2. MARCO METODOLÓGICO
2.4 Conclusiones Parciales del Capitulo
• Del trabajo de campo realizado situó en evidencia la existencia de diversas situaciones problemáticas de la Universidad Regional Autónoma de los Andes UNIANDES, por lo tanto la mayoría de los alumnos, docentes y personal administrativo están de acuerdo que es muy necesario un protocolo de seguridad informática para ya no tener ciertos percances en la seguridad y mejorar la seguridad de la información de la institución.
• La generalidad de los alumnos, docentes y personal administrativo en los esquemas de autenticación son apoyados en contraseñas para poder proteger sus cuentas y redes sociales y de esta manera pueden tener una autenticación más fiable.
• La falta de seguridad en los usuarios (alumnos, docentes y personal administrativo) se debe por la inexactitud de conocimientos sobre los riesgos que acarrean, es preciso que los usuarios (alumnos, docentes y personal administrativo) se informen del grado de vulnerabilidad y así poder evitar grandes pérdidas.
CAPITULO III
3. MARCO PROPOSITIVO 3.1. Tema
Protocolo de seguridad informática para usuarios en la Universidad Regional Autónoma de los Andes UNIANDES.
3.2 Objetivos 3.2.1Objetivo General
Desarrollar un protocolo de seguridad informática para los usuarios en la Universidad Regional Autónoma de los Andes UNIANDES, para mejorar los niveles de seguridad que existen en la institución.
3.2.2Objetivos Específicos
• Analizar las vulnerabilidades de seguridad de los usuarios de acuerdo a los riesgos detectados en la Universidad Regional Autónoma de los Andes UNIANDES.
• Determinar los aspectos fundamentales, que deben conocer los usuarios sobre seguridad informática
• Elaborar un protocolo de seguridad informática en base a la norma ISO 27002 para prevenir y fortalecer la seguridad en la Universidad Regional Autónoma de los Andes UNIANDES.
3.3 Desarrollo de la Propuesta 3.3.1Fundamentación
La realización de este protocolo de seguridad informática para usuarios tiene la finalidad de concientizar a los usuarios y que puedan protegerse de la mayor cantidad de ataques posibles, que sea el propio usuario quien pueda dar solución, controlando y minimizando
los daños de acontecimientos que afectan a los mismos en la Universidad UNIANDES, por eso es importante capacitar a los usuarios en temas agrupados a la seguridad informática la cual se hizo mediante la pauta de la Norma ISO 27001 y la Norma ISO 27002 así se mejora los niveles de seguridad en la Universidad Regional Autónoma de los Andes UNIANDES.
La Universidad debe poseer una buena implementación del protocolo de seguridad informática o de lo contrario se volverá a tener una falta que puede causar pérdidas graves de la información, es importante destacar que para que dicha implementación sea efectiva debe tener la colaboración de todas las áreas y departamentos que integran en la institución.
Las normas ISO son determinadas por el Organismo Internacional de Estandarización (ISO), son documentos que explican las obligaciones que pueden ser empleadas en instituciones, organizaciones o empresas con el objetivo de certificar la gestión de sus servicios y así poder alcanzar la calidad deseada, disminuyendo los errores y sobre todo favoreciendo el incremento de la productividad.
La Norma ISO 27001 es una norma internacional que contiene los requerimientos para la implantación de un sistema de gestión de seguridad de la información la cual representa cómo asegurar, la confidencialidad e integridad de los datos, definiendo la forma de formalizar la seguridad de la información en cualquier tipo de empresa, organización o institución permitiendo que sea certificada.
La Norma ISO 27002 es un conjunto de normas o una guía de buenas prácticas que se llevara a cabo describiendo los objetivos de control que son recomendables en la implementación de la seguridad de la información las cuales se sitúa a resguardar los principios que son:
• Confidencialidad: Solamente el usuario autorizado tiene acceso a la información. • Integridad: La información no será borrada o modificada por personas que no son
• Disponibilidad: Los usuarios autorizados tendrán acceso a la información cuando la necesiten.
Se aplicará la Norma ISO 27002 porque es una guía para conocer qué se puede hacer para mejorar la seguridad de la información debido a que cuenta con una serie de controles con sus debidas sugerencias de esta manera se podrá garantizar la confidencialidad, integridad y autenticidad de la información de los usuarios. No se escogió la Norma ISO 27001 ya que cada norma de su serie está diseñado con un enfoque preciso, es decir que habla de los controles de forma residual.
