentido, la evidencia digital, es un término utilizado de manera amplia para describir "cualquier registro generado por o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal [21] Dónde debe ser ubicada y cómo debe ser usada la Evidencia. Según Santiago Acurio Del Pino, es necesaria la categorización de la evidencia para diferenciar entre: un sistema informático o hardware (evidencia electrónica) y la evidencia contenida en éste (evidencia digital), con el fin de establecer procedimientos adecuados para el manejo de cada tipo de evidencia, en la tabla 21 se muestra un detalle físico y lógico para reconocimiento de la evidencia. SISTEMA INFORMÁTICO 1. HARDWARE (Elementos Físicos) EVIDENCIA ELECTRÓNICA El hardware es mercancía ilegal o fruto del delito. El hardware es un instrumento El hardware es evidencia El hardware es una mercancía ilegal cuando su posesión no está autorizada por la ley. Ejemplo: en el caso de los decodificadores de la señal de televisión por cable, su posesión es una violación a los derechos de propiedad intelectual y también un delito. El hardware es fruto del delito cuando este es obtenido mediante robo, hurto, fraude u otra clase de infracción. Es un instrumento cuando el hardware cumple un papel importante en el cometimiento del delito, podemos decir que es usada como un arma o herramienta, tal como una pistola o un cuchillo. Un ejemplo serían los snifers y otros aparatos especialmente diseñados para capturar el tráfico en la red o interceptar comunicaciones. En este caso el hardware no debe ni ser una mercancía ilegal, fruto del delito o un instrumento. Es un elemento físico que se constituye como prueba de la comisión de un delito. Por ejemplo el scanner que se usó para digitalizar una imagen de pornografía infantil, cuyas características únicas son usadas como elementos de convicción. 125

126 2. INFORMACIÓN (Elementos Lógicos) La información es mercancía ilegal o el fruto del delito La información es un instrumento EVIDENCIA DIGITAL La información es considerada como mercancía ilegal cuando su posesión no está permitida por la ley, por ejemplo en el caso de la pornografía infantil. De otro lado será fruto del delito cuando sea el resultado de la comisión de una infracción, como por ejemplo las copias pirateadas de programas de ordenador, secretos industriales robados. La información es un instrumento o herramienta cuando es usada como medio para cometer una infracción penal. Son por ejemplo los programas de ordenador que se utilizan para romper las seguridades de un sistema informático, sirven para romper contraseñas o para brindar acceso no autorizado. En definitiva juegan un importante papel en el cometimiento del delito. Esta es la categoría más grande y nutrida de las anteriores, muchas de nuestras acciones diarias dejan un rastro digital. Uno puede conseguir mucha La información es evidencia información como evidencia, por ejemplo la información de los ISP s, de los bancos, y de las proveedoras de servicios las cuales pueden revelar actividades particulares de los sospechosos Tabla 21: Detalle físico y lógico para reconocimiento de la Evidencia Fuente: Detalle físico y lógico para reconocimiento de la Evidencia [22] Acurio Del Pino también sugiere clasificar las fuentes de evidencia digital, con el fin de que los investigadores forenses tengan una idea dónde buscar la evidencia digital, ésta clasificación es: a) SISTEMAS DE COMPUTACIÓN ABIERTOS, son aquellos que están compuestos de las llamadas computadores personales y todos sus periféricos como teclados, ratones y monitores, las computadoras portátiles, y los servidores. Actualmente estos computadores tiene la capacidad de guardar gran cantidad de información dentro de sus discos duros, lo que los convierte en una gran fuente de evidencia digital. b) SISTEMAS DE COMUNICACIÓN, estos están compuestos por las redes de telecomunicaciones, la comunicación inalámbrica y el Internet. Son también una gran fuente de información y de evidencia digital. c) SISTEMAS CONVERGENTES DE COMPUTACIÓN, son los que están formados por los teléfonos celulares llamados inteligentes o Smartphones, los asistentes personales digitales PDAs, las tarjetas inteligentes y cualquier otro aparato electrónico que posea convergencia digital y que puede contener evidencia digital [22]. 126

127 Procedimiento para la Incautación de Equipos Informáticos o Electrónicos Cuando el investigador forense tiene sospecha o indicios de que existe evidencia digital en cualquier material (hardware y/o software), relacionado con un delito, debe seguir el siguiente procedimiento: Antes de realizar un allanamiento e incautación de Equipos Informáticos o Electrónicos se debe tomar en cuenta lo siguiente: a) A qué horas debe realizarse? - Para minimizar destrucción de equipos, datos. - El sospechoso tal vez estará en línea. - Seguridad de investigadores. b) Entrar sin previo aviso - Utilizar seguridad. - Evitar destrucción y alteración de los equipos, o la evidencia contenida en esta. c) Materiales previamente preparados (Cadena de custodia) - Embalajes de papel. - Etiquetas. - Discos y disquetes vacíos. - Herramienta. - Cámara fotográfica. d) Realizar simultáneamente los allanamientos e incautación en diferentes sitios - Datos pueden estar en más de un lugar, sistemas de red, conexiones remotas. - Examen de equipos. - Aparatos no especificados en la orden de allanamiento. e) Creación de Respaldos en el lugar, creación de imágenes de datos. - Autorización para duplicar, reproducir datos encontrados (por ejemplo, un aparato contestador). f) Fijar/grabar la escena. g) Cámaras, videos, etiquetas. h) Códigos/claves de acceso/contraseñas. i) Buscar documentos que contienen información de acceso, conexiones en redes, etc. j) Cualquier otro tipo de consideración especial (consideraciones de la persona involucrada: médicos, abogados, información privilegiada, etc.). 127

128 La falta de una orden de allanamiento e incautación que ampare las actuaciones (sobre los equipos y sobre la información) de la Policía Judicial y la Fiscalía puede terminar con la exclusión de los elementos probatorios por violación de las Garantías Constitucionales. Art. 66 de la Constitución [22] Escena del Delito Los Investigadores que llegan primero a una escena del Delito tienen ciertas responsabilidades, las cuales según Santiago Acurio Del Pino se resumen así: a) Observe y establezca los parámetros de la escena del delito: El primero en llegar a la escena, debe establecer si el delito está todavía en progreso, luego tiene que tomar nota de las características físicas del área circundante. Para los investigadores forenses esta etapa debe ser extendida a todo sistema de información y de red que se encuentre dentro de la escena. En estos casos dicho sistema o red pueden ser blancos de un inminente o actual ataque como por ejemplo uno de denegación de servicio (DoS). b) Inicie las medidas de seguridad: El objetivo principal en toda investigación es la seguridad de los investigadores y de la escena. Si uno observa y establece en una condición insegura dentro de una escena del delito, debe tomar las medidas necesarias para mitigar dicha situación. Se deben tomar las acciones necesarias a fin de evitar riesgos eléctricos, químicos o biológicos, de igual forma cualquier actividad criminal. Esto es importante ya que en una ocasión en una investigación de pornografía infantil en Estados Unidos un investigador fue muerto y otro herido durante la revisión de una escena del crimen. c) Facilite los primeros auxilios: Siempre se deben tomar las medidas adecuadas para precautelar la vida de las posibles víctimas del delito, el objetivo es brindar el cuidado médico adecuado por el personal de emergencias y el de preservar las evidencias. d) Asegure físicamente la escena: Esta etapa es crucial durante una investigación, se debe retirar de la escena del delito a todas las personas extrañas a la misma, el objetivo principal es el prevenir el acceso no autorizado de personal a la escena, evitando así la contaminación de la evidencia o su posible alteración. e) Asegure físicamente las evidencias: Este paso es muy importante a fin de mantener la cadena de custodia2 de las evidencias, se debe guardar y etiquetar cada una de ellas. En este caso se aplican los principios y la metodología correspondiente a la recolección de evidencias de una forma práctica. Esta recolección debe ser realizada por personal entrenado en manejar, guardar y etiquetar evidencias. f) Entregar la escena del delito: Después de que se han cumplido todas las etapas anteriores, la escena puede ser entregada a las autoridades que se harán cargo de la misma. Esta situación será diferente en cada caso, ya que por ejemplo en un caso penal será a la Policía Judicial o al Fiscalía 128

129 General del Estado; en un caso corporativo a los Administradores del Sistema. Lo esencial de esta etapa es verificar que todas las evidencias del caso se hayan recogido y almacenado de forma correcta, y que los sistemas y redes comprometidos pueden volver a su normal operación. g) Elaborar la documentación de la explotación de la escena: Es Indispensable para los investigadores documentar cada una de las etapas de este proceso, a fi n de tener una completa bitácora de los hechos sucedidos durante la explotación de la escena del delito [22]. En el Manual de Manejo de Evidencias Digitales y Entornos Informáticos, versión 2.0 del Dr. Santiago Acurio Del Pino Director Nacional de Tecnología de la Información, se indica claramente los pasos a seguir en: la Reconstrucción de la Escena del Crimen, al encontrar un dispositivo Informático o electrónico y cómo manejar ésta situación en el caso de que no exista un técnico Ciclo de vida para la administración de evidencia digital Según el Manual de Directrices para la Gestión de la evidencia Digital el ciclo de vida de la Evidencia Digital consta de seis etapas: Gráfico 22: Ciclo de Vida de la Administración de la Evidencia Digital. Fuente: [21] a) Diseño de la Evidencia.- En ésta etapa se debe considerar la infraestructura tecnológica, la correcta utilización de las medidas tecnológicas de seguridad informática, clasificar la información relevante de la institución con el fin de que se pueda determinar los tiempos de retención, la transformación y la disposición final de los documentos electrónicos. 129

130 b) Producción de la Evidencia.- Corresponde aquí diseñar, desarrollar y documentar los mecanismos de seguridad (certificados digitales), para las aplicaciones con el fin de poder contar y validar que es a aplicación la que genera los registros electrónicos de una manera confiable e íntegra, de tal manera que se pueda identificar los cambios que se hayan presentado en dichos registros electrónicos. c) Recolección de la Evidencia.- A ésta etapa concierne construir un razonamiento lógico para la recolección de la evidencia digital, asegurar el área y registrar en medios fotográficos y/o video la escena del delito en dónde se observe lo mayor posible todos los elementos informáticos involucrados, sin olvidar de documentar todas y cada una de las actividades desarrolladas por el investigador informático, sin dejar de lado el fortalecimiento permanente de la cadena de custodia de la evidencia. d) Análisis de la Evidencia.- Se debe contar con profesionales capacitados técnica y legalmente con el fin de que garanticen los trabajos realizados o a realizarse como: copias autenticadas de los registro electrónicos en medios forenses, validar y verificar la confiabilidad y limitaciones de las herramientas hardware y software utilizados en las labores forenses y sobre todo mantener la perspectiva de los análisis efectuados sin descartar lo obvio. e) Reporte y Presentación.- En ésta etapa se debe mantener una copia de la cadena de custodia de la evidencia digital y preparar una presentación lo más clara y en términos sencillos, el reporte debe tener características similares pero además debe incluir las irregularidades encontradas, las conclusiones de los análisis y evitar los juicios de valor no verificables. f) Determinar la Relevancia de la Evidencia.- La relevancia de la evidencia digital se demuestra con hechos y documentación sobre los procedimientos aplicados en la recolección y análisis de los registros electrónicos, éstos pueden incluir la auditoría periódica de los procedimientos realizados y el fortalecimiento de las políticas, procesos y procedimientos de la seguridad de la información asociados con el manejo de la evidencia digital Modelos Conocidos 130

