DETECCIÓN DE AMENAZAS Y ATAQUES QUE AFECTAN LA INTEGRIDAD
DEL SOFTWARE QUE SE DESARROLLA EN LA EMPRESA SUNDEVS DE
IBAGUÉ
PRESENTADO POR:
JHONATHAN EDUARDO ASCENCIO GOMEZ
JESSIKA GABRIELA LOZANO OSPINA
Modalidad de grado Seminario de perfeccionamiento Requisito Parcial para obtener el título de Ingeniero de Sistemas
Director de trabajo de grado
Iván Mendaz Alvarado
UNIVERSIDAD COOPERTIVA DE COLOMBIA FACULTAD INGENIERIAS
PROGRAMA INGENIERIA DE SISTEMAS
IBAGUE 2021
NOTA DE ACEPTACIÓN
____________________________________ ____________________________________ ____________________________________ ____________________________________
____________________________________
_______________________
PRIMER JURADO
_______________________ SEGUNDO JURADO
_______________________
TERCER JURADO
Ibagué, noviembre, 2021
AGRADECIMIENTOS
Dedicamos este seminario a Dios y nuestras familias las cuales el apoyo y la
confianza ha sido fundamental para el desarrollo de nuestro proceso de
formación académica.
A nuestros maestros, compañeros y amigo que nos apoyaron y motivaron para
los objetivos que nos propusimos a la hora de tomar este reto como parte de
nuestras vidas.
Tabla de contenido GLOSARIO ...................................................................................................................................... 5
RESUMEN ....................................................................................................................................... 7
ABSTRACT ...................................................................................................................................... 8
INTRODUCCIÓN .............................................................................................................................. 9
TÍTULO ......................................................................................................................................... 10
1. DESCRIPCIÓN DEL PROBLEMA .............................................................................................. 11
1.1. Formulación del problema ......................................................................................... 11
1.2. Justificación del problema: ........................................................................................... 12
1.3. Objetivo ....................................................................................................................... 13
Objetivo general: ................................................................................................................. 13
Objetivos específicos: .......................................................................................................... 13
2. MARCOS DE REFENCIAS ....................................................................................................... 14
2.1. Marco teórico .............................................................................................................. 14
2.1.1. Red de datos ........................................................................................................ 14
2.1.2. Seguridad informática o Ciberseguridad ............................................................... 15
2.1.3. Seguridad de la Información ................................................................................. 15
2.1.4. Amenazas ............................................................................................................. 16
2.1.5. Ataques informáticos ........................................................................................... 17
2.1.6. ISO/IEC 27001 – Information security management systems (Sistema de
administración de la seguridad de la información) ............................................................... 18
2.1.7. ISO/IEC 17799 (Código de Práctica para la Gestión de Seguridad de la Información)
cuenta con el respaldo de ISO 27001. .................................................................................. 19
2.1.8. Auditoria Sistema de Gestión Seguridad de la Información (SGSI) ........................ 19
2.2. Marco institucional ...................................................................................................... 20
Metodología ............................................................................................................................. 25
a. Técnicas para la recolección ......................................................................................... 25
b. Análisis de la información ............................................................................................. 25
c. Herramientas ............................................................................................................... 26
d. Métodos para el diseño e implementación de los sistemas de gestión. ........................ 26
Conclusiones ................................................................................................................................ 29
Recomendaciones ....................................................................................................................... 30
Bibliografía ................................................................................................................................... 33
GLOSARIO
A
Ataques informáticos
Es un intento organizado e intencionado causada por una o más personas para
causar daño o problemas a un sistema informático o red.
Amenazas
Una causa potencial de un incidente no deseado, el cual puede producir un
daño a un sistema o a la Organización.
Antivirus
Es un software diseñado para la detección de software con código malicioso o
destructivo.
Auditoria
Proceso de examinar y revisar un informe cronológico de los eventos de
sistema para determinar su significado y valor.
Autorización
Acción de otorgar el acceso a usuarios, objetos o procesos.
C
Confidencialidad
Es la propiedad de prevenir la divulgación de información a personas o
sistemas no autorizados.
Control de acceso
Limitar el acceso a objetos de acuerdo con los permisos de acceso del sujeto.
El control de acceso puede ser definido por el sistema (Control de accesos
obligatorio, MAC) o por el propietario del objeto (Control de accesos
discrecional, DAC).
Disponibilidad
Es la característica, cualidad o condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean personas, procesos o
aplicaciones.
I
Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas.
Ingeniería social
Técnicas que intentan atacar la seguridad de los sistemas informáticos
engañando a sus usuarios y administradores. La mayoría de las técnicas de
ingeniería social son similares a los timos.
S
Seguridad
Según un enfoque formal, consiste en el cumplimiento de la "tríada de
conceptos": confidencialidad, integridad y disponibilidad.
Seguridad de la información
Son todas aquellas medidas preventivas y reactivas del hombre, de las
organizaciones y de los sistemas tecnológicos que permitan resguardar y
proteger la información.
Spam
Correo comercial no solicitado que se envía a través de internet. El volumen y
contenido del SPAM puede dificultar notablemente el uso de servicios de
correo electrónico.
T
Troyano
Código malicioso camuflado dentro de otro programa aparentemente útil e
inofensivo. Los troyanos pueden ir incluidos dentro de programas conocidos, de
forma que es necesario controlar la fuente de donde se obtiene el software.
V
Virus
El tipo más conocido de código malicioso. Programa que se copia dentro de
otros programas e intenta reproducirse el mayor número de veces posible.
Aunque no siempre es así, la mayoría de las veces el virus, además de
copiarse, altera o destruye la información de los sistemas en los que se
ejecuta.