Tabla 30.-Cuadro comparativo de las Normas ISO
Norma ISO Objetivo Estructura Diferencias Semejanza
ISO 27001 Analizar y gestionar los riesgos basados en
los proceso,
evaluando los riesgos del sistema de información de la empresa, organización o institución
En 11 capítulos son todos los escritos que se relacionan con el Sistema de Gestión de Seguridad de la Información. -Habla de los controles de forma residual. -Define el sistema de gestión de seguridad de la información (SGSI) -Exige la realización de una evaluación de riesgos sobre cada control. -Asegura la seguridad de la información en una empresa, organización o institución las cuales pueden ser privadas o públicas,
pequeñas o
grandes.
ISO 27002 Que la empresa, organización o
institución tenga una idea acerca de todos los activos que posee como la
administración de riesgos.
En 14 capítulos que describen las áreas que se deben considerar para garantizar la seguridad de la información de las que se dispone
-Es una guía para, en distintos ámbitos, conocer qué se puede hacer para mejorar la seguridad de la información -Es mucho más detallada y precisa. -Define como ejecutar un sistema -Están orientadas a todo tipo de organizaciones, empresas, agencias, gubernamentales, no importa el tamaño pueden ser pequeñas, medianas o grandes, tipo o naturaleza.
Fuente: Propia
3.3.2Situación Actual
Para poder realizar la propuesta de un Protocolo de seguridad informática para usuarios en la Universidad Regional Autónoma de los Andes UNIANDES, primeramente, se efectuó diferentes tipos de ataques a los usuarios. Se ejecutó el primer ataque en los laboratorios informáticos (Derecho, Turismo y Sistemas), de la Universidad que es el Keylogger con software, 16 máquinas infectadas en la carrera de Derecho, 14 máquinas infectadas en la carrera de Turismo y 50 máquinas infectadas en la carrera de Sistemas dando un total de 80 ordenadores infectados con este malware, de lo cual se logró obtener un total de 260 correos electrónicos 37 de tipo Hotmail y 93 de tipo Gmail, el sistema operativo que está instalado en las máquinas de estas carreras es el Windows 8, cada ordenador tenia instalado el antivirus Kaspersky Endpoint Security 10 para Windows, la razón por la que se pudo instalar este malware sin que lo detecte el antivirus es que el keylogger con software son prácticamente invisibles debido a que tienen capas de encriptación durante el proceso de compilación de la aplicación.
Una vez obtenidos los datos de información del usuario es decir los e-mails, se efectuó él envió del correo con phishing, el cual se le redirigió a una página falsa de las redes sociales (Facebook, Gmail, Hotmail), donde hubo un total de 106 usuarios que cayeron en este tipo de ataque, a través del host creado para este tipo de amenazas se recopilo los correos y contraseñas almacenados en él.
Para el ataque con la Botnet posteriormente se eligieron 20 correos electrónicos al azar, de los e-mails obtenidos de los ataques anteriores, a los cuales se les envió un troyano realizado en el sistema operativo Kali Linux, creando el archivo de manera ejecutable camuflado en un plug-in para VLC media player ya que este es un software que constantemente está solicitando aprobación de actualizaciones que son descargadas de la web, de los 20 troyanos enviados se logró infectar 9 máquinas de las cuales se pudo tener el control una vez que el malware fue instalado.
Tabla 31.- Instalación del keylogger
Descripción Total Porcentaje
Máquinas 80 2 días
Fecha de Inicio 0 15/10/2017
Fecha Final 0 31/10/2017
Obtención de cuentas 260 16 días
Fuente: Propia
Elaborada por: Jennifer Acosta
TIPOS DE ATAQUES
Se realizaron prueba de penetración a los u suarios de la red de datos en la Universidad Regional Autónoma de los Andes ‘UNIANDES’
KEYLOGGER SPAM PHISHING B OTNET
- R egistra el pulso de teclas y clicks del mouse - S e sitúa en el sistema poder para operativo registrar la información de los usuarios
- Correo electrónico falso - A sunto llamativo - Se envía a una página
(
falsa phishing ) por medio de un enlace
- Página de suplantación de las cuentas personales - Se logra robar la información de las redes sociales
- Red de equipos informáticos que han sido infectados con un malware .
- Control remoto del equipo.