131 En internet existen varias guías que tienen por objetivo identificar la evidencia digital con el fin de que pueda ser usada en una investigación y/o en un proceso legal, a continuación se enuncian brevemente cinco guías existentes a nivel mundial de mejores prácticas en computación forense RFC 3227 El RFC 3227: Guía Para Recolectar y Archivar Evidencia (Guidelines for Evidence Collection and Archiving) [23], es una guía de alto nivel para recolectar y archivar datos relacionados con delitos, muestra las mejores prácticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar la recolección y determinar cómo almacenar y documentar los datos, también explica algunos conceptos relacionados a la parte legal Guía de la IOCE La IOCE [24], publicó Guía para las mejores prácticas en el examen forense de tecnología digital. (Guidelines for the best practices in the forensic examination of digital technology). Esta Guía provee una serie de estándares, principios de calidad y aproximaciones para la detección prevención, recuperación, examinación y uso de la evidencia digital para fines forenses. Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todo el proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentación en un proceso legal. Su estructura se resume en 4 fases principales, ver gráfico 23: 131

132 Circunstancias de la Investigación Recolección de la evidencia Autenticación Análisis Reporte Final Presentación de Resultados Gráfico 23: Metodología Forense Fuente: Investigación en la Escena del Crimen Electrónico (Guía DoJ 1) El Departamento de Justicia de los Estados Unidos de América (DoJ EEUU), publicó Investigación En La Escena Del Crimen Electrónico (Electronic Crime Scene Investigation: A Guide for First Responders) [25], ésta guía se enfoca más en la identificación y recolección de evidencia. Su estructura es: a) Dispositivos electrónicos (tipos de dispositivos que pueden encontrar y cuál puede ser la posible evidencia). b) Herramientas para investigar y equipo. c) Asegurar y evaluar la escena. d) Documentar la escena. e) Recolección de evidencia. f) Empaque, transporte y almacenamiento de la evidencia. g) Examen forense y clasificación de delitos. h) Anexos (glosario, listas de recursos legales, listas de recursos técnicos y listas de recursos de entrenamiento) Examen Forense de Evidencia Digital El Departamento de Justicia de los Estados Unidos, también publicó la guía Examen Forense de Evidencia Digital (Forensic Examination of Digital Evidence: A Guide for 132

133 Law Enforcement) [25], la cual está pensada para ser aplicada en el momento de examinar la evidencia digital. Su estructura es: a) Desarrollar políticas y procedimientos con el fin de darle un buen trato a la evidencia. b) Determinar el curso de la evidencia a partir del alcance del caso. c) Adquirir la evidencia. d) Examinar la evidencia. e) Documentación y reportes. f) Anexos (casos de estudio, glosario, formatos, listas de recursos técnicos y listas de recursos de entrenamiento) Computación Forense - Parte 2: Mejores Prácticas (Guía Hong Kong) El ISFS, Information Security and Forensic Society (Sociedad de Seguridad Informática y Forense) creada en Hong Kong, publicó Computación Forense - Parte 2: Mejores Prácticas (Computer Forensics Part 2: Best Practices). (Computer Forensics Part 2: Best Practices) [26], la cual cubre los procedimientos necesarios para el proceso forense, desde el examen de la escena del crimen hasta la presentación de los reportes en un proceso judicial. Su estructura es: a) Introducción a la computación forense. b) Calidad en la computación forense. c) Evidencia digital. d) Recolección de Evidencia. e) Consideraciones legales (orientado a la legislación de Hong Kong). f) Anexos HERRAMIENTAS FORENSES. A continuación se presenta un análisis de varias herramientas forenses, que podrían ser utilizadas en caso de presentarse un delito informático, no se intenta establecer una clasificación o que la omisión de otras herramientas signifique la desaprobación de las mismas, o que no existan otras posibles formas de delitos informáticos (ver tabla 22). 133

134 HERRAMIENTAS FORENSES Nro DELITOS INFORMÁTICOS DESCRIPCIÓN 134 SSL Proxis SSL Checkers Tcptraceroute Metasploit NMAP DEFT WEB VULNERABILITY SCANNER FIRE SOAP UI Web Applicative Proxies Cain&Abel POF Network Login Auditors Brutter 2.0 AIRCRACK Wireshark EnCase Violentando claves o sistemas. Obtención y uso no autorizado. Destrucción maliciosa de documentos. Falsificación informática. Apropiación ilícita claves tarjetas magnéticas. 6 Estafa Injurias y amenazas a través del teléfono móvil. Duplicar páginas de entidades bancarias. Informaciones falsas sobre valores bursátiles en Internet. Robo de claves para acceder a sistemas y dañarlos u obtener información valiosa. X X El sabotaje o espionaje informático. X X Uso de instrucciones para dañar información. Edición de contenido de documentos Robo de claves mediante uso de aparatos computacionales y programabas. Casinos en Internet, donde la ruleta virtual suele estar trucada. Enviar mensajes de amenazas a terminales móviles. Conseguir los datos necesarios para realizar transferencia bancaria. Difunde rumores sobre la valoración. Su fin es alterar los precios X X X X X X 10 Pornografía Infantil. Carácter obsceno de una obra literaria. X 11 Espionaje por medios informáticos. 12 Piratería informática. Registrar todo lo que la pc realiza. Se utiliza para obtener información confidencial Robar información de un servidor y propagarla. X X X X X X X X X X X X

135 13 Colocación de bombas lógicas. Realizan ataques a la parte lógica del ordenador. Producen modificaciones o borrados de ficheros. 14 Tráfico de órganos. Poner en venta órganos en internet. X Uso ilegítimo de un terminal de telecomunicaciones. Utilización de Internet como medio criminal. Acceso ilícito a sistemas informáticos. Abuso de dispositivos que faciliten la comisión de delitos. Interferencia en el funcionamiento de un sistema informático. Manipulación de los datos de entrada. La manipulación de programas. Piratas informáticos o hackers. Reproducción no autorizada de programas informáticos de protección legal Infracción al copyright de bases de datos. Se utiliza un terminal para realizar los fraudes. Ocasiona perjuicio en dinero para propietario. Difusión de contenidos o material ilícito. Incitación al odio o a la discriminación. Es el acceso no autorizado a sistemas informáticos ajenos, utilizando las redes públicas de telefonía. Uso de aplicaciones con fines maliciosos. Interferencia a procesos importantes en un empresa. X X Sustracción de datos. X X X Modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas. El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones Tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones. Uso no autorizado de información almacenada en una base de datos. X X X X X X X X X X X 135

136 25 Estratagemas. 26 Terrorismo. 27 Fraude en la administración de personas jurídicas. 28 El fraude de una compañía de seguros. 29 El fraude en un banco El fraude con tarjetas de crédito. Interceptación de e- mail. 32 Cracking. 33 Apropiación de una cuenta de correo ajena. 34 Ventas ilegales en Internet. 35 Blanqueo de dinero. 36 Clonación de tarjetas. Ocultar computadoras que se "parecen" electrónicamente a otras para lograr acceso a algún sistema. Mensajes anónimos aprovechados por grupos terroristas, existencia de hosts que ocultan la identidad. Cotización de acciones, bonos y valores o la venta de equipos de computadora en regiones donde existe el comercio electrónico. Incluyendo en los listados beneficiados de pólizas inexistentes. Adulterando movimientos o saldos de cuentas. La realización de copias ilegales de software, violando los derechos de autor. X X X X Lectura de un mensaje electrónico ajeno. X X X X Robar o destruir información valiosa, realizar transacciones ilícitas, o impedir funcionamiento de redes. Reenviar mensajes de la misma con información de carácter privado. Empresas ficticias que se valen de la buena fe de las personas consiguen embolsar grandes cantidades Transferencia electrónica de mercancías o dinero para lavar las ganancias que deja el delito. Los ladrones conectan un skimer a una computadora para copiar la información de una banda magnética. X X X X X X X X 136

137 37 Revisión macrofilm. 38 Delitos informáticos contra la privacidad. 39 Interceptación de las comunicaciones Variación de los activos y pasivos en la situación contable de las empresas. Interrupciones en la lógica interna de los programas. 42 Virus informáticos. 43 Obtención de información residual impresa en papel luego de la ejecución de trabajos. 44 Espionaje industrial. Es una técnica de archivamiento de documentos basado fundamentalmente en el cambio de soporte de los documentos electrónicos Quien sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro. Uso de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen o de cualquier otra señal de comunicación X X X X Alteración de balances económicos. De igual manera programación maliciosa que afecte información valiosa X Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos X X Obtener información no autorizada. X X Accesos no autorizados a sistemas informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas de fabricación y know how estratégico. X 137

138 Atentado físico contra la máquina o sus accesorios. Secuestro de soportes magnéticos. Programación de instrucciones que producen un bloqueo total al sistema. Daños computacionales físicos. Entre los que figure información valiosa con fines de chantaje (pago de rescate, etc.) Programación de aplicaciones que afecten al sistema de información X X 48 Xenofobia por web. Insulto por medio de redes sociales X 49 Montaje fotográfico. 50 Delito de defraudación en el fluido de las telecomunicaciones. 51 Acceso no autorizado. 52 Juegos de azar. 53 Pesca u "olfateo" de claves secretas Se encuentra usted, su cara o algún rasgo que por el cual se le pueda identificar, y ese montaje se ha difundido a través del correo electrónico o se ha publicado en Internet, y usted se siente dañado o perjudicado. Nota que alguien está utilizando su ordenador o el de su empresa para dar algún tipo de servicio en Internet porque los programas van más despacio y siente que su sistema se ha vulnerado. Uso ilegitimo de passwords y la entrada de un sistema informático sin la autorización del propietario. El juego electrónico de azar se ha incrementado a medida que el comercio brinda facilidades de crédito y transferencia de fondos en la Red. Engañar a usuarios nuevos e incautos de la Internet para que revelen sus claves personales. X 138