Vulnerabilidad
Es una debilidad del sistema informático que puede ser utilizada para causar
un daño.
RESUMEN
El proyecto se centró en la detección de amenazas y ataques que afecten la
integridad del software que se desarrolla en la empresa Sundevs de Ibagué,
con el objetivo de proteger la información a través del control de acceso, las
copias de seguridad (backup), y el antivirus, garantizando la integridad,
confidencialidad y la disponibilidad. En su desarrollo se dio a conocer en
detalle, las actividades técnicas que deberán tener en cuenta para el
mejoramiento, las configuraciones y otras medidas aplicables.
Seguidamente se analizaron algunas herramientas relacionadas en el uso de
una estrategia de seguridad de la información.
ABSTRACT
The Project focuses on the detection of threats and attacks that affect the
integrity of the software that is developed in the company SUNDEVS of Ibague,
with the objective protecting information through access control, backup copies,
and antivirus, guaranteeing integrity, confidentiality and availability. In its
development it is given to know in detail, the technical activities that should take
into account in the improvement, configurations and other applicable measures.
Next, some tools related to the use of an information security strategy are
analyzed.
INTRODUCCIÓN
La seguridad de la información y la seguridad informática se constituye
actualmente para las organizaciones, en un pilar fundamental ya que, a través
de ellas, se contrarrestan las amenazas y se mitigan las vulnerabilidades
producto de los constantes ataques realizados por usuarios maliciosos o
delincuentes cibernéticos.
La empresa Sundevs como empresa encargada de desarrollar aplicaciones
informáticas, no cuentan con seguridad informática debido a que consideran
que los datos no corren ningún riesgo de ser atacados, lo cual es un grave
error, ya que existen sujetos externos o internos a la organización, que buscan
la vulnerabilidad que poseen los sistemas para realizar un ataque.
Adicionalmente, la posición de la empresa es que asumen que la seguridad
informática es una inversión y no una necesidad.
En este orden de ideas, es conveniente concientizar a la empresa sobre la
importancia de mantener un sistema de seguridad en los equipos que
distribuyen la información a cualquier parte. Siendo esta una de las razones de
peso que permiten el desarrollo del proyecto que se está proponiendo.
El alcance inicial del proyecto es el de proponer a la empresa, la
implementación de controles que permitan mitigar los ataques que se pueden
presentar por parte de los desarrolladores contratados por Sundevs o por
alguna razón fueron despedidos de la misma.
TÍTULO
DETECCIÓN DE AMENAZAS Y ATAQUES QUE AFECTAN LA INTEGRIDAD
DEL SOFTWARE QUE SE DESARROLLA EN LA EMPRESA SUNDEVS DE
IBAGUÉ
1. DESCRIPCIÓN DEL PROBLEMA
1.1. Formulación del problema
Actualmente en la empresa SUNDEVS realizamos una detección de
amenazas y ataque, identificamos que no cumple con un patrón
(normas y/o estándares) de seguridad ya que se ha encontrado entre
otras.
En el año 2017 en los casos presentados con pérdida de información
irreparable representada por la siguiente gráfica.
Incidentes de pérdida de información.
Imagen 1. Incidentes de pérdida de información.
una de las fallas encontradas en el sistema, es que no genera las
copias de seguridad (Backups) automáticamente, si no manualmente
por medio de los comandos SQL, cosa que debería de ser
automatizada, ya que el sistema en cualquier momento podría tener
dificultades, o sufrir daños irreparables en la base de datos, en dado
caso se perdería la información de tiempo posteriores a la última
copia de la base de datos, esto puede significar perdida de
información de algunos días o meses, este daño podría ser
irreparable o podría costarle un gran valor a la empresa.
La falla más común en la perdida de información está relacionada
con daños o fallas de hardware.
Tomemos el siguiente ejemplo, un empleado ha trabajado durante
mucho tiempo en una empresa, en el empleado es despedido o a
Falla Hardware 41%
Error Humano 30%
Falla Software 14%
Robo 8%
Virus 7%
INCIDENTES DE PERDIDA DE INFORMACION
Falla Hardware
Error Humano
Falla Software
Robo
Virus
renunciado por razones que cree el que son culpa de terceros en la
empresa, El empleado se lleva las credenciales con las que puede
ingresar al sistema y realizar distintos cambios que pueden afectar la
producción del sistema, en este caso si no existen datos de auditoria,
no se puede buscar un culpable o buscar de manera sencilla el lugar
en donde fue realizado el cambio, en otras palabras se pueden
realizar múltiples funciones de personal no autorizado.
“Cuando la gente está desesperada por pagar el techo que tiene
sobre su cabeza o por llevar comida a su mesa, es capaz de hacer
cosas que normalmente no haría, lo cual es por qué el crimen
aumenta cuando sufre la economía,” dice David Griffeth,
vicepresidente de integración de línea de negocios e informes del
RBS Citizens Bank. “Eso no deja de pasar porque uno tenga una
licenciatura o una maestría. Es un miedo común basado en la
necesidad. Uno tiene un distinto nivel de comodidad con el crimen
que comete.
1.2. Justificación del problema:
Inicialmente al poner a prueba esta propuesta se tendrá segura la
información registrada en la base de datos, ya que existirá una
copia de seguridad actualizada y automatizada que generará
cada cierto tiempo, esto con el fin de que en dado caso exista un
fallo en el sistema el cual sea irreparable, tan bien puede existir la
probabilidad de que exista una mala configuración del sistema y
que la única opción sea recuperar las bases de datos previa a los
cambios.
Hacer copias de la base de datos que sean independientes, es
decir que no se sobrescriban al momento de generar una copia
nueva, comúnmente eso puede ser configuración del cron del
servidor.