Tabla 31: Instalación del keylogger
Tabla 32: Spam Tabla 33 : Phishing en las redes sociales
Tabla 34: B otnet de las máquinas
Tabla 32.-Spam
Correos electrónicos/Sociales Cantidad
Hotmail 37 Facebook 130 Gmail 93 Total 260 Fuente: Propia
Elaborada por: Jennifer Acosta
Tabla 33.-Usuarios que fueron vulnerados a partir del Spam (Phishing)
Phishing Enviados Usuarios Porcentaje
Hotmail 37 22 20.75 % Facebook 130 72 67.93 % Gmail 93 12 11.32% Total 260 106 Fuente: Propia
Elaborada por: Jennifer Acosta
Tabla 34.- Botnet de las máquinas
Descripción Cantidad Porcentaje
Máquinas no infectadas 11 55 %
Máquinas infectadas 9 45 %
Total 20 100%
Fuente: Propia
Elaborada por: Jennifer Acosta
3.3.3Protocolo de Seguridad
En esta nueva era las instituciones hacen uso del internet para su trabajo diario, pero existen riesgos como la posibilidad de que una vulnerabilidad sea aprovechada por una
amenaza, ya que hay diversas formas de que el ordenador se contagie por medio de software ilegal, páginas web maliciosas, iniciar sesión en sitios falsos, por medio de enlaces o archivos adjuntos en el correo electrónico.
La elaboración de un protocolo de seguridad informática para usuarios en la Universidad Regional Autónoma de los Andes UNIANDES, se dio por el poco conocimiento de los mismos acerca de la seguridad de su información ante los ataques informáticos, se relacionó con las Normas ISO ya que son normas de seguridad las cuales están establecidas por la (ISO) Organización Internacional para la Estandarización, su objetivo es implantar guías relacionadas con sistemas de gestión de la seguridad a cualquier tipo de empresa, organización o institución ya sean internacionales o mundiales.
Por eso es importante que cada institución cuente con un protocolo de seguridad informática, el cual es un documento que describe los requerimientos específicos que deben cumplirse en dicho establecimiento. En los siguientes temas descritos en la Figura 28.- Esquema del protocolo de seguridad, se procurará algunas opciones de la implantación.
Figura 28.- Esquema del protocolo de seguridad
Fuente: Propia
Elaborada por: Jennifer Acosta Conocer las amenazas
y riesgos Campañas de Concientización Conferencias y Conciencia Pruebas Plan de Mantenimiento
Primer paso: Conocer las amenazas y riesgos
El primer paso que llevaremos a cabo, será conocer las amenazas y riesgos encaminados a los usuarios, nuevamente ya que esto se realizó en la situación actual, debido a que en la actualidad la tecnología es un elemento esencial para el usuario, y cada día existen nuevas amenazas asociadas al uso de esta tecnología, como los intentos de intrusos que quieren apoderarse de la información del usuario de forma ilegal y poder sacar provecho de su uso.
El objetivo de esto es saber cuáles son las principales vulnerabilidades de los usuarios y por medio de esto, que tengan las medidas anticipadas que garanticen mayores niveles de seguridad en su información, en el instante de confiar en los archivos que ejecutan tanto descargados por internet en páginas desconocidas, los correos que reciben de personas que no están en su lista de contactos, asimismo como copiados por memorias externas.
Tabla 35.-Amenazas y riesgos que se platearon
Amenazas Definición Utilización Riesgos
Keylogger Es un programa que se encarga de registrar todo lo que teelea el usuario en cualquier plataforma.
Compila todo lo que teelea y hace elick el usuario y lo almacena en un fichero.
- Robo de contraseñas y datos privados.
-Perdida de privacidad del usuario.
Spam Es un correo basura o correo electrónico no solicitado , se sitúa en varios sitios como publicidad
-Enviar publicidad o anuncia servicios de incierta calidad. -Redirigir al usuario a un Phishing.
-Invasión de la privacidad -Fraudes
-Pérdida de tiempo
Phishing Es un fraude común en internet, es decir es una suplantación de identidad
-Robo de información del usuario
-Fines delictivos
- Roba datos del usuario y los utiliza para actividades delictiva. - Estafas cibernéticas
Bootnet Grupo de computadoras infectadas y controladas por una maquina maestra de forma remota que es el atacante
-Ataques DDoS
- Envío masivo de spam, virus, software espía; y fraude -Hurto de información de la victima
-Perdida de datos tanto bancarios y personales.