139 54 Datos falsos o engañosos (data dinddling). 55 Manipulación de datos de salida. 56 Manipulación informática. 57 Sabotaje informático. 58 Gusanos Acceso no autorizado en sistemas informáticos o de servicio. La técnica del salami (Salami Technique/Rounching Down). 61 Pishing. 62 Ciberterrorismo. 63 Ataque de denegación de servicio. Manipulación de datos de entrada al computador con el fin de producir o lograr movimientos falsos en transacciones de una empresa. La falsificación de datos de cómputo en la fase de adquisición de datos. Acceso a los programas establecidos en un sistema de información, y manipulación para obtener una ganancia monetaria. Cuando se establece una operación tanto de programas de cómputo, como un suministro de electricidad o cortar líneas telefónicas intencionalmente. Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos. X X Acceso no autorizado a Sistemas o Servicios. X Rodajas muy finas, Apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una en una. X Diseñada con la finalidad de robarle la identidad al sujeto pasivo. Acto de hacer algo para desestabilizar un país o aplicar presión a un gobierno. Estos ataques se basan en utilizar la mayor cantidad posible de recursos del sistema objetivo. X X X 139

140 64 Fuga de datos (data leakage) Hurto del tiempo de computador. Apropiación de informaciones residuales (scavening). Parasitismo informático (piggibacking) y suplantación de personalidad. 68 Puertas falsas (trap doors). 69 La llave maestra (superzapping). 70 Pinchado de lineas (wiretapping). 71 Phreacker. 72 Spam. 73 Estafa informática. 74 Alterar el ingreso de datos de manera ilegal. Una variedad del espionaje industrial que sustrae información confidencial de una empresa. Hurto del tiempo de uso de las computadoras en Internet. Aprovechamiento de la información abandonada sin ninguna protección como residuo de un trabajo previamente. El delincuente utiliza la suplantación de personas para cometer otro delito informático. Consiste en la práctica de introducir interrupciones en la lógica de los programas con el objeto de chequear en medio. Abre en forma no permitida cualquier archivo por muy protegido que esté, con el fin de alterar, borrar, etc. los datos. Consiste en interferir las líneas telefónicas de transmisión de datos para recuperar la información que circula por ellas. Es el especialista en telefonía(cracker de teléfono).un Phreaker posee conocimientos profundos de los sistemas de telefonía, tanto terrestres como móviles Correos electrónicos, no solicitados para propósito comercial. Los estafadores recopilan toda la información necesaria de las víctimas. Conocen bien las redes de información de una empresa y pueden ingresar a ella para alterar datos como generar información falsa que los beneficie. X X X 140

141 75 Hostigamiento / acoso. 76 Narcotráfico. 77 Lammers. 78 Gurus. 79 Bucaneros. 80 Newbie. 81 Trashing. 82 Espionaje. 83 Pharming. Se dirige de manera específica a un individuo o grupo con comentarios peyorativos a causa de su sexo, raza, religión, nacionalidad, orientación sexual, etc. Transmisión de fórmulas para la fabricación de estupefacientes, para el blanqueo de dinero. Aquellos que aprovechan el conocimiento adquirido y publicado por los expertos. Si el sitio web que intentan vulnerar los detiene, su capacidad no les permite continuar más allá. Son los maestros, enseñan a los futuros Hackers. Normalmente se trata de personas adultas. Se trata de comerciantes. Los bucaneros venden los productos crackeados como tarjetas de control de acceso de canales de pago. Es alguien que empieza a partir de una WEB basada en Hacking. Inicial-mente es un novato, no hace nada y aprende. Apunta a la obtención de información secreta o privada que se logra por la revisión no autorizada de la basura. Acceso no autorizado a sistemas informáticos gubernamentales y de grandes empresas e interceptación de correos. Consiste en la manipulación de las direcciones DNS logrando así que la URL tecleada en el navegador de Internet no nos lleve a la página web de la entidad bancaria buscada. X X X X 141

142 84 Timos de ISP (proveedores de servicio de internet). 85 Inyección SQL. 86 IP spoofing. 87 Jamming / flooding. 88 Cross-site scripting (xss). 89 Arp poisoning o arp poison routing. Clientes poco expertos, suscriben contratos on-line sin haber leído el clausulado, por lo que pueden encontrarse amarrados a un contrato de larga duración. Atacan los sitios Web que dependen de bases de datos relacionadas, en este tipo de páginas Web los parámetros se pasan como una consulta de SQL. Sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar, puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP,UDP o TCP. Desactivan o saturan los recursos del sistema aquí el atacante satura el sistema con mensajes que requieren establecer conexión. Consisten en la ejecución de código Script, son ataques dirigidos contra los usuarios y no contra el servidor Web, un atacante puede realizar operaciones o acceder a información en un servicio Web en nombre del usuario afectado. Es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que permiten al atacante husmear paquetes de datos en LAN, modificar el tráfico o incluso detener el tráfico. X X X X X 142

143 90 Ping flood. 91 Ping de la muerte. 92 Land attack. 93 Website-vandalism. 94 Keyhost Teardrop i y ii-newtearbonk-boink. Envenenamiento de cache. Consiste en saturar una línea lenta con un número de paquetes ICMP suficientemente grande. Esta saturación causará una degradación del servicio importante. Es un tipo de ataque enviado a una computadora que consiste en mandar numerosos paquetes ICMP muy pesados mayores a bytes con el fin de colapsar el sistema atacado. Consiste en bug (error) en la implementación de la pila TCP/IP de las plataformas Windows. Modificación del contenido y de la apariencia de determinadas páginas Web las cuales podrían tomar el control de estos equipos para extraer información. Los mensajes de correo podrían ser redirigidos hacia los servidores de correo autorizados donde podrían ser leídos, modificados o eliminados. Afectan a fragmentos de paquetes, algunas implementaciones de colas IP no vuelven armar correctamente los fragmentos que se superponen haciendo que el sistema se cuelgue. Puede afectar a los usuarios atendidos directamente por el servidor comprometido o indirectamente por los servidores dependientes del servidor, el atacante explota una vulnerabilidad en el software de DNS que puede hacer que este acepte información incorrecta. X X X X X X X 97 Spyware. Conexiones a redes no autorizadas. X X 98 Hacking wireless. Ingreso a redes inalámbricas privadas. X 99 Fingerprinting. Se basa en analizar una serie de patrones que se obtienen de diversas formas de la máquina remota de la cual quieren obtener información Tabla 22: Herramientas Forenses Vs Delitos Informáticos 143

144 6.4. METODOLOGÍA PARA EL ANÁLISIS FORENSE DEL GPI CONCEPTUALIZACIÓN DE LA METODOLOGÍA Considerando que el análisis Forense Informático es una técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando técnicas predefinidas y en base al estudio realizado se propone la siguiente metodología para detectar o tratar un incidente en la seguridad de la información en el GPI Revisiones operativas Revisión y correlación de eventos Revisión de alarmas Metodología. Si tenemos indicios de que existe algún evento irregular procedemos a seguir la siguiente, (Ver gráfico 24): METODOLOGÍA PARA EL ANÁLISIS FORENSE DEL GPI. IDENTIFICAR Documentar los antecedentes de la investigación Organizar y definir el equipo de investigación Realizar una investigación preliminar Cadena de custodia de la evidencia PRESERVAR Obtener copia exacta del Disco Duro Recopilar Datos Almacenar y archivar ANALIZAR Análisis de datos de la red Análisis de Datos de Host Análisis de medios de almacenamiento DOCUMENTAR Organización de la documentación Informe final Gráfico 24: Metodología del Análisis Forense GPI 144

145 IDENTIFICAR los equipos que pueden tener evidencia, reconociendo la frágil naturaleza de los datos digitales. PRESERVAR la evidencia contra daños accidentales e intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. ANALIZAR la imagen copia de la original buscando la evidencia o información necesaria REPORTE, después de terminada la investigación se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, por ejemplo a un Juez FASE DE IDENTIFICACIÓN: En esta fase, realizamos una evaluación de los recursos, alcance y objetivos necesarios para realizar la investigación interna (ver gráfico 25). FASE DE IDENTIFICACIÓN a) Autorización por escrito (Solicitud Forense) b) Organizar y Definir el Equipo de Investigación c) Investigación Preliminar d) Cadena de Custodia de la Evidencia Gráfico 25: Fase de Identificación En forma secuencial seguimos los siguientes pasos: 145

146 a) Autorización por escrito.- Se refiere a obtener la solicitud forense que es un documento donde el administrador del equipo afectado notifica de la ejecución de un incidente y para ello solicita a la unidad de seguridad la revisión del mismo, donde incluye toda la información necesaria para dar inicio al proceso de análisis, se debe tomar en cuenta los acuerdos de confidencialidad. Se procede a llenar el siguiente formulario de solicitud (ver tabla 23): SOLICITUD DE ANÁLISIS FORENSE DESCRIPCIÓN DEL DELITO INFORMÁTICO Fecha del Incidente: Duración del incidente: Detalles del incidente: INFORMACIÓN GENERAL Área: Nombre de Dependencia: Apellidos y Nombres: Cargo: Responsable del sistema afectado Dirección IP: Teléf. Convencional: Extensión Teléf. Móvil: Fax: INFORMACIÓN SOBRE EL EQUIPO AFECTADO Nombre del Equipo: Marca y modelo: Capacidad de la RAM: Capacidad de Disco Duro: Modelo del Procesador: Sistema Operativo (Nombre y Versión): Función del Equipo: Tipo de información procesada por el equipo: Tabla 23 : Ejemplo de Solicitud Forense. 146

147 Es necesario documentar todas las acciones y antecedentes que preceden la investigación, los acontecimientos y decisiones que se adoptaron durante el incidente y su respuesta al incidente, esto determinará el curso de acción a seguir en la Investigación. b) Organizar y definir el Equipo de Investigación, estableciendo límites, funciones y responsabilidades. Esto nos permite asegurar que tanto los procesos como las herramientas sean las más idóneas. c) Realizar una Investigación preliminar (documentada) que permita describir la situación actual, hechos, las partes afectadas, posibles sospechosos, gravedad y criticidad de la situación, infraestructura afectada, para lograr una compresión total de la situación actual del incidente y definir un curso de acción acorde a la situación, se puede obtener el valor crítico de los daños producidos por el ataque, utilizando la siguiente tabla: EFECTOS DEL INCIDENTE Y RECURSOS AFECTADOS Criticidad de los Daños Producidos Incidente Recursos Afectados Graves Moderados Leves Alta Media Baja Acceso no Autorizado Servidor Web Servidor de Archivos Servidor de Aplicaciones Otros Infección de Virus Servidor Estación de Trabajo Otros Observación: Fecha: Firma Responsable: Hora: Tabla 24: Ejemplo de formato para receptar Efectos del incidente y Recursos Afectados 147