Elegir la periodicidad para generar backups, en distintos horarios
con el fin de que hallan al menos 2 copias de seguridad por día.
Al momento de realizar una acción que sea destacable en el
sistema, se guardara la persona implicada en el proceso con la
fecha en la que realizo el cambio y la ip del equipo desde el que
realizo el cambio, esto con el fin de que al momento de que exista
un cambio que no haya sido autorizado, se cuente con la
información y pruebas suficientes para auditar el caso.
Controlar el uso del software, este debe de ser limitado a las
personas que trabajen en la compañía, y no controlado por
personas externas a excepción de tener algún permiso especial
con un usuario especial.
1.3. Objetivo
Objetivo general:
Identificar las vulnerabilidades, amenazas y riesgos que se
pueden registrar en el software que desarrolla la empresa
Sundevs en la ciudad de Ibagué.
Objetivos específicos:
Evaluar los riesgos inherentes de la seguridad de la información
en la empresa Sundevs.
Implementar un sistema de backups para asegurar la
disponibilidad de la información de la empresa Sundevs mediante
copias de seguridad actualizadas y automatizadas.
Diseñar un método para la realización de gestión de autorías en
el sistema de la empresa Sundevs.
2. MARCOS DE REFENCIAS
2.1. Marco teórico
2.1.1. Red de datos
Una red de datos es un conjunto de elementos que permiten
conectar dos o más computadoras con el fin de intercambiar datos
entre ellas. En la imagen 1, se muestra una configuración típica de
una red de datos. Esos elementos se pueden dividir en tres
categorías: software, hardware y protocolo.
Imagen 2. Ejemplo de una configuración básica de una red.
Software: son todos los programas informáticos que permiten a los
usuarios de la red comunicarse para compartir información, como
imágenes, documentos u otros archivos, y para utilizar los recursos
de la red, que pueden ser impresoras o discos duros. También
permite la fácil administración de la red y de los sistemas en ella.
Hardware: son todos aquellos elementos físicos que pertenecen a la
red y los cuales permiten hacer uso de los recursos de ésta (Ej.
estaciones de trabajo), así como también permiten comunicar a todos
los equipos (Ej. conmutadores). Algunos equipos de gran importancia
presentes en una red son los servidores, en una red se tiene
básicamente lo que son los servidores Web, de correo, de base de
datos y de archivos de acuerdo con los requerimientos de la
organización.
Protocolo: es el conjunto de normas o reglas establecidas para
llevar a cabo el intercambio de datos entre equipos que conforman
una red. Dentro de los protocolos utilizados en una red están: TCP,
IP, SNMP, FTP, Telnet y HTTP.
2.1.2. Seguridad informática o Ciberseguridad
Para dar una definición clara de Seguridad Informática se deben
definir primero sus dos palabras por separado:
Seguridad: garantía de que un sistema está libre de cualquier
peligro o amenaza, que afecte su disponibilidad, integridad y
confiabilidad.
Informática: conjunto de conocimientos sistematizados y técnicas
que hacen posible el tratamiento automático y racional de la
información, mediante el uso de herramientas computacionales.
Dados los conceptos de las palabras Seguridad e Informática, se
puede decir que Seguridad Informática es la garantía de que los
procesos llevados a cabo para el tratamiento de la información se
mantengan aislados, en lo posible, de las amenazas que puedan
afectar la integridad, disponibilidad y confiabilidad de la información.
Para mantener un sistema informático seguro, se debe tener en
cuenta los principios básicos de la seguridad informática, los cuales
son:
Confidencialidad: Conservar las restricciones autorizadas en el
acceso y divulgación de la información, incluyendo los medios
para proteger la privacidad personal e información del propietario.
Propiedad que establece que la información no es disponible o
divulgada a individuos no autorizados, entidades o procesos.
Integridad: Proteger el acceso contra la indebida modificación o
destrucción de la información, e incluye el aseguramiento del no-
repudio y autenticidad de la información.
Disponibilidad: Garantizar el funcionamiento y usabilidad del
servicio cuando sea solicitado por las personas autorizadas.
2.1.3. Seguridad de la Información
La información es un activo que, como otros activos comerciales
importantes, es esencial para el negocio de una organización y en
consecuencia necesita ser protegido adecuadamente.
Esto es especialmente importante en el ambiente comercial cada vez
más interconectado.
Como resultado de esta creciente interconectividad, la información
ahora está expuesta a un número cada vez mayor y una variedad
más amplia de amenazas y vulnerabilidades.
La información puede existir en muchas formas. Puede estar impresa
o escrita en un papel, almacenada electrónicamente, transmitida por
correo o utilizando medios electrónicos, mostrada en películas o
hablada en una conversación. Cualquiera que sea la forma que tome
la información, o medio por el cual sea almacenada o compartida,
siempre debiera estar apropiadamente protegida.
La seguridad de la información se logra implementando un adecuado
conjunto de controles; incluyendo políticas, procesos,
procedimientos, estructuras organizacionales y funciones de software
y hardware. Se necesitan establecer, implementar, monitorear,
revisar y mejorar estos controles cuando sea necesario para
asegurar que se cumplan los objetivos de seguridad y comerciales
específicos. Esto se debiera realizar en conjunción con otros
procesos de gestión del negocio
2.1.4. Amenazas
Una amenaza es un evento o suceso desfavorable que requiere de
una oportunidad para que cause una violación en la seguridad de un
sistema de información. Dentro de un análisis de riesgos donde se
intenta encontrar las amenazas que pueden repercutir en la
confidencialidad, disponibilidad e integridad del activo en las
actividades de una organización busca responder a las preguntas
¿qué se intenta evitar? o ¿qué se teme que le suceda al activo?,
haciendo más fácil la identificación de las amenazas. También es
buena práctica apoyarse en los estándares de seguridad informática
para la investigación de las amenazas, ya que ellos dan una visión
clara de que puede ser una amenaza a los sistemas de información.