Fuente: Propia
Elaborada por: Jennifer Acosta
Segundo paso: Campañas de concientización
Una vez que se conoció los tipos de amenazas realizadas a los usuarios de la Universidad Regional Autónoma de los Andes UNIANDES, se recomienda realizar campañas de concientización distribuyendo de una manera organizada todos los materiales que se vayan a utilizar en la concienciación para el usuario
Tabla 36.-Puntos para la capacitación
Material Utilización
Carteles Deberán ser imprimidos y colocados en lugares visibles donde el usuario los pueda leer sin molestia alguna
Imágenes electrónicas
Serán enviadas por correo electrónico a los usuarios de la institución.
Blog o perfil de una red social
Por medio del internet se creará este tipo de contenido sobre el tema de la seguridad informática y será más interesante para el usuario.
Fuente: Propia
Elaborada por: Jennifer Acosta
Tercer paso: Conferencias y Conciencia
En este paso se distribuye de una manera organizada las conferencias y la conciencia para los usuarios en la Universidad Regional Autónoma de los andes UNIANDES, de esta manera se podrá transmitir información sobre el tema de seguridad de la información. Los puntos de las charlas serán los siguientes:
Figura 2
9.- Temas de conferencia Fuente: Propia Elaborada por: Jennifer Acosta
Materiales de uso para las conferencias.
Diapositivas en Power Point: Aquí se explicará a los usuarios sobre la problemática y como evitarla. Para esta fase también se realizará un conjunto de actividades didácticas y así se lograra que los usuarios tengan conocimientos, habilidades y aptitudes sobre el tema de seguridad informática, permitiéndoles poder tener un mejor desempeño en el área y pueda aplicar de alguna manera la práctica.
Figura 30.- Actividades didácticas
Elaborada por: Jennifer Acosta
¿Qué es la Seguridad Informática ? Tipos de atacantes Tipos de amenazas Redes Sociales Herramie ntas de los intrusos Medidas de prevenció n Videos Libros Evaluaciones
Cuarto paso: Pruebas
Test: Por ultimo este instrumento en la parte final ya que se trata de una prueba de opción múltiple sobre cada tema especificado. Se recomienda hacer periódicamente la puesta en marcha del protocoló de seguridad, renovar los pasos descritos.
Quinto paso: Plan de Mantenimiento
Para finalizar se efectuará un modelo de gestión de activos el cual tiene todas las tareas que están planeadas y programadas, necesarias para anunciar al usuario sobre el tema de seguridad informática las cuales se realizaran en una frecuencia determinada. Y se realizara nuevamente los tipos de ataques que se efectúo en este proyecto (Phishing, Botnet, Spam y Keyloger), además de implementar otras medidas de ataques (Ataques de Monitorización, Ataques de Modificación – Daño, etc). El protocolo desarrollado se encuentra en la parte de Anexos.
CONCLUSIONES
El objetivo de este proyecto de investigación pretendía determinar las vulnerabilidades de los usuarios y de esa manera proponer un protocolo de seguridad informática para usuarios con la finalidad de mejorar los niveles de seguridad en la Universidad Regional Autónoma de los Andes UNIANDES.
Se realizó un análisis de la situación problemática, en la cual se pudo observar que la mayoría de los usuarios desconocen aspectos básicos acerca de la seguridad de sus contraseñas, la navegación por internet y los problemas que conllevan a la falta de actualización de sus programas.
De esta manera se concluye que es necesario capacitar a los usuarios para que estos puedan aplicar el conocimiento adquirido en las diversas actividades que estén realizando dentro y fuera de la Universidad Regional Autónoma de los Andes UNIANDES con la intención de proteger de una forma correcta su información.
RECOMENDACIONES
Dentro de un plan tan ambicioso como lo fue este se recomienda que se aplique el protocoló de seguridad informática para los usuarios de la Universidad Regional Autónoma de los
Andes UNIANDES.
Se aconseja que cada año se realicen pruebas para verificar que los usuarios estén aplicando las normas establecidas en el protocolo que se estableció en la Universidad Regional Autónoma de los Andes UNIANDES.
Otra recomendación es que se mantenga pendientes el descubrimiento de nuevas vulnerabilidades y en base a ellas se actualice el protocolo de seguridad informática para usuarios en la Universidad Regional Autónoma de los Andes UNIANDES.