148 Además para la investigación preliminar se recomienda - Identificar el Impacto y la sensibilidad de la información (de clientes, financieros, comerciales, de Investigación y Desarrollo, etc.). - Analizar el Impacto de los servicios, negocios, transacciones o acciones a través de la investigación del Incidente. Como, tiempos de inactividad, costos de equipos afectados o dañados, pérdida en ingresos, costos de recuperación, pérdida de información confidencial, pérdida de credibilidad e imagen, etc. - Identificar la topología de red y equipos afectados (servidores, estaciones, Sistemas Operativos, Router, Switches, etc). - Identificar los dispositivos de almacenamiento o elementos informáticos (Discos Duros, Pen drive, memorias, tarjetas flash, Tapes, Zip Disk, Ópticos, Disquetes, Cds, Dvd, etc) que se consideren comprometidos y sean determinados como evidencia, su marca, modelo, características, seriales, etc. - Identificar a los posibles implicados o funcionarios que tengan relación con la investigación y efectuar entrevistas, con usuarios o administradores responsables de los sistemas, documentando todo, para lograr un conocimiento total de la situación. - Realizar una recuperación de los logs 13 de los equipos de comunicación y dispositivos de red, involucrados en la topología de la red. El producto final de la investigación preliminar, es un documento detallado con la información que permita definir un punto de inicio para la adquisición de datos y para la elaboración del documento final. d) Cadena de custodia de la evidencia.- Iniciamos la cadena de Custodia, llenando el formato correspondiente, iniciando un registro de los procesos que se llevan a cabo y el embalaje de la Evidencia, se debe determinar: - Dónde, cuándo y quién es el primero en tener la evidencia. - Dónde, cuándo y quién examino la evidencia. - Quién va a tener custodia de la evidencia y por cuanto tiempo la tendrá. 13 Logs: Es usado para registrar datos o información sobre quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo en particular o aplicación 148

149 - Quién y cómo se embaló y almacenó la evidencia. - Cuándo se realiza el cambio de custodia y como se realiza la transferencia FASE DE PRESERVACIÓN En esta segunda fase, se procede a obtener la evidencia sin alterarla o dañarla, se garantiza que la información de la evidencia sea igual a la original, es necesario definir los procesos adecuados para el almacenamiento y etiquetado de las evidencias. Cuando están las evidencias listas es preciso conservarlas intactas ya que son las huellas del ilícito, se las debe asegurar y resguardar a toda costa, para ello se sigue el siguiente proceso, (Ver gráfico 26). FASE DE PRESERVACIÓN a) Obtener copia de seguridad exacta del Disco Duro b) Recopilar Datos c) Almacenar y archivar Gráfico 26: Fase de Preservación. a) Obtener una copia de seguridad exacta del disco.- Realizar copia imagen de los dispositivos (bit a bit), con una herramienta apropiada, y firmar su contenido con un hash de MD5 14 o SHA1 15, generando así el segundo original, a partir de este se 14 MD5 (Algoritmo de Hash, Message-Digest Algorithm 5 o Algoritmo de Firma de Mensajes 5): Desarrollado por Ron Rivest. Procesa mensajes de una longitud arbitraria en bloques de 512 bits generando un compendio de 128 bits. 15 SHA-1 (Secure Hash Algorithm 1 o Algoritmo de Hash Seguro 1): El SHA-1 toma como entrada un mensaje de longitud máxima 2 64 bits (más de dos mil millones de Gigabytes) y produce como salida un resumen de 160 bits. 149

150 generaran las copias para la fase de Análisis de datos, cada copia debe ser comprobada con firmas digitales nuevamente de MD5 o SHA1, cada copia debe estar totalmente etiquetada. b) Recopilación de Datos.- Es importante considerar las buenas prácticas para conservar la información y la evidencia, tales como: Asegurar de manera física un lugar para almacenar los datos, evitando su manipulación y documentar. Proteger los equipos de almacenamiento de los campos magnéticos (estática). Realizar como mínimo el segundo original y una copia del segundo original para el análisis y almacenar el segundo original en un sitio seguro, y documentar. Asegurar que la evidencia está protegida digital y físicamente (por ejemplo, en una caja fuerte, asignar una contraseña a los medios de almacenamiento). Actualizar el documento de cadena de custodia (incluye información como el nombre de la persona que examina la evidencia, la fecha exacta y el tiempo que da un vistazo a las pruebas, y la fecha exacta y hora en que lo devuelva). De igual forma, se toman otras fuentes de información de los sistemas vivos, los datos volátiles como: Cache del Sistema Archivos temporales Registros de sucesos. Registros de internos y externos que los dispositivos de red, tales como firewalls, routers, servidores proxy, etc. Logs del sistema, Aplicaciones. Tablas de enrutamiento (arp, cache de Netbios, lista de procesos, información de la memoria y el kernel) Registros remotos e información de monitoreo relevante. Es importante documentar la evidencia con un documento del embalaje (y cadena de custodia) que puedan garantizar que se incluye información acerca de sus configuraciones, por ejemplo, anote el fabricante y modelo, configuración de los puentes, y el tamaño del dispositivo. Además, tenga en cuenta el tipo de interfaz y de la condición de la unidad. 150

151 b) Almacenar y archivar.- Iniciar una Bitácora, que nos permita documentar de manera precisa e identificar y autenticar los datos que se recogen. Se puede iniciar contestando el siguiente cuestionario: - Quién realiza la acción y por qué lo hicieron. - Qué estaban tratando de lograr? - Cómo se realiza la acción, incluidas las herramientas que utilizaban y los procedimientos que siguieron. - Cuando se realizó la acción (fecha y hora) y los resultados. Se pretende que esta información sea: Auténtica, Correcta, Completa, Convincente. Para que en caso de un proceso judicial sea legal y admisible FASE DE ANÁLISIS. FASE DE ANÁLISIS a) Análisis de datos de la Red b) Análisis de Datos de Host c) Análisis de Medios de Almacenamiento Gráfico 27: Fase de Análisis Primeramente debemos preparar: un entorno de trabajo adecuado, las herramientas técnicas, autorizaciones de monitoreo y soporte administrativo; luego empezamos a cumplir con el objetivo de ésta fase que es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento; siempre trabajando en 151

152 las imágenes de los dispositivos. Este análisis se dará por terminada cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc. En ésta fase se seguirá tres pasos: a) Análisis de Datos de la Red.- Se identifica los dispositivos de comunicación y de defensa perimetral (Servidores Web, Firewall, IDS s, IPS s, Proxys, Filtros de Contenido, Analizadores de Red, Servidores de Logs, etc) que están en la Red, con la finalidad de recuperar los logs que se han tomado como parte de la gestión de red. b) Análisis de los Datos del Host.- Generalmente se logra con la información obtenida de los sistemas vivos, de la lectura de las Aplicaciones y los Sistemas Operativos. Para nuestro caso, debemos de limitarnos a tratar de recuperar estos archivos de la evidencia en procesos de Data Carving (proceso de extraer una serie de datos de un gran conjunto de datos. La técnica de Data Darving se utiliza habitualmente durante una investigación digital cuando se analiza el espacio no ubicado de un sistema de ficheros para extraer archivos. Los archivos son desenterrados del espacio no ubicado utilizando valores para las cabeceras y pies específicos del tipo de archivo.) o recuperación de datos, y definir criterios adecuados de búsqueda, debido a que lo más probable es que encontremos una gran cantidad de información que nos puede complicar o facilitar el análisis de datos, dependiendo de nuestros objetivos de búsqueda. Posteriormente se define a que archivos le realizaremos la búsqueda. c) Análisis de los Medios de Almacenamiento.-Igual que el punto anterior debemos definir criterios de búsqueda con objetivos claros, debido a la gran cantidad de información disponible, que nos puede desviar la atención o sencillamente complicar el proceso de análisis de la información se debe tener en cuenta las siguientes puntos: - No olvidemos, que se debe utilizar la copia del segundo original, a su vez el segundo original preservarlo manteniendo un buen uso de la cadena de custodia. - Determinar si los archivos no tienen algún tipo de cifrado (varias claves del registro no lo pueden determinar). - Preferiblemente descomprimir los archivos con sistemas de compresión. - Crear una estructura de Directorios y Archivos recuperados. 152

153 - Identificar y recuperar los archivos objetivo (determinados por algunos criterios, por ejemplo aquellos que han sido afectados por el incidente). - Estudio de las Metadatos (en especial identificar las marcas de tiempo, creación, actualización, acceso, modificación, etc.). - La evidencia debe ser cargada de solo lectura, para evitar daños o alteraciones sobre las copias del segundo original. Si la intensión es plantear un procedimiento judicial, es necesario también averiguar quién o quienes lo hicieron para esto será de utilidad consultar nuevamente algunas evidencias volátiles que se recopiló en las primeras fases, revisar las conexiones que estaban abiertas, en qué puertos y qué direcciones IP las solicitaron, además buscar entre las entradas a los logs de conexiones. También se puede investigar entre los archivos borrados que se recuperó por si el atacante eliminó alguna huella que quedaba en ellos, se podría utilizar técnicas Hacker, pero en una forma ética, todo depende de la pericia y habilidad del investigador forense FASE DE REPORTE Y DOCUMENTACIÓN FASE DE REPORTE Y DOCUMENTACIÓN a) Organización de la Documentación b) Informe Técnico e Informe Final Gráfico 28: Fase de Identificación Es la fase más delicada e importante (ver gráfico 28), en donde ya se genera el documento que sustentará una prueba en un proceso legal, si fuera el caso, básicamente tener en cuenta estos dos pasos: 153

154 a) Organización de la Información: - Retomar toda la documentación generada en las fases anteriores de la metodología propuesta, e igual cualquier información anexa como notas, antecedentes o informe policial, documentos de custodia de la evidencia, formularios de: identificación de equipos y componentes, publicación, recogida de evidencias. etc. - Identificar lo más importante y pertinente de la investigación. - Realizar conclusiones (tenga en cuenta los hechos) y crear una lista de las pruebas para presentar en el informe. b) Informe Final: Debe ser claro, conciso y escrito en un lenguaje entendible para gente común (no muy técnico). Debe contener como mínimo: - Propósito del Informe.-. Explicar claramente el objetivo del informe, el público objetivo, y por qué se preparó el informe. - Autor del informe. Todos los autores y co-autores del informe, incluyendo sus posiciones, las responsabilidades durante la investigación, y datos de contacto. - Resumen de Incidentes.- Introducir el incidente y explicar su impacto. El resumen deberá estar escrito de manera que una persona no técnica, como un juez o jurado sería capaz de entender lo que ocurrió y cómo ocurrió. - Pruebas.- Proporcionar una descripción de las pruebas de que fue adquirido durante la investigación. Cuando el estado de la evidencia que describen la forma en que fue adquirida, cuándo y quién lo adquirió. - Detalles: Proporcionar una descripción detallada de lo que en la evidencia se analizó y los métodos de análisis que se utilizaron. Explicar los resultados del análisis. Lista de los procedimientos que se siguieron durante la investigación y de las técnicas de análisis que se utilizaron. Incluir una prueba de sus resultados, tales como los informes de servicios públicos y las entradas de registro. Justificar cada conclusión que se extrae del análisis. 154