La ISO/IEC 27002 es un claro ejemplo de norma que se puede tener
en cuenta para la identificación de amenazas, ya que los controles
definidos en ella están basados en las amenazas que pueden afectar
un sistema de información.
Las amenazas son múltiples desde una inundación un fallo eléctrico
o una organización criminal o terrorista. As8M una amenaza es todo
aquello que intenta o pretende destruir.
Amenazas humanas
Ingeniería social
Ingeniería social inversa
Robo
Fraude
Sabotaje
Personal
Personal interno
Exempleado
Curiosos
Terroristas
Intrusos
Amenazas de hardware
"Este tipo de amenazas se da por fallas f8sicas que se encuentra
presente en cualquier elemento de dispositi6os que conforman la
computadora. los problemas más identificados para que el suministro
de energía falle son el bajo voltaje, ruido, electromagnético,
distorsión, interferencias etc.
2.1.5. Ataques informáticos
Se puede definir ataque informático como toda acción que busca
comprometer la integridad, confidencialidad y disponibilidad de un
sistema informático, con el objetivo de ganar privilegios en el sistema
permitiéndole tener control sobre él, ya sea para el robo de
información o el colapso del sistema. En la actualidad existe una gran
variedad de ataques, que facilitan al atacante comprometer a
cualquier sistema. A continuación, se define los tipos de ataques más
comunes.
Virus: Son programas informáticos que ejecutan código malicioso y
pueden infectar otros programas para afectar de forma negativa a los
ordenadores.
Troyanos: también llamados caballos de Troya son un programa
malicioso que se esconde dentro de otro programa no maligno, y que
al ejecutarse este último el código malicioso también se ejecuta,
siendo transparente para el usuario. El troyano hace que el atacante
tenga acceso remoto a la información y recursos de la víctima,
permitiéndole robar o dañar información del equipo.
Gusanos o worms: es un código maligno que al ejecutarse realiza
copias de sí mismo con el fin de consumir memoria hasta desbordar
la memoria RAM y desestabilizar al sistema.
Bombas lógicas: son programas que permanecen ocultos en
memoria y se activan cuando se realiza una acción determinada, que
es programada por el creador del código o en determinado tiempo.
Exploits: Programa informático que busca explotar las
vulnerabilidades de otros programas. Esas vulnerabilidades son
errores de programación. El uso principal es explotar una
vulnerabilidad con el fin es inhabilitar el sistema a atacar para
obtener acceso privilegiado a un equipo.
Data tampering: Es la modificación desautorizada de los datos que
se envían por la red.
SQL injection: Ataque en el que se busca aprovechar una
vulnerabilidad causada por errores de programación en las bases de
datos. Este ataque consiste en insertar un código SQL malicioso, por
medio de los parámetros dados por el usuario, dentro de una
sentencia SQL para alterar su funcionamiento normal, ejecutando el
código malicioso en la base de datos.
Network mapping (Mapeo de red): El propósito de este tipo de
ataque es identificar la red, conocer que sistemas y equipos hacen
parte de la red por medio de las respuestas comunes de los
sistemas.
SPAM: Es el envío masivo de mensajes no solicitados, en su gran
mayoría son de tipo publicitario. El medio más común para enviar
estos mensajes es el correo electrónico, y otros medios que son
afectado por el SPAM son los foros, grupos de noticias, e incluso los
teléfonos móviles por medio de mensajes de texto.
Denegación de servicio – DoS (Denial of Service): Ataque a un
sistema que busca limitar el acceso de los usuarios a un servicio,
volviéndolo inaccesible. El ataque se realiza por medio de envíos
masivos de solicitudes al servicio hasta sobrepasar la capacidad
máxima que puede soportar éste, y de esta forma tumbar el servicio
o el sistema en el que se ejecuta. En la Figura 2 se muestra la forma
en que se realiza un ataque de DoS a un servidor.
Man-in-the-middle: Técnica de ataque en la que un atacante tiene la
capacidad de intervenir en la comunicación entre dos entidades,
logrando capturar paquetes en forma pasiva, es decir sin que las
víctimas tengan conocimiento de él. En la Figura 3 se muestra un
ataque Man-in-the-middle en el que el atacante interfiere la
comunicación y modifica los datos hacia una de las víctimas.
ARP Spoofing: Es una técnica de ataque orientada a las redes
segmentadas por switches, en la que se busca redirigir el tráfico con
destino determinada dirección MAC hacia el equipo atacante. Esta
técnica busca falsificar la tabla ARP de una víctima para que éste
envíe los paquetes al atacante y no al verdadero destino.
2.1.6. ISO/IEC 27001 – Information security management systems (Sistema de
administración de la seguridad de la información)
ISO/IEC 27001 es un estándar para la seguridad informática
publicado por la Organización Internacional para la Normalización
(ISO) y por la Comisión Electrotécnica Internacional (IEC) durante el
año 2005. Esta norma busca establecer los requerimientos
necesarios para establecer, implementar, operar, revisar, monitorear,
mantener y mejorar el sistema de administración de la seguridad
dentro del contexto de los riesgos de la organización. La norma
específica los requerimientos para la implementación de controles de
seguridad y está diseñada para asegurar la selección de éstos de
una forma adecuada. Para la aplicación de esta norma se requiere
tener en cuenta la ISO/IEC 17799:2005 ahora llamada ISO/IEC
27002.