BIBLIOGRAFÍA
Aguilera López. (2010). Seguridad Informatica. EDITEX.
Alegre Ramos, M. (2011). Seguridad informática. Madrid, España: CORPYRING. Alpala Patiño , L. O. (2014). Propuesta de actualización, apropiación y aplicación de
políticas de seguridad informática en una empresa corporativa, PROPOLSINECOR. San juan de pasto, Colombia.
Arroyo, N. (2013). Informacion en el movil. E-libro.
Baca Urbina, G. (2015). Proyectos de Sistemas de Información. Mexico: PATRIA. Barbancho Concejero, J. (2014). Redes Locales. Madrid, España: COPYRIGHT. Bermúdez Molina, K. G. (2015). Análisis en seguridad informática y seguridad de la
información dirigido a una empresa de serviciosfinancieros. Guayaquil, Guayas, Ecuador.
Blanco Navarro, J. (2014). Seguridad nacional, amenazas y respuestas. Madrid, España: LID Editorial.
Castro Lechtaler, A. (2016). Comunicaciones una introduccion a las redes digitales de transmision de datos y señales isocronas. Buenos Aires: Technology & Engineering.
Comer, D. (2016). Redes de Computadoras e Internet. Bookman.
Contreras Martínez, M. (2016). Estudio de la Oferta de Certificaciones en Seguridad Informática. España, Europa.
Costas Santo, J. (2011). Seguridad Informaticas. Bogota, Colombia: Ra-Ma.
Escribano, J. (2013). Internet Movil para emprendedores. Madrid , España: ANAYA S.A.
Garcia Cervigon, A. (2011). Seguridad Informatica,Anti-Virus.
Gimenez Alabaceta, J. (2014). Seguridad en equipos informaticos. Antequera, Malaga: IC Editorial.
Gomez Alvarado, V. (2013). Auditoria en Seguridad Informatica. Bogota, Colombia: StarkBook.
Gonzales Manzano, L. (2014). Sistemas seguros de acceso y transmicion de datos. Antequera, Malaga: IC Editorial.
Hegel Broy, C. (2013). Redes Instalacion,Administracion y Soporte. (E. MACRO, Ed.) Lima, Peru: Marco EIRL.
Jara, H. (2016). Ethical Hacking 2.0. Buenos Aires, Argetina: USERS.
Katz, M. (2013). Redes y Seguridad. (A. S.A, Ed.) Buenos Aires, Argentina: Alfaomega. Lanche Capa, D. (2015). Diseño de un sistema de seguridad de la información para la
compañía ACOTECNIC Cía. Ltda.Basado en la norma NTE INEN. Cuenca, Ecuador.
Manuel Alonso, C. (2014). Procesos y herramientas para la seguridad de redes. Madrid, España: UNED.
Ortiz López, F. (2010). Google Académico. Obtenido de Ortiz, F. L. (2010). El estándar IEEE 802.11 wireless lan.
Pérez Luna, A. (2014). Instalaciones de telecomunicaciones. Madrid, España: COPYRIGHT.
Rault, R. (2015). Seguridad informática - Hacking Ético: Conocer el ataque para una mejor defensa. Barcelona, España: ENI.
Tanenbaum, A. (2012). Redes de computadoras (Cuarta ed.). Mexico, Mexico: Pearson Educacion.
Teran Perez, D. (2014). Administracion Estrategica de la funcion informatica. Mexico: Grupo Editor S.A de C.V.
V Carrera, E. (2010). El Costo de la Seguridad en Dispositivos Móviles. Obtenido de https://scholar.google.com/citations?user=6_FrzIAAAAJ&hl=es&cstart=20&pag esize=20
Vazquez Cano, E. (2015). Dispositivos digitales moviles en educacion. Madrid: Narcea, S.A. de Ediciones.
ANEXOS
ANEXO 1
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES
ENTREVISTA DIRIGIDA AL ING. VÍCTOR PROAÑO, ADMINISTRADOR DEL
DEPARTAMENTO DE REDES DE LA UNIVERSIDAD UNIANDES MATRIZ AMBATO.
Objetivo: La siguiente entrevista tiene como finalidad conocer su criterio de los aspectos de seguridad informática que existe Universidad UNIANDES
Pregunta Respuesta del administrador del
departamento de redes. ¿Qué mecanismos de autenticación de usuarios