Subido porVictor430019
29 vistas

mineria victor.pdf

La tesis presentada por Juan Fernando Huanca Alavi se centra en el desarrollo de un sistema de seguridad por niveles para las redes informáticas en los centros de datos del sistema de universidades de Bolivia, con el objetivo de obtener el título de magister en seguridad de tecnologías de la información. El documento incluye un análisis detallado de los niveles de seguridad, metodologías y un diseño práctico que aborda los riesgos existentes en el centro de datos de la Universidad Pública de El Alto. Se destaca la colaboración de expertos y la aplicación de conceptos teóricos para fortalecer la seguridad de la información en el contexto académico.

Incrustar presentación

Descargar para leer sin conexión
1 / 179
2 / 179
3 / 179
4 / 179
5 / 179
6 / 179
7 / 179
8 / 179
9 / 179
10 / 179
11 / 179
12 / 179
13 / 179
14 / 179
15 / 179
16 / 179
17 / 179
18 / 179
19 / 179
20 / 179
21 / 179
22 / 179
23 / 179
24 / 179
25 / 179
26 / 179
27 / 179
28 / 179
29 / 179
30 / 179
31 / 179
32 / 179
33 / 179
34 / 179
35 / 179
36 / 179
37 / 179
38 / 179
39 / 179
40 / 179
41 / 179
42 / 179
43 / 179
44 / 179
45 / 179
46 / 179
47 / 179
48 / 179
49 / 179
50 / 179
51 / 179
52 / 179
53 / 179
54 / 179
55 / 179
56 / 179
57 / 179
58 / 179
59 / 179
60 / 179
61 / 179
62 / 179
63 / 179
64 / 179
65 / 179
66 / 179
67 / 179
68 / 179
69 / 179
70 / 179
71 / 179
72 / 179
73 / 179
74 / 179
75 / 179
76 / 179
77 / 179
78 / 179
79 / 179
80 / 179
81 / 179
82 / 179
83 / 179
84 / 179
85 / 179
86 / 179
87 / 179
88 / 179
89 / 179
90 / 179
91 / 179
92 / 179
93 / 179
94 / 179
95 / 179
96 / 179
97 / 179
98 / 179
99 / 179
100 / 179
101 / 179
102 / 179
103 / 179
104 / 179
105 / 179
106 / 179
107 / 179
108 / 179
109 / 179
110 / 179
111 / 179
112 / 179
113 / 179
114 / 179
115 / 179
116 / 179
117 / 179
118 / 179
119 / 179
120 / 179
121 / 179
122 / 179
123 / 179
124 / 179
125 / 179
126 / 179
127 / 179
128 / 179
129 / 179
130 / 179
131 / 179
132 / 179
133 / 179
134 / 179
135 / 179
136 / 179
137 / 179
138 / 179
139 / 179
140 / 179
141 / 179
142 / 179
143 / 179
144 / 179
145 / 179
146 / 179
147 / 179
148 / 179
149 / 179
150 / 179
151 / 179
152 / 179
153 / 179
154 / 179
155 / 179
156 / 179
157 / 179
158 / 179
159 / 179
160 / 179
161 / 179
162 / 179
163 / 179
164 / 179
165 / 179
166 / 179
167 / 179
168 / 179
169 / 179
170 / 179
171 / 179
172 / 179
173 / 179
174 / 179
175 / 179
176 / 179
177 / 179
178 / 179
179 / 179
ESCUELA MILITAR DE INGENIERÍA “MARISCAL ANTONIO JOSÉ DE SUCRE” BOLIVIA TESIS DE MAESTRÍA SISTEMA DE SEGURIDAD POR NIVELES, PARA LAS REDES INFORMÁTICAS CORPORATIVAS EN LOS CENTROS DE DATOS DEL SISTEMA DE UNIVERSIDADES DE BOLIVIA JUAN FERNANDO HUANCA ALAVI LA PAZ, 2021
- i - JUAN FERNANDO HUANCA ALAVI SISTEMA DE SEGURIDAD POR NIVELES, PARA LAS REDES INFORMÁTICAS CORPORATIVAS EN LOS CENTROS DE DATOS DEL SISTEMA DE UNIVERSIDADES DE BOLIVIA Modalidad: Tesis de Grado, que se presenta como requisito para optar al título de Magister Scientiarum en Seguridad de Tecnologías de la Información. TUTOR: MSC. ING. CESAR FERNANDO LOZANO LA PAZ, 2021
- ii - AUTORIZO LA PRODUCCIÓN Y DIVULGACIÓN TOTAL O PARCIAL DE ESTE TRABAJO DE INVESTIGACIÓN, POR CUALQUIER MEDIO CONVENCIONAL O ELECTRÓNICO PARA FINES DE ESTUDIO E INDAGACIÓN, A PARTIR DE LA APROBACIÓN SE PUEDE REALIZAR LA RESPECTIVA CITA DE LA FUENTE DE INFORMACIÓN. Huanca Alavi, Juan Fernando Sistema de Seguridad por Niveles, para las redes informáticas corporativas en los centros de datos del Sistema de Universidades de Bolivia. -La Paz, 2021. Tesis de Maestría – Programa de Posgraduación de la Maestría en Seguridad de Tecnologías de la Información. Escuela Militar de Ingeniería. Palabras Clave: 1 Seguridad – Niveles de Seguridad – Perímetro de Seguridad. CÓDIGO______________