2.1.7. ISO/IEC 17799 (Código de Práctica para la Gestión de Seguridad de la
Información) cuenta con el respaldo de ISO 27001.
Un estándar cada vez más popular para redactar e implementar
políticas de seguridad es ISO 17799 "Código de práctica para la
gestión de la seguridad de la información". (ISO 17799 finalmente se
volverá a publicar como ISO 27002 en la nueva familia de normas de
seguridad ISO 27000). ISO 17799 es un conjunto completo de
controles que comprende las mejores prácticas en seguridad de la
información. Es esencialmente una norma de seguridad de
información genérica reconocida internacionalmente. La Tabla 1
resume el área cubierta por esta norma e indica los objetivos para
cada área.
Política de seguridad
Organización de seguridad de la información
Gestión de activos
Seguridad de recursos humanos
Seguridad física y ambiental
Comunicaciones y gestión de operaciones
Control de acceso
Adquisición, desarrollo y mantenimiento de sistemas de
información
Gestión de incidentes de seguridad de la información
Gestión de continuidad del negocio
Conformidad
2.1.8. Auditoria Sistema de Gestión Seguridad de la Información (SGSI)
La herramienta para auditoria de un sistema de gestión de seguridad
de la información (SGSI) nace de la necesidad de aplicar la
tecnología en este importante campo de gestión tanto en la calidad
como la información. Esta herramienta se presenta como una
solución de análisis veraz y efectiva en el manejo de los datos y
estadísticas para el proceso de auditoria; entregando resultados e
información clara y efectiva de cuáles son las áreas y procesos que
necesitan ser verificados y replanteados en las empresas auditadas.
(Momphotes, L.F., Álzate, J.A. (2014), Prototipo para la Auditoria
Sistema de Gestión Seguridad de la Información (SGSI), UTP,
Pereira, Risaralda).
2.2. Marco institucional
Plataforma estratégica de la empresa Sundevs
Misión
Proporcionar Soluciones a empresas y organizaciones para ayudar a
optimizar y alcanzar sus metas de negocio a través del uso de
soluciones que les permitirán competir en un mercado tecnológico y
globalización. Transformado digitalmente y hacer más accesibles los
procesos tecnológicos a todas las personas.
Visión
Transcender como la mejor solución en costo, beneficio y calidad en
servicios y llegar ser conocidos como una empresa líder e
innovadora en el desarrollo a nivel local e internacional.
Objetivos
En todo proyecto de software lo mínimo que se debe determinar son
estas siete (7) cosas:
Tiempos de entrega:
Es primordial entender que el proceso de desarrollo de
software no siempre es veloz, muchas veces hay que iterar
inclusive si el equipo es experimentado, hacer pruebas de
software, corregir errores, encontrar la mejor solución para
resolver un problema, son solo algunas de las tareas a las que
un equipo de trabajo se enfrenta.
Cualquier demora en la entrega implica horas de trabajo extra
que normalmente se cobran al cliente (en algunos casos) por
lo que es primordial evitar este tipo de situaciones.
Retrasos
Cuando se presentan retrasos en los avances o entregas del
proyecto, se ejecutan unas horas extra que, como ya se ha
mencionado anteriormente, normalmente se cobran. En su
buena disposición, las empresas desarrolladoras a veces
simplemente hacen estimaciones en rangos de fechas y no
exactas para evitar este tipo de inconvenientes, lo cual es una
buena práctica siempre y cuando el cliente sepa el estado en
que se encuentra su proyecto.
Algunas empresas desarrolladoras de software crean
bonificaciones económicas para hacer que sus empleados
estén motivados cuando entregan a tiempo y bien hecho su
trabajo.
Calendario de pagos
Es primordial que los clientes sepan que las empresas
desarrolladoras necesitan dinero para poder hacer que sus
programadores trabajen, por lo que establecer los porcentajes
correctos desde el inicio es una buena práctica.
Esto puede hacerse dependiendo del número de meses que
tarda en ejecutarse el proyecto.
Propiedad del código
Un error común de las empresas que contratan a
desarrolladores de software es olvidarse de la entrega del
producto final, puede que el despliegue esté hecho en la tienda
de aplicaciones, pero… ¿Qué pasa con el código fuente?
¿Quién es el dueño? ¿Puede la empresa disponer de él en
cualquier momento? ¡Por supuesto! lo ideal es que se genere
un repositorio en sistemas de control de versiones como
GitHub o Bitbucket en donde los clientes puedan tener acceso
y descargar el código fuente.
Mantenimiento
Las aplicaciones móviles y el software en general requieren
revisiones de seguridad, rendimiento, entre otras. Es
importante por lo tanto que la empresa declare el costo de este
mantenimiento, ya sea mensual o pago único, pero que tanto
las horas de trabajo como el precio de las mismas deben estar
estipuladas en en el contrato.
Garantía
Los fallos son ineludibles en la mayoría de las ocasiones, por
muchas pruebas de software que se hayan ejecutado a veces
los errores simplemente pasan al entorno de producción. Por
eso la empresa desarrolladora debe estipular por cuántos
meses va a monitorear el funcionamiento correcto de la
aplicación móvil.
Hay que entender que el mantenimiento y la garantía son
diferentes, en ésta última, se reparan los errores de los
programadores o fallos que no se tuvieron en cuenta, mientras
que el mantenimiento tiene que ver más las acciones que se
deben ejecutar para el buen funcionamiento de una aplicación.
Confidencialidad
Por muy pequeño que sea el proyecto, la empresa
desarrolladora de software debe ser ética en este sentido,
debe asegurar que los miembros del equipo de trabajo
mantendrán seguro el código fuente, y que no lo difundirán
públicamente en otros lugares.