155 Sellar documentos de apoyo, el número de cada página, y se refieren a ellos por el nombre de la etiqueta cuando se examinan en el análisis; por ejemplo, registro de Firewall de servidor, documento de apoyo D. Además, proporcionar información sobre aquellos individuos que realizaron o participaron en la investigación. Si es necesario proporcione una lista de testigos. - Conclusión.- Resumir los resultados de la investigación. La conclusión debe ser específica de los resultados de la investigación. Citar pruebas concretas para demostrar la conclusión, pero no dar excesivos detalles acerca de cómo se obtuvieron las pruebas (tal información debe estar en la sección Detalles ). Incluir una justificación para su conclusión, junto con las pruebas y la documentación. La conclusión debe ser lo más clara y sin ambigüedades como sea posible. - Documentos Justificativos.- Incluir cualquier información de antecedentes a que se refiere en todo el informe, tales como diagramas de red, los documentos que describen los procedimientos de investigación de equipos usados, y un panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionen información suficiente para que el lector del informe pueda comprender el incidente tan completamente como sea posible. Los documentos de apoyo deben estar etiquetados con letras y números en cada página del documento y además proporcionar una lista completa de los documentos justificativos Si el informe es presentado a un público heterogéneo, considerar la creación de un glosario de términos utilizados en el informe. Un glosario es especialmente valioso si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez o jurado debe revisar los documentos Aplicaciones de Herramientas Forenses en el GPI Como objetivo principal de ésta investigación es el análisis forense informático en el GPI, es así que se ha seleccionado un grupo de herramientas gratuitas para cumplir con éste 155

156 objetivo, cabe recalcar que en el GPI no se ha reportado, ni presentado ataques informáticos, pero la investigación pretende poner en alerta a sus directivos para que consideren y minimicen las vulnerabilidades que les podemos hacer notar que existen en sus instalaciones. Si bien es cierto que en los últimos años el número de herramientas forenses se han diversificado y multiplicado y se puede encontrar en el mercado desde las más sencillas y económicas, como programas de prestaciones muy limitadas y con costos de menos de US$300, hasta herramientas muy sofisticadas que incluyen tanto software como dispositivos de hardware. Es necesario tomar en cuenta que no todos los productos sirven para todo, algunos están diseñados para tareas muy específicas y más aún, diseñados para trabajar sobre ambientes muy específicos, como determinado sistema operativo. Se ha utilizado herramientas gratuitas por la facilidad de adquisición ya que en el GPI por la eventualidades conocidas por todos no cuenta con presupuesto para un estudio de esta naturaleza Herramienta AIRCRACK NG 1.0 Aircrack es la herramienta por excelencia para el crackeo de redes WiFi [27]. Con esta herramienta se pueden lanzar gran cantidad de ataques estadísticos y de fuerza bruta sobre los protocolos WEP 16 y WPA 17. Además también incluye en su suite, gran cantidad de herramientas adicionales que podrían proporcionar a un atacante la capacidad de llevar complejos ataques informáticos sobre las redes que ellos elijan. Se eligió esta herramienta porque permite obtener las contraseñas a partir de capturas de tráfico y los diccionarios de claves como: airodump: programa para la captura de paquetes aireplay: programa para la inyección de paquetes aircrack: crackeador de claves estáticas WEP y WPA-PSK airdecap: desencripta archivos de capturas WEP/WPA 16 WEP (Wired Equivalent Privacy) "Privacidad Equivalente a Cableado". 17 WPA (Wi-Fi Protected Access, Acceso Protegido Wi-Fi) es un sistema para proteger las redes inalámbricas (Wi-Fi); 156

157 Además de esta herramienta se necesita utilizar los siguientes programas: COMMVIEW FOR WIFI: Permite capturar el tráfico wifi de nuestros ingenuos vecinos. Será el sustituto del programa "airodump-ng" de Wifislax. WIFI DECRYPTER: Genera el diccionario de posibles claves. Es el sustituto del programa "wlandecrypter" de Wifislax; pero mucho mejor, porque además de generar diccionarios para las redes WLAN_XX, sirve también para redes DLINK, ADSLXXXXXX y SpeedTouchXXXX. a) Instalación. Creamos una Carpeta común en el escritorio y la llamamos "WIFI ATTACK". Commview for wifi. Este programa no soporta todas las tarjetas de red pero, probamos de todas formas y en caso de no funcionar adquirimos una compatible. Instalarlo es un poco tedioso, hay que aceptar unas cuantas licencias. En determinado momento, pregunta sobre las tarjetas Intel, buscamos la nuestra y damos ok. Tarjeta WiFi: Se debe averiguar la marca y modelo de la tarjeta wifi (por si es integrada o no aparece por ningún lado), para esto tenemos que ir al "Administrador de dispositivos" de Windows, cuya localización varía dependiendo del SO. Instalación: Damos click en setup del programa y nos aparece la siguiente pantalla, donde nos da la bienvenida a esta herramienta. Damos click en Next para continuar con la instalación, aceptando los términos de instalación. 157

158 Click en Next para la siguiente pantalla, en donde nos da dos opciones a escoger. Aquí escogemos la opción 2 el modo estándar. En esta pantalla nos indica el lugar donde se instalara el software, en este caso es en C:\ Program Files\CommViewWiFi. 158

159 Escogemos el idioma para la instalación y damos Next y esperamos a que se instale. Cuando se termine la instalación nos aparecerá la siguiente pantalla: Cuando termine de instalar, movemos el acceso directo a la carpeta "Wifi attack". Si no hay icono en el escritorio, copiamos el del menú inicio. WIFI DECRYPTER Para instalarlo, descomprimimos el contenido del archivo en la carpeta "Wifi Decrypter" dentro de la "Wifi Attack" (el programa descompresor, normalmente WinRar o WinZip, creará la carpeta automáticamente). Copiamos el archivo ejecutable y lo pegamos como acceso directo en "Wifi Attack". AIRCRACK-NG PARA WINDOWS. Lo descomprimimos igual que el Wifi Decrypter, en la carpeta "Wifi Attack" del escritorio. En mi caso se encuentra en la carpeta "aircrack-ng-1.0-win", pero el 159

160 nombre puede variar según la versión. Nos vamos a la carpeta "bin" dentro de la carpeta del aircrack, copiamos el archivo "Aircrack-ng GUI.exe" y lo pegamos como acceso directo en la carpeta "Wifi Attack". Una vez hecho todo lo anterior la carpeta nos queda de la siguiente manera: b) Hacker. Buscar Redes. Abrimos el Commview. Para iniciar la captura damos clic en el botón Play, ubicado en la parte superior izquierda; inmediatamente aparece una ventana en la que se puede observar todas las redes al alcance, para ello hacemos clic en el botón Iniciar exploración. Al final aparecerán todas las redes, se da clic en la red que sea de nuestro interés o que deseamos hackear (por tratarse de datos confidenciales no exponemos gráficos de éstas opciones) y damos clic en el botón capturar, allí se puede observar que las 160

161 separa por canal y las nombra por la marca de router y los últimos seis dígitos de la MAC, además nos informa la calidad de la señal y el nombre de la red. Capturar tráfico de una red en concreto. Se cerrará entonces la ventana del explorador de redes y volveremos a la ventana principal, donde aparecerán las redes que operan en el canal 1. Cuando se ha capturado 4 ó más paquetes de datos (ubicados en la antepenúltima columna), hacemos clic en el botón stop (detener captura). Si no se logra hacer ninguna captura de datos se puede intentar varias cosas como ubicar el ordenador o el wifi usb por la ventana, hacerlo a otras horas del día, otro día, etc., en ésta clase de trabajos la paciencia es de mucha importancia ya que no todo el mundo tiene el ordenador encendido las 24 horas del día. Es importante conocer que Commview for Wifi captura más paquetes que Airodump-ng, esto es porque Commview captura, además de los paquetes de datos (que son los que nos interesan a nosotros), los de control y los de gestión. Para ver cuántos paquetes de datos se han capturado realmente, deberemos pinchar en la pestaña Canales y mirar la columna Datos. Cuando ya tengamos los paquetes necesarios los guardamos dando clic en la red que nos interesa, luego clic en el menú Archivo y seleccionamos Guardar registro de paquetes como., nos permite guardar el archivo en varios formatos, Seleccionamos "Archivos Wireshark/Tcpdump (*.cap)" y lo guardamos con el nombre que deseamos. 161

162 Para obtener la MAC del router, damos clic derecho en la red escogida y seleccionamos "Copiar dirección física (MAC)", la tendremos en el portapales, por lo que deberemos pegarla en el bloc de notas o similar para tenerla a mano. Podemos desmarcar "Mostrar nombre del fabricante en direcciones físicas" para que no aparezca la marca del router y así poder ver la MAC completa. En nuestro ejemplo la dirección MAC es la siguiente: 1C:BD:B9:94:07:FE. c) Generar el Diccionario de Claves. Para generar el Diccionario de claves abrimos el Wifi Decrypter.es recomendable no cerrar el Commview porque podemos volver a necesitar algo, sobre todo las primeras veces. Lo primero que tenemos que hacer es ir al menú desplegable y seleccionar el tipo de router que queremos atacar. En nuestro caso es D-LINK. Ahora escribimos la MAC, por pares de caracteres en BSSID, y escribimos el nombre de la red en ESSID (ejemplo D-LINK), y como archivo de salida escribimos: nombre.txt (ejemplo Diccionario.txt) y le damos a "Crear diccionario". d) Obtener la Clave. Abrimos el Aircrack. 162