-iii- HOJA DE APROBACIÓN Aprobado con: Tribunal Examinador de Tesis Vocal: ____________________________________________________________ Institución: _____________________________Firma: :______________________ Oponente: _________________________________________________________ Institución: _____________________________Firma: :______________________ Relator: ___________________________________________________________ Institución: _____________________________Firma: :______________________ Tutor: _____________________________________________________________ Institución: _____________________________Firma: :______________________ Secretario: _________________________________________________________ Institución: _____________________________Firma: :______________________ Presidente: Cnl. DAEN________________________________________________ Institución: _____________________________Firma: :______________________ Juan Fernando Huanca Alavi Sistema de Seguridad por Niveles, para las redes informáticas corporativas en los centros de datos del Sistema de Universidades de Bolivia. Tesis Presentada a la Dirección Posgrado de la Escuela Militar de Ingeniería para la Obtención del título de Magister Scienciarum. Área de Concentración: Seguridad en Tecnologías de la Información.
-iv- DEDICATORIA Dedico este trabajo final a mi creador y a mi familia. Al Dios Todo poderoso quien me regala la vida y salud, agradecerle por su infinita misericordia por prestarme al ser que me brindo la vida mi mamá quien me ayudó con su paciencia y animándome para seguir estudiando, mis hermanas que me dieron su comprensión y ayuda en los momentos más dolorosos y los felices, a mis seres queridos que me brindaron comprensión y cariño durante la elaboración del presente trabajo de investigación. A mi mamá adorada Elena Alavi que me dio la vida y me brindó su apoyo mediante sus consejos, brindándome en todo momento su comprensión en las diversas situaciones. A mis hermanos que siempre me han mostrado su comprensión y apoyo incondicional. A las personas que estando fuera del círculo familiar me ayudaron de forma indirecta o directa para realizar el presente trabajo, mediante pequeños detalles o animándome para continuar y terminar el presente trabajo.
- v - AGRADECIMIENTOS Al creador de los cielos y la tierra que escuchó mi clamor cuando estaba perdido y me recibió en su regazo: “Jehová, tú eres mi Dios; te exaltaré, alabaré tu nombre, porque has hecho maravillas; tus consejos antiguos son verdad y firmeza”. (Isaías 25:1). Al M.Sc. Ing. Cesar Fernando Lozano Mantilla, quien me colaboró con sus conocimientos, experiencia en el campo practico y laboral con su guía en el desarrollo del presente documento. A mis mentores M.Sc. Ing. Cesar Fernando Lozano Mantilla, M. Sc. Ing. Edson Vallejos, M.Sc. Ing. Cesar Castellon, M.Sc. Ing. Carlos Anibarro, quienes fueron guía clave del trabajo científico, con sus conocimientos, experiencia en el campo práctico y laboral con su tutoría en el desarrollo del presente documento, muchas gracias. A la Escuela Militar de Ingeniería, por la oportunidad de lograr mi especialización a través del curso de Maestría en Seguridad de Tecnologías de la Información y permitirnos ingresar a sus laboratorios e instalaciones para obtener los datos significativos que fueron base sólida en la presente investigación.