Además, la información de la infraestructura, el funcionamiento
y demás, debe ser cuidada para evitar difundirla con otras
personas ajenas a la empresa.
Valores
Nuestros valores sobre los que se sostiene esta estrategia de
crecimiento y diferenciación en el servicio son:
Trabajo en equipo: Promoviendo y apoyando un equipo homogéneo,
polivalente e interdepartamental.
Colaboración: Nos integramos con nuestros proveedores y clientes
para mejorar día a día la calidad con los mismos para satisfacer sus
necesidades.
Servicio: Cumplimos con nuestros compromisos y nos hacemos
responsables de nuestro rendimiento en todas nuestras decisiones y
acciones, basándonos en una gran voluntad de servicio por y para
nuestros clientes.
Innovación y mejora continua: Nos damos cuenta de la importancia
de mirar hacia el futuro, por tanto, ofrecemos lo último del mercado
para dar un apoyo y servicio óptimo a nuestros clientes.
Transparencia: La implicación y compromiso del personal no sería
posible sin una absoluta transparencia en los procesos, disponiendo
el personal de la máxima información de la empresa.
Comunicación: Promovemos y facilitamos la comunicación entre
todos los niveles de la organización, disponiendo de herramientas
eficaces, convocando los foros adecuados y con el compromiso
constante de la dirección.
Integridad y Ética: Promovemos un compromiso social y cumplimos
nuestra normativa interna.
Modelo de dirección participativo: El personal de la empresa asume
responsabilidades y participa en el proceso de toma de decisiones.
Responsabilidad Social Corporativa: Contribuimos activamente al
mejoramiento social, económico y ambiental, para mejorar nuestra
situación competitiva y valorativa.
Sundevs se esfuerza para que las personas que integran la empresa
conozcan estos valores y sean capaces de transmitirlos al exterior.
Línea de servicios
Aplicaciones web: Aplicaciones web para administrar su
negocio.
Aplicaciones móviles: Aplicaciones nativas para dispositivos
iOS y Android.
Aumento de personal: desarrolladores calificados para su
proyecto.
Aumento de personal
Aplicaiones móviles
aplicaciones web
Estructura de la empresa
Alcances
Tratamos de involucrar al cliente en el proceso tanto como sea
posible para asegurarnos de que ofrecemos el mejor producto
posible.
Aprendemos todo acerca de nuestros clientes, su proceso de
negocio y de la manera en que podemos ayudarle a mejorarlo.
Funciones del área de tecnología
Usuario clave
El dominio, servidor y correos
Los accesos y contraseñas
Las suscripciones en línea y licencias
Servicios y aplicaciones
Redes sociales
Respaldos, conocimiento y mantenimiento de equipo
Jefe
Desarrollador CEO
Lider de Diseño
CTO Desarrolador
iOS Desarrolador
Android
Back-end
QA Front-end
Metodología
Un método es un procedimiento o proceso sistemático y ordenada para
alcanzar algún objetivo. Una metodología se materializa por un conjunto de
métodos, técnicas y herramientas. No contiene métodos específicos; sin
embargo, lo especifica por procesos.
a. Técnicas para la recolección
Observación
Es una de las técnicas más utilizadas para examinar los diferentes
aspectos que intervienen en el funcionamiento del área informática y los
sistemas software, permite recolectar la información directamente sobre
el comportamiento de los sistemas, del área de informática, de las
funciones y actividades, los procedimientos y operación de los sistemas,
y de cualquier hecho que ocurra en el área. En el caso específico de la
auditoria se aplica para observar todo lo relacionado con el área
informática y los sistemas de una organización con el propósito de
percibir, examinar, o analizar los eventos que se presentan en el
desarrollo de las actividades del área o de un sistema que permita
evaluar el cumplimiento de las funciones, operaciones y procedimientos.
Entrevistas
Esta técnica es la más utilizada por los auditores ya que a través de esta
se obtiene información sobre lo que está auditando, además de tips que
permitirán conocer más sobre los puntos a evaluar o analizar. La
entrevista en general es un medio directo para la recolección de
información para la captura de los datos informados por medio de
grabadoras digitales o cualquier otro medio. En la entrevista, el auditor
interroga, investiga y conforma directamente sobre los aspectos que se
está auditando. En su aplicación se utiliza una guía general de la
entrevista, que contiene una serie de preguntas sobre los temas que se
quiere tocar, y que a medida que avanza pueden irse adaptando para
profundizar y preguntar sobre el tema.
b. Análisis de la información
Antes de realizar el diagnóstico de la seguridad y una vez definido el
contexto en el cual se llevará a cabo es necesario recoger toda la
información posible. Es importante que se obtenga toda la información
bajo un compromiso de confidencialidad firmado.
c. Herramientas
A continuación, se propone la utilización de unas herramientas
computacionales para realizar el diagnóstico de la seguridad de la red. El
uso de cualquier otra herramienta es libre mientras está no comprometa
el buen funcionamiento.
WIRESHARK
Es un analizador de protocolos de red, que permite capturar cualquier
paquete que circule por la red. Con este programa se puede verificar si
por medio de la red se capturan datos sin cifrar, es decir que existe la
posibilidad de que determinada aplicación envíe información confidencial
que puede ser fácilmente interceptada por cualquier persona dentro de
la red.
ETTERCAP
Es una herramienta para realizar ataques de “man in the middle” sobre
las redes LAN, en especial en las basadas en switches. Entre sus
características se encuentra las de sniffer, ARP Spoofing y otras para el
análisis de redes y equipos.