163 De las 5 pestañas que aparecen, las 4 primeras son diferentes herramientas; pero sólo necesitaremos la primera, el aircrack-ng, para las demás se necesitan drivers especiales. En el primer campo, Filenames, seleccionamos el archivo.cap (que generamos en el Commview). En la encriptación, dejamos la WEP de 128 bits y marcamos "Use wordlist". En el campo que aparece, seleccionamos el diccionario de claves que generamos con el Wifi Decrypter. Ahora damos clic en "Launch" y se abrirá una ventana de MS-DOS con el resultado del aircrack. Si en el archivo.cap hay paquetes de más de una red, preguntará qué red atacar. En tal caso debemos escribir el número de la red que nos interese y pulsar Enter Herramienta CAIN & ABEL. Caín&Abel es una herramienta de recuperación de contraseñas para sistemas operativos de Microsoft; diseñada especialmente para administradores de redes con la que se puede comprobar el nivel de seguridad de una red local doméstica o profesional. Recupera fácilmente varios tipos de password mediante el sniffing 18 de la red en el cual captura los paquetes (información que se envía por Internet, como usuarios y contraseñas) que envía por la Red; crackeando passwords encriptados usando diccionarios, fuerza bruta 19 y ataques mediante criptoanálisis. También graba conversaciones VoIP, decodifica passwords, recupera claves de red o claves almacenadas en cache. a) Instalación y configuración de sniffer Cain&Abel en una Red Ejecutamos el archivo de instalación Cain&Abel v en una terminal conectada al HUB y procedemos con la instalación: 18 sniffer, se define como una pieza de software o hardware que se conecta a una red informática y supervisa todo el tráfico que pasa por el cable. 19 La fuerza bruta se implementa con un programa que se encarga de probar múltiples claves hasta descubrir la correcta. 163

164 Next, y aceptamos los términos de la licencia. Seleccionamos en dónde se van a almacenar los archivos de instalación. Next, y luego finalizar. Una vez finalizada la instalación del sniffer se nos pide instalar el WinPcap que sirve para configurar la Placa de Red en modo escucha. Procedemos a instalar el WinPcap

165 Aceptamos los términos de licencia 165

166 Instalamos WinPcap Después de finalizar la instalación del sniffer, se debe reiniciar la máquina y luego procedemos con la configuración. b) Configuración. Ejecutamos Cain&Abel: 166

167 Configuración de la placa de red, para que se capturen los paquetes que se transmiten en la red, de la siguiente manera: En la opción Sniffer, Seleccionamos la placa de red a utilizar En la opción Filtres and ports, Filtramos los protocolos que se desean captar. Se coloca una dirección IP que no exista en nuestra subred, pero que esté en el rango de la misma. 167

168 Aplicamos los cambios realizados. Iniciamos el sniffer.- en esta ocasión vamos a recuperar wireless passwords. En la opción Decoders, seleccionamos Wireless passwords y hacemos clic en el signo +. Observamos los resultados indicados por la herramienta, en la columna password. También se puede encontrar las Pc que están en la red. En la opción Network, seleccionar Microsoft Windows Network y hacemos click en + 168

169 Inmediatamente se observa una ventana con los resultados, los cuales se pueden expandir en la opción que deseemos, además podemos explorar las opciones de cualquiera de las pc. Para encontrar en la red dispositivos con sus propiedades: En la opción sniffer, seleccionamos HSPR Routers y damos click en + Como resultado obtenemos los dispositivos en encontrados con sus propiedades. En el caso de encontrar passwords encriptadas, éstas son enviadas automáticamente al Cracker. 169

170 Herramienta ENCASE EnCase es un ejemplo de herramientas forenses más potentes. Desarrollada por Guidance Software Inc., la podemos encontrar en la cual permite asistir al investigador forense durante el análisis de un crimen digital. Se detalla sobre esta herramienta por tratarse del software líder en el mercado, el producto más ampliamente difundido y de mayor uso en el campo del análisis forense. Algunas de las características más importantes de EnCase son: Copiado Comprimido de Discos Fuente. Encase emplea un estándar sin pérdida (loss-less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera semejante a los originales. Esta característica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, de esta forma permite trabajar en una gran diversidad de casos al mismo tiempo, examinándola evidencia y buscando en paralelo. Búsqueda y Análisis de Múltiples partes de archivos adquiridos. EnCase permite al investigador buscar y analizar múltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extraíbles, discos zip y otros tipos de dispositivos de almacenamiento de información. Con Encase, el investigador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo por el especialista. En varios casos la evidencia puede ser ensamblada en un disco duro grande o un servidor de red y también buscada mediante Encase en un solo paso. Diferente capacidad de Almacenamiento. Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas. 170

171 Varios Campos de Ordenamiento, Incluyendo marcas de tiempo. Encase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres marcas de tiempo (cuando se creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y extensiones. Análisis Compuesto del Documento. EnCase permite la recuperación de archivos internos y metadatos 20 con la opción de montar directorios como un sistema virtual para la visualización de la estructura de estos directorios y sus archivos, incluyendo el slack 21 interno y los datos del espacio unallocated. Búsqueda Automática y Análisis de archivos de tipo Zip y adjuntos de . Al igual que un antivirus EnCase es capaz de leer este tipo de archivos, pero en este caso no en busca de virus, sino en busca de evidencia. Firmas de archivos, Identificación y Análisis. La mayoría de los gráficos y de los archivos de texto comunes contienen una pequeña cantidad de bytes en el comienzo del sector, los cuales constituyen una firma del archivo. EnCase verifica esta firma para cada archivo contra una lista de firmas conocida de extensiones de archivos. Si existe alguna discrepancia, como en el caso de que un sospechoso haya escondido un archivo o simplemente lo haya renombrado, EnCase detecta automáticamente la identidad del archivo, e incluye en sus resultados un nuevo ítem con la bandera de firma descubierta, permitiendo al investigador darse cuenta de este detalle. Análisis Electrónico del Rastro de Intervención. Sellos de fecha, sellos de hora, registro de accesos y la actividad de comportamiento reciclado son a menudo puntos críticos de una investigación por computador. EnCase proporciona los únicos medios prácticos de recuperar y de documentar esta información de una manera no invasora y eficiente. Con la característica de ordenamiento, el análisis del contenido de archivos y la interfaz de EnCase, virtualmente toda la información necesitada para un análisis de rastros se puede proporcionar en segundos. Soporte de Múltiples Sistemas de Archivo. EnCase reconstruye los sistemas de archivos forenses de DOS, Windows (todas las versiones), Macintosh (MFS, HFS, HFS+), Linux, UNIX (Sun, Open BSD), CD-ROM, y los sistemas de archivos DVDR. 20 Metadatos: Los metadatos son datos altamente estructurados que describen información, describen el contenido, la calidad, la condición y otras características de los datos. 21 Salck: Espacio que queda libre en un clúster luego de almacenar un archivo. 171

172 Con EnCase un investigador es capaz de ver, buscar y ordenar archivos desde estos discos con otros formatos, en la misma investigación de una manera totalmente limpia y clara. Vista de archivos y otros datos en el espacio Unallocated. EnCase provee una interfaz tipo Explorador de Windows y una vista del Disco Duro de origen, también permite ver los archivos borrados y todos los datos en el espacio Unallocated. También muestra el Slack File con un color rojo después de terminar el espacio ocupado por el archivo dentro del clúster, permitiendo al investigador examinar inmediatamente y determinar cuándo el archivo reescrito fue creado. Los archivos Swap y Print Spoolerson mostrados con sus marcas de datos para ordenar y revisar. Integración de Reportes. EnCase genera el reporte del proceso de la investigación forense como un estimado. En este documento realiza un análisis y una búsqueda de resultados, en donde se muestra el caso incluido, la evidencia relevante, los comentarios del investigador, favoritos, imágenes recuperadas, criterios de búsqueda y tiempo en el que se realizaron las búsquedas. Visualizador Integrado de imágenes con Galería. EnCase ofrece una vista completamente integrada que localiza automáticamente, extrae y despliega muchos archivos de imágenes como.gif y.jpg del disco. Seleccionando la Vista de Galería se despliega muchos formatos de imágenes conocidas, incluyendo imágenes eliminadas. El investigador puede después escoger las imágenes relevantes al caso e inmediatamente integrar todas las imágenes en el reporte de EnCase. No es necesario ver los archivos gráficos usando software de terceros, a menos que el formato de archivo no sea muy conocido y todavía no sea soportado por EnCase. EnCase es un software costoso, y permanentemente se está desarrollando nuevas versiones, es así que para marzo del 2011 ya se contaba con la versión 6.18 y en mayo del mismo año ya se está hablando de la versión 7. Para nuestra práctica se ha descargado una versión libre, que es la versión 4.2, la cual encuentra en el siguiente enlace: este enlace es una de las opciones que podemos utilizar para la descarga, de la cual obtendremos el instalador y un archivo.dll el cual nos permitirá utilizar EnCase. 172

173 a) Instalación y configuración. Procedemos a la instalación del programa: lo usual siguiente, siguiente y finalizar. Aceptamos las condiciones de la licencia 173

174 Una vez terminada la instalación procedemos a ubicar el archivo.dll en la carpeta: C:\Windows\System32. Y ya podemos utilizar nuestro programa: clic en el acceso directo del escritorio. Una vez ejecutado Encase procedemos a utilizar la herramienta: Crear un nuevo caso asignándole un nombre y además el nombre de su creador y seleccionamos finalizar: 174

175 Ahora añadimos un nuevo Device para seleccionar el disco que queremos analizar. Seleccionamos Local Drives y siguiente. En éste caso seleccionamos una memoria USB para el análisis, es necesario seleccionar un disco y además un disco virtual (que en ocasiones se adiciona automáticamente). 175

176 Ahora ya podemos analizar el dispositivo ya que nos aparecerá todos los últimos datos que fueron contenidos en la memoria 176

177 Se puede manipular el programa para obtener los datos que se encontraban en la memoria. En la parte inferior se muestran los datos y cuál era su ubicación en la memoria. Dando clic derecho, seleccionamos el archivo que nos interese recuperarlo, procedemos a restaurarlo y seleccionamos una ubicación para el archivo y finalmente lo podemos visualizar. Creamos un registro en el cual nos va a devolver un informe del análisis realizado. 177

178 Ir al archivo que recuperamos: 178

179 Para el e informe seleccionamos la pestaña Scripts y seleccionamos: Una vez seleccionado este archivo se nos mostrará un código de utilización el cual, inclusive, podemos modificar para su mejor presentación, en éste caso lo mostraremos el dado por defecto. 179

180 Clic derecho en la pantalla y seleccionamos Run. Aparece una pantalla para agregar nuestros datos y la ubicación del archivo. 180

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

INFORMATICA FORENSE Fases de aplicación.

INFORMATICA FORENSE Fases de aplicación. 1 INFORMATICA FORENSE Fases de aplicación. DEFINICIONES GENERALES El E-discovery o descubrimiento electrónico es la parte del proceso de descubrimiento que se centra en la búsqueda de pruebas en formato

Más detalles

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana 1.- Globalización y avance tecnológico La infraestructura tecnológica disponible y el entorno de globalización han

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

El Anuario Estadístico del Ministerio del Interior, que será publicado próximamente, introduce un apartado dedicado a la cibercriminalidad.