NESSUS
Es una herramienta que se utiliza para escanear uno o varios equipos de
la red con el fin de encontrar sus vulnerabilidades. Con esta herramienta
se puede identificar si el equipo tiene algún problema de seguridad que
puede ser aprovechado por alguien para comprometer el equipo. Puede
indicar si al equipo le falta algún parche o está desactualizado.
YERSINIA
Herramienta de red diseñada para aprovechar debilidades en diferentes
protocolos de la capa de enlace, como STP, DTP, CDP, IEEE 802.1Q,
IEEE 802.1X, VTP y otros. Permite realizar ataques de negación de
servicio a dichos protocolos, ganar privilegios dentro de las redes
segmentadas en VLAN‟s y así capturar todo el tráfico de otras VLAN‟s.
d. Métodos para el diseño e implementación de los sistemas de gestión.
Se realizó una reunión con el dueño de la empresa Sundevs donde se le
hizo la propuesta del trabajo que se iba a realizar; se obtuvo el permiso
para comenzar el estudio, obteniendo también el compromiso para
coopera abiertamente en el proceso. También se dio a conocer esta
noticia a todo el personal de la empresa, con resultados favorables.
Seguridad de los equipos informáticos
La mayoría de los problemas de seguridad en las empresas vienen por
un fallo en algún aspecto básico, normalmente relacionado con los
ordenadores en los que se trabaja. Para que esto no ocurra deben
implementarse las siguientes medidas:
Instalar solo software certificado por fabricantes, y nunca
programas pirateados.
Proteger el equipo con usuario y contraseña, a poder ser
utilizando accesos a nivel de red y que cada empleado tenga su
propio usuario y contraseña con el que acceder a todos los
equipos.
Que cada usuario tenga permisos únicamente para lo que
necesite para trabajar.
Cambiar las contraseñas cada cierto tiempo, idealmente una vez
al mes. Si esto es demasiado trabajo, aunque sea una vez al año
es mejor que no cambiarlas nunca.
Mantener tanto el sistema operativo como el software que se
utiliza actualizado.
No conectar los equipos a Internet si no es estrictamente
necesario.
Instalar un antivirus y cortafuegos.
Periódicamente realizar análisis con el antivirus, y con
herramientas de búsqueda de „malware‟.
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001La ISO 27001 es una norma internacional que
permite el aseguramiento de la confidencialidad e integridad de los datos
y de la información de cualquier organización, así como de los sistemas
que la procesan. Esto permite a las organizaciones salvaguardar la
información que custodian, sobre todo en la red y formatos digitales,
evaluando objetivamente los riesgos y definiendo una serie de medidas
para eliminarlos o reducirlos al máximo.
Implementación de la ISO 27001 Tomando como base esta norma
certificada se debe realizar, entre otras, las siguientes acciones: Una
descripción de la gestión de riesgos donde se detalla la planificación de:
acciones, recursos, responsabilidades y el orden de prioridad con
respecto a la seguridad de la información. Un plan de gestión de riesgos
para alcanzar los objetivos incluyendo la financiación y la asignación de
funciones y responsabilidades. Las medidas necesarias para alcanzar
los objetivos. Planes de capacitación de los profesionales.
Implementación del sistema y gestión de los recursos.
Conclusiones
Al recopilar información sobre la seguridad de la información de la
empresa Sundevs se identificaron vulnerable para un ataque cibernético.
Al desarrollar este trabajo se identificó cuáles son las amenazas que se
encuentran dentro de la empresa Sundevs que son: Las copias de
seguridad y control de auditoria.
Es necesario mantener el sistema en un estado de alerta y actualización
automatizadas permanente: la seguridad es un proceso continuo que
exige aprender sobre las propias experiencias.
Las organizaciones no pueden permitirse considerar la seguridad como
un proceso o un producto aislado de los demás. La seguridad tiene que
formar parte de las organizaciones.
Debido a la constante amenaza en que se encuentran los sistemas, es
necesario que los usuarios y las empresas enfoquen su atención en el
grado de vulnerabilidad y en las herramientas de seguridad con las que
cuentan para hacerle frente a posibles ataques informáticos que luego
se pueden traducir en grandes pérdidas.
El estudio realizado a la empresa Sundevs, permitió dar
recomendaciones puntuales para mejorar las condiciones de la empresa
y su funcionamiento.
Recomendaciones
Se aconseja la implementación de procedimientos y guías de seguridad que
ayuden a complementar la política de seguridad entregada en la presente. Con
el fin de mejorar la seguridad en la empresa Sundevs se recomienda revisar la
política de seguridad y la metodología definidas en el presente trabajo, y así
generar comentarios y recomendaciones que contribuyan a la mejora de estos
documentos.
Se recomienda:
ESTABLEZCA POLÍTICAS DE SEGURIDAD
Este debe ser el punto de arranque para proteger su compañía. Se trata de un
plan diseñado a partir del funcionamiento y las necesidades de su negocio. Con
él se busca proteger la información, garantizar su confidencialidad y
reglamentar su uso y el del sistema por el cual se accede a la misma. El
objetivo final es mitigar el riesgo de pérdida, deterioro o acceso no autorizado.
Además de la información, en las políticas de seguridad informática se incluyen
elementos como el hardware, el software y los empleados; se identifican
posibles vulnerabilidades y amenazas externas e internas; y se establecen
medidas de protección y planes de acción ante una falla o un ataque.
Educar a los empleados ayuda a prevenir brechas de seguridad, por lo que es
preciso incluir las mejores prácticas que todos los trabajadores deben seguir
para minimizar el riesgo y asegurar al máximo la seguridad informática de la
empresa. Esto implica la prohibición de acceder a páginas web sospechosas,
optar siempre por las conexiones HTTPS y no insertar unidades de memoria
externas USB sin previa autorización, entre otros.