El Anuario Estadístico del Ministerio del Interior, que será publicado próximamente, introduce un apartado dedicado a la cibercriminalidad. El Anuario Estadístico del Ministerio del Interior, que será publicado próximamente, introduce un apartado dedicado a la cibercriminalidad. El presente estudio tiene por objeto analizar qué se entiende

Más detalles

Lista de verificación para una auditoría a la seguridad informática

Lista de verificación para una auditoría a la seguridad informática Lista de verificación para una auditoría a la seguridad informática Seguridad en la protección y conservación de locales, instalaciones, mobiliario y equipos. Seguridad para el personal informático y los

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá. Dirección de Informática

REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá. Dirección de Informática REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá Dirección de Informática Documento Plan de contingencias y sugerencias Diseño, Desarrollo e Implementación Versión I 1.- SOLUCIÓN PROPUESTA Y PLAN

Más detalles

Análisis Forense? Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre 2011 Iván Marsá Maestre. El título no está muy bien puesto

Análisis Forense? Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre 2011 Iván Marsá Maestre. El título no está muy bien puesto Análisis Forense Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre 2011 Iván Marsá Maestre Introducción Análisis Forense? El título no está muy bien puesto Informática forense? Veremos

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

RIESGOS INFORMATICOS

RIESGOS INFORMATICOS 1 INTRODUCCION RIESGOS INFORMATICOS LA GESTION DE LOS RIESGOS El principal objetivo de la administración de riesgos, como primera ley de la naturaleza, es garantizar la supervivencia de la organización,

Más detalles

1.4.1.2 Beneficios del PGD para la Cámara de Comercio de Manizales por Caldas... 18

1.4.1.2 Beneficios del PGD para la Cámara de Comercio de Manizales por Caldas... 18 1 EL PROGRAMA DE GESTIÓN DOCUMENTAL... 5 1.1 CARÁTULA... 5 1.2 INTRODUCCIÓN... 6 1.3 LA CCMPC Y LA GESTIÓN DOCUMENTAL... 7 1.3.1 Reseña histórica de la CCMPC... 7 1.3.2 Organigrama... 10 1.3.3 Objeto de

Más detalles

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) Tabla de Contenidos CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS 1 DE LA ADMINISTRACIÓN PÚBLICA NACIONAL

Más detalles

Investigaciones de fraude: reflexiones sobre el rol del perito

Investigaciones de fraude: reflexiones sobre el rol del perito Investigaciones de fraude: reflexiones sobre el rol del perito 25 Fórum del Auditor Profesional Sitges, 9 de julio de 2015 1. El proceso de investigación: algo más que un dictamen pericial económico/contable

Más detalles

Lineamientos en Materia de Tecnologías de Información y Comunicaciones

Lineamientos en Materia de Tecnologías de Información y Comunicaciones Con fundamento en los artículos 3 y 6, fracción VII, del Reglamento del Poder Legislativo del Estado de Guanajuato para el Uso de Medios Electrónicos y Firma Electrónica, la Secretaría General emite los

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

PRIMERA PARTE INFORMÁTICA JURÍDICA 1

PRIMERA PARTE INFORMÁTICA JURÍDICA 1 ÍNDICE PRIMERA PARTE INFORMÁTICA JURÍDICA 1 I.- CONCEPTO DE INFORMÁTICA JURÍDICA Y CLASIFICACIÓN 1 II.- INFORMÁTICA JURÍDICA DOCUMENTAL 3 Desarrollo de la Informática Jurídica Documental 5 Elementos estructurales

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

CAPÍTULO IV. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS.

CAPÍTULO IV. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS. CAPÍTULO IV. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS. CAPITULO IV 4.0 ANÁLISIS E INTERPRETACIÓN DE LOS RESULTADOS. 4.1 Presentación En este capitulo se muestran los resultados de la investigación, el cual

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

DIPLOMADO: Seguridad de la Información y de Tecnologías Relativas.

DIPLOMADO: Seguridad de la Información y de Tecnologías Relativas. 12.7mm (0.5") DIPLOMADO: Seguridad de la Información y de Tecnologías Relativas. Programa de Educación Continua que te ofrecen la Corporate & Professional Education de la Universidad de San Diego y Hewlett

Más detalles

OWASP Chile. Delitos Informáticos. Felipe Sánchez Fabre Perito Informático Especialista en Delitos Informáticos e Informática Forense

OWASP Chile. Delitos Informáticos. Felipe Sánchez Fabre Perito Informático Especialista en Delitos Informáticos e Informática Forense OWASP LatamTour Chile 2011 The OWASP Foundation http://www.owasp.org OWASP Chile Delitos Informáticos Felipe Sánchez Fabre Perito Informático Especialista en Delitos Informáticos e Informática Forense

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes?

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes? Introducción a la Seguridad Informática Dra. Maricela Bravo La información como activo estratégico Recordando Qué es un sistema de información? Es el conjunto que resulta de la integración de cuatro elementos:

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

Webinar Gratuito Informática Forense

Webinar Gratuito Informática Forense Webinar Gratuito Informática Forense Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Cómputo Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 15 de Agosto

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

II MARCO CONCEPTUAL. 2.1 Auditorías. 2.1.1 Proceso de Auditorías

II MARCO CONCEPTUAL. 2.1 Auditorías. 2.1.1 Proceso de Auditorías II MARCO CONCEPTUAL 2.1 Auditorías En general podemos considerar una auditoría como un proceso sistemático y formal en el que se determina hasta qué punto una organización está cumpliendo los objetivos

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

La informática forense y la estrategia de defensa jurídica.

La informática forense y la estrategia de defensa jurídica. La informática forense y la estrategia de defensa jurídica. LazaRus La tecnología se está convirtiendo en un sistema para mantenernos vivos. En el futuro, la tecnología se va a individualizar más, definiendo

Más detalles

Política de Seguridad Informática

Política de Seguridad Informática Política de Seguridad Informática Contenido Exposición de motivos I. Introducción II. Políticas de seguridad: II.1 Equipo a) De la instalación de equipo de cómputo b) Para el mantenimiento de equipo de

Más detalles

Tema: Manual de Auditoría de Gestión a las Tecnologías de Información y Comunicaciones.

Tema: Manual de Auditoría de Gestión a las Tecnologías de Información y Comunicaciones. CORTE DE CUENTAS DE LA REPÚBLICA El Salvador, C.A. XIV Concurso Anual de Investigación de OLACEFs 2011, denominado Auditoria de Gestión a las Tecnologías de Información y Comunicaciones. Tema: Manual de

Más detalles

VERIFIQUE EN EL LISTADO MAESTRO DE DOCUMENTOS Y REGISTROS DEL SIG QUE ESTA ES LA VERSIÓN VIGENTE ANTES DE UTILIZAR EL DOCUMENTO

VERIFIQUE EN EL LISTADO MAESTRO DE DOCUMENTOS Y REGISTROS DEL SIG QUE ESTA ES LA VERSIÓN VIGENTE ANTES DE UTILIZAR EL DOCUMENTO CONTROL DE CAMBIOS MANUAL DE PROCESOS Y PROCEDIMIENTOS Fecha: 30/11/2012 Página: 1 de 22 Versión Fecha Descripción de la modificación 01 23/09/2011 Inicial 02 30/11/2012 AUTORIZACION Modifico nombre del

Más detalles

La necesidad de adopción de un Proceso Unificado de Recuperación de Información: PURI - Una propuesta

La necesidad de adopción de un Proceso Unificado de Recuperación de Información: PURI - Una propuesta La necesidad de adopción de un Proceso Unificado de Recuperación de Información: PURI - Una propuesta Ing. Ana Di Iorio Junio 2014 I Congreso Argentino de Informática Forense AGENDA El contexto El proyecto

Más detalles

REPÚBLICA DE COLOMBIA M I N I S T E R I O D E T R A N S P O R T E SUPERINTENDENCIA DE PUERTOS Y TRANSPORTE. RESOLUCIÓN No. ( )

REPÚBLICA DE COLOMBIA M I N I S T E R I O D E T R A N S P O R T E SUPERINTENDENCIA DE PUERTOS Y TRANSPORTE. RESOLUCIÓN No. ( ) VERSION CIAS. REPÚBLICA DE COLOMBIA M I N I S T E R I O D E T R A N S P O R T E SUPERINTENDENCIA DE PUERTOS Y TRANSPORTE RESOLUCIÓN No. DE ( ) Por la cual se reglamentan las características técnicas del

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

Seguridad Convergente

Seguridad Convergente Seguridad Convergente Prevención y atención a incidentes desde la perspectiva de las IES REUNIÓN GENERAL DE REDES Consejo Regional Sur-Sureste de la ANUIES 15 de febrero de 2012 Cancún, Quintana Roo, México

Más detalles

Iniciativa emprendedora Desde el mundo de la defensa a los negocios

Iniciativa emprendedora Desde el mundo de la defensa a los negocios Iniciativa emprendedora Desde el mundo de la defensa a los negocios Rafael Sotomayor Brûlé Ingeniero Civil Electrónico Magister ( c ) Ingeniería Informática Mi Experiencia Ingeniero con mas de 10 años

Más detalles

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION RESUMEN DEL DOCUMETO TITULO DEL DOCUMENTO SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION Autor del Documento: Ing. Tomas Trejo/Carlos Diosdado Aprobación del Documento: Ing. Gustavo Licona Jiménez

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

Directrices del Plan Director de Seguridad:

Directrices del Plan Director de Seguridad: Directrices del Plan Director de Seguridad: ISO 17799 Jefe de Servicio de Sistemas Informáticos Ministerio de Trabajo y Asuntos Sociales Palabras clave Plan Director, Seguridad, ISO 17799.. Resumen de

Más detalles

INFORMÁTICA FORENSE. Delincuencia en los Medios Electrónicos. Universidad Mundial

INFORMÁTICA FORENSE. Delincuencia en los Medios Electrónicos. Universidad Mundial INFORMÁTICA FORENSE Delincuencia en los Medios Electrónicos Universidad Mundial DEFINICIÓN Disciplina forense que se aplica en la búsqueda, tratamiento, análisis y preservación de indicios relacionados

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS Presentado por: ANDRÉS RINCÓN MORENO 1700412318 JORGE ARMANDO MEDINA MORALES 1700321660 Profesor: Carlos Hernán Gómez. Asignatura:

Más detalles

C O N S I D E R A N D O

C O N S I D E R A N D O EDUARDO ROMERO RAMOS, Secretario de la Función Pública, con fundamento en lo dispuesto por los artículos 37, fracciones I, II, III y XXV de la Ley Orgánica de la Administración Pública Federal; 11 y 61

Más detalles

CATÁLOGO DE SERVICIOS

CATÁLOGO DE SERVICIOS CATÁLOGO DE SERVICIOS NUESTRAS LINEAS DE NEGOCIO 1.- Desarrollo de Software a Medida: Contamos con vasto conocimiento en el desarrollo y arquitectura de Software, aplicamos metodología de proyectos, buenas

Más detalles

UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas

UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas SEGURIDAD INFORMATICA Tema: Control y seguridad en un centro de cómputo Autora: Doris María Mera Mero Curso: 7mo A

Más detalles

Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) Presidencia del Consejo de Ministros (PCM) GUIA PARA ELABORAR LA FORMULACIÓN Y

Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) Presidencia del Consejo de Ministros (PCM) GUIA PARA ELABORAR LA FORMULACIÓN Y Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) Presidencia del Consejo de Ministros (PCM) GUIA PARA ELABORAR LA FORMULACIÓN Y EVALUACIÓN DEL PLAN OPERATIVO INFORMÁTICO DE LAS ENTIDADES

Más detalles

AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS Contenido 1 SEGURIDAD EN LOS CENTROS DE PROCESOS DE DATOS 2 SEGURIDAD FISICA 3 MECANISMOS DE SEGURIDAD BASICOS QUE DEBE CONTEMPLAR UN DATACENTER 4 COMBINACION DE METODOS PARA AUMENTAR

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes TIC-1-1 Analista de monitoreo de redes Monitorear y controlar las redes del GCABA con el fin de detectar incidentes y reportarlos. Analizar las métricas utilizadas para el monitoreo de la red, la configuración

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

Contenido Exposición de motivos I. Introducción II. Políticas de seguridad: II.1 Equipo

Contenido Exposición de motivos I. Introducción II. Políticas de seguridad: II.1 Equipo POLÍTICA DE SEGURIDAD INFORMÁTICA Contenido Exposición de motivos I. Introducción II. Políticas de seguridad: II.1 Equipo III. Generales IV. Sanciones a) De la instalación de equipo de cómputo b) Para

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

Circular Normativa para el Uso y Administración de los Computadores

Circular Normativa para el Uso y Administración de los Computadores Marzo de 2008 Circular Normativa para el Uso y Administración de los Computadores Normas generales La presente circular tiene como objetivo, estandarizar el uso y administración de los computadores y asegurar

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Módulo III: Implantación de la Norma ISO 14001 en empresas

Módulo III: Implantación de la Norma ISO 14001 en empresas Módulo III: Implantación de la Norma ISO 14001 en empresas Módulo III: Implantación de la Norma ISO 14001 en empresas 1. INTRODUCCIÓN Hoy en día nos encontramos ante una situación de concienciación medioambiental

Más detalles

FUNCIÓN JUDICIAL DEL ECUADOR CONSEJO DE LA JUDICATURA DIRECCIÓN NACIONAL DE INFORMÁTICA PLAN OPERATIVO

FUNCIÓN JUDICIAL DEL ECUADOR CONSEJO DE LA JUDICATURA DIRECCIÓN NACIONAL DE INFORMÁTICA PLAN OPERATIVO PLAN OPERATIVO ÍNDICE ÍNDICE... 2 ANTECEDENTES... 3 MISIÓN... 5 VISIÓN... 5 VALORES... 5 OBJETIVO INSTITUCIONAL... 6 OBJETIVO GENERAL... 6 OBJETIVOS ESPECÍFICOS... 6 IMPORTANCIA ESTRATÉGICA... 7 ORGÁNICO

Más detalles

CAPITULO IV LA SUPERVISION EN EL PROCESO DE AUDITORÍA

CAPITULO IV LA SUPERVISION EN EL PROCESO DE AUDITORÍA 1. Concepto CAPITULO IV LA SUPERVISION EN EL PROCESO DE AUDITORÍA La supervisión en forma general es la habilidad para trabajar con un grupo de personas sobre las que se ejerce autoridad, encaminada a

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

EL MARCO EUROPEO DE CUALIFICACIONES. LA FORMACIÓN BASADA EN COMPETENCIAS. CUALIFICACIONES PROFESIONALES EN ESPAÑA

EL MARCO EUROPEO DE CUALIFICACIONES. LA FORMACIÓN BASADA EN COMPETENCIAS. CUALIFICACIONES PROFESIONALES EN ESPAÑA EL MARCO EUROPEO DE CUALIFICACIONES. LA FORMACIÓN BASADA EN COMPETENCIAS. CUALIFICACIONES PROFESIONALES EN ESPAÑA 1.- MARCO EUROPEO DE CUALIFICACIONES: El Marco Europeo de Cualificaciones para el aprendizaje

Más detalles

Paraguay: el Plan Estratégico Nacional y sus posibles impactos sobre los Sujetos Obligados.

Paraguay: el Plan Estratégico Nacional y sus posibles impactos sobre los Sujetos Obligados. Paraguay: el Plan Estratégico Nacional y sus posibles impactos sobre los Sujetos Obligados. El Gobierno de Paraguay, en un importante paso hacia la adopción de estándares mundiales, acaba de aprobar el

Más detalles

POLITICA DE SEGURIDAD INFORMATICA

POLITICA DE SEGURIDAD INFORMATICA POLITICA DE SEGURIDAD INFORMATICA Página: 1 03/03/2011 CONTENIDO Exposición de motivos 1. INTRODUCCIÓN 2. POLÍTICAS DE SEGURIDAD 2.1 Equipo a) De la instalación de equipo de cómputo b) Para el mantenimiento

Más detalles

El monitoreo de una variable física requiere supervisión permanente de señales que

El monitoreo de una variable física requiere supervisión permanente de señales que Capítulo 1 Marco Contextual 1.1. Formulación del problema 1.1.1. Definición del problema El monitoreo de una variable física requiere supervisión permanente de señales que varían con el tiempo. Tal información,

Más detalles

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es Plan de Contingencia Para la Unidad de Sistemas y Tecnología de Información del Gobierno Autónomo Descentralizado Antonio Ante en Base a la Norma Iso/Iec 27002. Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec.,

Más detalles

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA FACULTAD DE MEDICINA / UNIVERSIDAD DE CHILE INTRODUCCIÓN 2 1. Política de Seguridad. 4 Definición Dominios de la seguridad Roles y Responsabilidades Implementación

Más detalles

Nardello En Pocas Palabras

Nardello En Pocas Palabras Nardello En Pocas Palabras Solo Los Hechos N ardello & Co. es una empresa internacional de investigaciones con profesionales experimentados que se ocupan de una amplia gama de asuntos, entre ellos, investigaciones

Más detalles

DISEÑO MICROCURRICULAR 1. INFORMACIÓN GENERAL

DISEÑO MICROCURRICULAR 1. INFORMACIÓN GENERAL DISEÑO MICROCURRICULAR Código: F-FCO-02 Versión: 01 Edición: 18/02/2009 Nombre Programa: Tipo de programa: Facultad Articulada: 1. INFORMACIÓN GENERAL ATAQUE - DEFENSA Y PROTECCIÓN DE REDES DE SISTEMA

Más detalles

ORGANIZACIÓN DE LOS SERVICIOS INFORMÁTICOS

ORGANIZACIÓN DE LOS SERVICIOS INFORMÁTICOS 1 ORGANIZACIÓN DE LOS SERVICIOS INFORMÁTICOS INTRODUCCIÓN La realización de trabajos utilizando los medios informáticos de una empresa requiere una cierta organización y destreza relativa tanto a los equipos,

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Tema 2 Introducción a la Auditoría de Sistemas de Información

Tema 2 Introducción a la Auditoría de Sistemas de Información Bloque II EL PROCESO Y LOS ELEMENTOS DE LA AUDITORÍA DE SSII Tema 2 Introducción a la Auditoría de Sistemas de Información José F Vélez Serrano Francisco Nava Tema 1 Introducción a la auditoría de SSII

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Diseño de la Arquitectura de Procesos para la gestión eficiente de las TIC en ELECTRO UCAYALI S.A.

Diseño de la Arquitectura de Procesos para la gestión eficiente de las TIC en ELECTRO UCAYALI S.A. 2013 Diseño de la Arquitectura de Procesos para la gestión eficiente de las TIC en ELECTRO UCAYALI S.A. Metodología de Integral de Gestión de Proyectos - MIGP V2.0 Proyecto: Elaboración del Plan Estratégico

Más detalles

PERITAJE EN MATERIA DE COMPLIANCE EN LA APLICACIÓN DE LA NORMATIVA RELATIVA A LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS CASO ESPAÑOL

PERITAJE EN MATERIA DE COMPLIANCE EN LA APLICACIÓN DE LA NORMATIVA RELATIVA A LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS CASO ESPAÑOL PERITAJE EN MATERIA DE COMPLIANCE EN LA APLICACIÓN DE LA NORMATIVA RELATIVA A LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS CASO ESPAÑOL Por Enrique de Madrid-Dávila enrique@demadriddavila.com Miembro

Más detalles

PLAN OPERATIVO INFORMÁTICO AÑO 2012

PLAN OPERATIVO INFORMÁTICO AÑO 2012 INSTITUTO DEL MAR DEL PERÚ UNIDAD DE INFORMÁTICA Y ESTADÍSTICA I. VISIÓN PLAN OPERATIVO INFORMÁTICO AÑO 2012 Alcanzar la excelencia en el tratamiento de la información, que apoye y fortalezca los beneficios

Más detalles

Curso de Experto Universitario en la localización y seguimiento de Delitos Tecnológicos

Curso de Experto Universitario en la localización y seguimiento de Delitos Tecnológicos Fundamentos de la Criminología Internacional: Objetivos. El contenido del curso se centra en aquellos aspectos generales de la criminología y en su aplicación al ámbito internacional. Con este curso el

Más detalles

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE JUNIO, DE ACCESO ELECTRÓNICO DE LOS CIUDADANOS A LOS

Más detalles

Denominación de la materia. créditos ECTS = 36 carácter = OBLIGATORIA SISTEMAS OPERATIVOS, SISTEMAS DISTRIBUIDOS Y REDES

Denominación de la materia. créditos ECTS = 36 carácter = OBLIGATORIA SISTEMAS OPERATIVOS, SISTEMAS DISTRIBUIDOS Y REDES Denominación de la materia SISTEMAS OPERATIVOS, SISTEMAS DISTRIBUIDOS Y REDES créditos ECTS = 36 carácter = OBLIGATORIA Ubicación dentro del plan de estudios y duración La materia está formada por 6 asignaturas

Más detalles