RESPALDE LA INFORMACIÓN Y SEPA CÓMO RECUPERARLA
Una compañía que mantiene copias de seguridad periódicas de su información
es capaz de recuperarse más rápido de cualquier ciberataque. Se pueden
hacer respaldos físicos (que deben ser cambiados cada cierto tiempo), en la
nube o una combinación de ambas. La opción que se escoja depende en gran
medida de las necesidades de su empresa, pero lo ideal es que se cuente con
una alternativa que se haga de manera automática y periódica. También puede
encriptar los backups con una contraseña, en caso de que quiera cuidar
información confidencial.
CIFRE LAS COMUNICACIONES DE SU COMPAÑÍA
El cifrado es una técnica con la cual se altera la información para que esta no
sea legible para quienes lleguen a tener acceso a los datos. En las empresas,
la protección de todas las comunicaciones por las cuales se transmiten datos
sensibles debe ser una prioridad corporativa.
De ahí que cifrar contraseñas de usuario, datos personales y financieros,
llamadas, lista de contactos, el acceso a páginas web y al correo electrónico y
conexiones a terminales remotos, entre otros, se ha convertido en una
necesidad de primer nivel. Existen sistemas que cifran los datos enviados
desde una página web y evitan el acceso de posibles atacantes y hoy hasta los
mensajes que se envían por WhatsApp son cifrados.
UTILICE ANTIVIRUS (TANTO EN PC COMO EN MÓVILES)
Las empresas siguen siendo las víctimas número uno de los virus informáticos
por su información financiera o por los datos confidenciales que manejan, por
eso resulta vital que los computadores cuenten con un antivirus instalado. En el
mercado se encuentran varias opciones, por lo que escoger una de ellas
dependerá de las necesidades de cada empresa. En este sentido, tenga en
cuenta aspectos como actualizaciones periódicas, servicio técnico y su facilidad
a la hora de instalar. Además, recuerde que, si sus empleados se conectan a
información de la compañía desde equipos móviles, también debe instalar
antivirus en aparatos como tablets y teléfonos inteligentes.
PROTEJA TODOS LOS EQUIPOS CONECTADOS A LA RED
Muchas compañías siguen cayendo en el error de creer estar blindadas ante
posibles ataques solo por contar con antivirus en sus computadores, pero dejan
de lado otros dispositivos conectados a la Red como impresoras o televisores
inteligentes, los cuales se han convertido en nuevos focos de amenazas
informáticas. Aunque aún no existen en el mercado opciones de antivirus para
estos aparatos específicos, sí se puede minimizar el riesgo con ciertas
acciones. En el caso de las impresoras, ubíquelas tras el cortafuego de la
empresa y sin conexión abierta a Internet, mantenga actualizado su software,
cifre el disco duro y controle a través de contraseñas quién hace uso de esta.
En el caso de los televisores, navegue en ellos solo por sitios seguros,
descargue aplicaciones oficiales y mantenga igualmente el software siempre
actualizado.
ADQUIERA HERRAMIENTAS DE SEGURIDAD
Los firewalls o cortafuegos son otra manera de mantener a los
ciberdelincuentes alejados de la información de las compañías, pues ayudan a
prevenir ataques exteriores a las redes locales. Aunque los computadores ya
vienen con esta opción preinstalada, existen otros más seguros que se puede
incluir por hardware (dispositivos que se añaden a la red) o por software (una
aplicación que se instala en el computador) y lo que hacen es analizar y filtrar
el tráfico que entra y sale y bloquear posibles amenazas. La diferencia es que
el primero lo hace en todos los dispositivos que estén conectados a la red local,
mientras el segundo solo en el dispositivo en el que esté instalado.
Por último, pero no menos importante, está la protección de la red Wi-Fi, una
de las ventanas preferidas por los atacantes por la cual pueden acceder a la
red de las empresas. Para protegerla de manos criminales, empiece por
cambiar la clave que viene por defecto en el router por una de alto nivel de
seguridad, así como el nombre de la red. Utilice el nivel de seguridad WPA2 (el
más seguro), reduzca los rangos de direcciones IP permitidas y autentique a
todas las personas que se conectan a dicha red.
Bibliografía
https://repository.unimilitar.edu.co/bitstream/10654/10200/2/EcheverryParadaJuanSeb
astian2009.pdf
https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/3818/5/7962634
4.pdf
http://www.dit.upm.es/~posgrado/doc/TFM/TFMs20142015/TFM_Maria_Fernanda_Mol
ina_Miranda_2015.pdf
https://www.uv.mx/gestion/files/2013/01/aureliano-aguilar-bonilla.pdf
http://www.portafolio.co/innovacion/siete-recomendaciones-para-proteger-los-
sistemas-informaticos-de-su-compania-506755
https://www.isotools.org/2015/08/13/como-implementar-un-sistema-de-gestion-de-
seguridad-de-la-informacion/
https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf
https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/reporte-anual-cisco-2018-
espan.pdf
http://seguridadinformatica10h.blogspot.com/p/conclusiones-y-recomendasiones.html
https://www.cisco.com/c/en/us/about/press/internet-protocol-journal/back-issues/table-
contents-38/104-standards.html
https://www.iso.org/search.html?q=iso/iec/27001
https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
https://seguinfo.wordpress.com/2009/03/09/protegiendo-la-empresa-de-los-ex-
empleados-enojados-4/
http://www.upv.es/entidades/ASIC/seguridad/353808normalc.html
https://www.entrepreneur.com/article/268128
https://www.ecomputer.es/empresa/mision-vision-valores/
http://seguridadinfo.mex.tl/605316_Seguridad-de-la-informatica.html
Top Related