- vi - ÍNDICE CONTENIDO Paginas CUBIERTA ………………………………………………………………………………….…….. i CONTRACUBIERTA………………………………………………………………..………….... ii HOJA DE APROBACIÓN………………………………………………………….…………..... iii DEDICATORIA…………………………………………………………………….……………... iv AGRADECIMIENTOS…………………………………………………………......……………. .v ÍNDICE………………………………………………………………………..........………………vi LISTA DE TABLAS………………...………………………………………...........……………. ix LISTA DE FIGURAS…………………………………………………………..........………….. x LISTA DE FORMULAS……...……………………………….....……………. ……………… xii RESUMEN/ABSTRACT…….…..…………………………………………….........…………...xiii CAPÍTULO PRIMERO ...................................................................................................... - 1 - GENERALIDADES ........................................................................................................... - 1 - 1.1 INTRODUCCIÓN .................................................................................................. - 1 - 1.2 . ANTECEDENTES DEL PROBLEMA................................................................... - 3 - 1.3 PLANTEAMIENTO DEL PROBLEMA ................................................................. - 8 - 1.4 IDENTIFICACIÓN DEL PROBLEMA................................................................... - 9 - 1.4.1. Formulación del Problema .................................................................................. - 15 - 1.5 . OBJETIVOS DE LA INVESTIGACIÓN .............................................................. - 15 - 1.5.1. Objetivo General ................................................................................................. - 15 - 1.5.2. Objetivos Específicos.......................................................................................... - 16 - 1.6 . JUSTIFICACIÓN ................................................................................................. - 16 - 1.6.1. Justificación Teórica............................................................................................ - 16 - 1.6.2. Justificación Legal............................................................................................... - 17 - 1.6.3. Justificación Social.............................................................................................. - 18 - 1.6.4. Justificación Técnica ........................................................................................... - 18 - 1.6.5. Justificación Subjetiva......................................................................................... - 19 - 1.7 . ALCANCES......................................................................................................... - 19 - 1.7.1. Área de Investigación.......................................................................................... - 21 - 1.7.2. Seguridad ............................................................................................................ - 21 - 1.7.2.1 Seguridad de la Información ............................................................................... - 21 - 1.8 . TEMA ESPECÍFICO............................................................................................ - 22 - 1.9 . NIVEL DE INVESTIGACIÓN .............................................................................. - 22 - 1.9.1. Alcance Espacial ................................................................................................. - 23 - 1.9.2. Alcance Temporal ............................................................................................... - 23 - CAPÍTULO SEGUNDO................................................................................................... - 24 - ESTADO DEL ARTE....................................................................................................... - 24 - 2.1 . FUNDAMENTOS TEÓRICOS GENERALES .................................................... - 24 - 2.2 . FUNDAMENTOS TEÓRICOS ESPECÍFICOS................................................... - 27 - 2.2.1. Seguridad Informática ......................................................................................... - 27 - 2.3 . SEGURIDAD DE REDES INFORMÁTICAS ...................................................... - 28 - 2.3.1. Seguridad por Niveles......................................................................................... - 29 - 2.3.2. Nivel 1 (Físico)..................................................................................................... - 30 - 2.3.3. Nivel 2 (Enlace)................................................................................................... - 31 - 2.3.4. Nivel (Red)........................................................................................................... - 34 - 2.3.5. Nivel (Transporte)................................................................................................ - 34 - 2.3.6. Nivel (Aplicación)................................................................................................. - 35 - 2.3.7. Niveles de Seguridad .......................................................................................... - 36 - 2.3.8. Nivel D (el sistema entero no es confiable) ........................................................ - 36 - 2.3.9. Nivel C (Protección Discreta).............................................................................. - 37 -
- vii - a) Nivel C1: Protección Discrecional.............................................................................. - 37 - b) Clase (C2): Protección de Acceso Controlado.......................................................... - 37 - 2.3.10. Nivel B ............................................................................................................... - 38 - a) Nivel B1: Seguridad Etiquetada................................................................................. - 38 - b) Nivel B2: Protección Estructurada ............................................................................. - 38 - c) Nivel B3: Dominios de Seguridad .............................................................................. - 39 - 2.3.11. Nivel A: Protección Verificada............................................................................ - 39 - a) Clase (A1): Diseño Verificado.................................................................................... - 39 - 2.3.12. Centros de Datos .............................................................................................. - 42 - 2.3.12.1. Tier.................................................................................................................... - 42 - 2.3.12.2. Tier I - Centro de Datos Básico........................................................................ - 43 - 2.3.12.3. Tier II - Centro de Datos Redundante.............................................................. - 43 - 2.3.12.4. Tier III - Centro de Datos Concurrentemente Manantenibles ......................... - 43 - 2.3.12.5. Tier IV - Centro de Datos Tolerante a Fallos.................................................. - 43 - 2.3.13. Zero Trust (Cero Confianza) ............................................................................ - 44 - 2.3.14. Los Datos ......................................................................................................... - 45 - 2.3.15. Pilar #1 - Usuarios............................................................................................ - 45 - 2.3.16. Pilar #2 - Seguridad de Dispositivos................................................................ - 46 - 2.3.17. Pilar #3 - Red de Seguridad............................................................................. - 46 - 2.3.18. Pilar #4 - Aplicación y Seguridad de la Carga de Trabajo .............................. - 47 - 2.3.19. Pilar #5 - Orquestación de Seguridad de Automatización .............................. - 47 - 2.3.20. Pilar #6 - Visibilidad y Análisis de Seguridad Analítica ................................... - 48 - 2.3.21. Software-Defined Perimeter (SDP).................................................................. - 48 - 2.4 . MÉTODO O ESTRUCTURA DE ANÁLISIS, CRITERIOS DE VALIDEZ Y CONFIABILIDAD ............................................................................................................ - 50 - 2.4.1. Método de Análisis........................................................................................... - 50 - 2.5 . DISEÑO TEÓRICO DE LA INVESTIGACIÓN ................................................ - 52 - CAPÍTULO TERCERO.................................................................................................... - 54 - ESTRATEGIAS METODOLÓGICAS ............................................................................. - 54 - 3.1 ESTRATEGIAS METODOLÓGICAS .............................................................. - 54 - 3.2 . DEFINICIÓN DE LA HIPÓTESIS .................................................................... - 57 - 3.3 . VARIABLES..................................................................................................... - 57 - 3.3.1. Identificación y Análisis de Variables............................................................... - 58 - 3.4 . CONCEPTUALIZACIÓN DE LAS VARIABLES............................................. - 58 - 3.5 . INDICADOR ..................................................................................................... - 59 - 3.5.1. Tasa de Variación de Estudiantes ................................................................... - 59 - 3.5.2. Índice de riesgo................................................................................................ - 60 - 3.5.3. Superficie de ataque ........................................................................................ - 60 - 3.6 . OPERACIONALIZACIÓN DE VARIABLES.................................................... - 62 - 3.7 . MATRIZ DE CONSISTENCIA ......................................................................... - 65 - 3.8 . UNIVERSO Y MUESTRA ................................................................................ - 66 - 3.8.1. Universo ........................................................................................................... - 66 - 3.8.2. Muestra............................................................................................................. - 66 - CAPÍTULO CUARTO...................................................................................................... - 68 - DESARROLLO PRACTICO ........................................................................................... - 68 - 4 . ESTADO INICIAL - ACTUAL DEL CENTRO DE DATOS DE LA UNIVERSIDAD PÚBLICA DE EL ALTO .................................................................................................. - 68 - 4.1 ESTADO INICIAL – ACTUAL DEL CENTRO DE DATOS DE LA UPEA ..... - 68 - 4.2 . RIESGOS DEL CENTRO DE DATOS DE LA UNIVERSIDAD PÚBLICA DE EL ALTO ............................................................................................................................... - 75 - 4.2.1. Superficie de ataque del Centro de Datos de la UPEA................................... - 79 - 4.3 PRESENTACIÓN DEL DISEÑO PARA LA SEGURIDAD CORPORATIVA. - 80 - 4.3.1. Nivel de Acceso................................................................................................ - 82 - 4.3.2. Nivel de Distribución ........................................................................................ - 85 -
- viii - 4.3.3. Nivel Principal de Conexión A Internet (CORE O BACKBONE).................... - 87 - 4.3.4. Universidad de la CEUB (UPEA).................................................................... - 93 - 4.3.4.1. Centro de Datos .............................................................................................. - 93 - 4.3.4.2. Firewall´s ......................................................................................................... - 93 - 4.3.4.3. Núcleo de la entidad ....................................................................................... - 94 - 4.3.4.4. Distribución de edificio .................................................................................... - 94 - 4.3.5. Borde de la universidad .................................................................................. - 94 - 4.3.5.1. SDP CONTROLLER ....................................................................................... - 94 - 4.3.5.2. SDP Gateway (borde de controlador)............................................................. - 95 - 4.3.5.3. SDP cliente...................................................................................................... - 95 - 4.3.5.4. CLOUD............................................................................................................ - 95 - 4.3.6. Centro de Datos Sucursal............................................................................... - 95 - 4.3.6.1. Tele Operador ................................................................................................. - 96 - 4.4 . DEMOSTRACIÓN DE LA HIPÓTESIS ......................................................... - 96 - CAPÍTULO QUINTO ..................................................................................................... - 101 - PRESENTACIÓN DE RESULTADOS.......................................................................... - 101 - 5.1 ANÁLISIS Y PRESENTACIÓN DEL DISEÑO............................................ - 101 - 5.2 . PRESENTACIÓN DEL MODELO PRÁCTICO ........................................... - 101 - 5.2.1. Servicios instalados en el servidor (debían-DNS1)..................................... - 103 - 5.2.1.1. Bind9 (DNS) ................................................................................................. - 105 - 5.2.1.2. Ssh................................................................................................................ - 106 - 5.2.1.3. Snmp ............................................................................................................ - 109 - 5.2.1.4. Squid ............................................................................................................ - 110 - 5.2.1.5. Kerberos....................................................................................................... - 112 - 5.2.1.6. Gpg............................................................................................................... - 112 - 5.2.1.7. IPtables......................................................................................................... - 114 - 5.2.1.8. Snort ............................................................................................................. - 116 - 5.2.1.9. Mod securiy .................................................................................................. - 117 - 5.2.2. Servicios instalados en el servidor (SRV-WEB-MAIL)................................ - 118 - 5.2.2.1. Servidor WEB apache.................................................................................. - 119 - 5.2.3. Postgresql..................................................................................................... - 120 - 5.2.4. Postfix........................................................................................................... - 120 - CAPITULO SEXTO....................................................................................................... - 122 - CONCLUSIONES Y RECOMENDACIONES ............................................................... - 122 - 6.1 EPILOGO ..................................................................................................... - 122 - 6.2 CONCLUSIONES ........................................................................................ - 122 - 6.3 . RECOMENDACIONES................................................................................ - 127 - 6.4 . SUGERENCIAS PARA FUTURAS INVESTIGACIONES .......................... - 128 - BIBLIOGRAFIA............................................................................................................. - 130 - ANEXOS........................................................................................................................ - 130 - ANEXO A - INSTALACIÓN DE LOS SERVICIOS EN LA APLICACIÓN EN EL SERVIDOR CON NOMBRE.......................................................................................... - 130 - ANEXO B: PRESENTACIÓN DE LOS DATOS........................................................... - 130 - B.1. ESTRUCTURA LEGAL Y JURÍDICA......................................................... - 130 - B.1.1. Legislación Boliviana en delitos informáticos ............................................. - 120 - B.1.1.1. Constitución Política del estado Plurinacional de Bolivia .......................... - 120 - a) Ley de Código Penal Boliviano................................................................... - 120 - b) Capítulo XI, Delitos Informáticos ................................................................ - 120 - B.2. Ley N° 164 General de Telecomunicación, Tecnologías de la Información y Comunicación................................................................................................................ - 120 - B.2.3. Decreto Supremo 1793 Reglamentación de la Ley Nº 164 ....................... - 120 - B.2.4. Decreto Supremo Nº 3251 plan de Implementación de Gobierno Electrónico …………………………………………………………………………………….- 120 - GLOSARIO.........................................................................................................................161
- ix - LISTADE TABLAS Tabla 1.1 - Entidades que tienen Centro de datos por tipo de Entidad 2017 .................. - 11 - Tabla 2.1 - MODELADO DE TCP/IP .................................................................................... - 30 - Tabla 2.2 - Modelado de los modelos TCP/IP y OSI.......................................................... - 30 - Tabla 2.3 - Comparación entre la IEEE y Modelo OSI........................................................ - 31 - Tabla 3.1 - Operacionalización de Variable independiente ................................................ - 63 - Tabla 3.2 - Operacionalización de Variable dependiente ................................................... - 64 - Tabla 3.3 - Matriz de Consistencia......................................................................................... - 65 - Tabla 4.1 - Tabla de Implementación de gobierno electrónico en la UPEA................... - 74 - Tabla 4.2 – Riesgos del centro de datos para la Universidad Pública de El Alto........... - 76 - Tabla 4.3 - Servicios Web alojados en el Centro de datos de la UPEA ........................... - 79 - Tabla 4.4 - Seguridad en el nivel de acceso......................................................................... - 84 - Tabla 4.5 - Seguridad de distribución.................................................................................. - 87 - Tabla 4.6 - Seguridad de nivel de conexión a internet...................................................... - 89 - Tabla 5.1 - Servicios que se encuentran instalados en el srv-FWR................................ - 104 - Tabla 5.2 - Servicios Instalados en la maquina (SRV-WEB-MAIL)................................ - 119 -
- x - LISTA DE FIGURAS Figura 1.1 - Índice Nacional de Seguridad Cibernética (NCSI, 2020) ........................................... - 2 - Figura 1.2 - Defensa en Profundidad (Bortnik, S., 2010).............................................................. - 7 - Figura 1.3 – Árbol de problema, Elaboración propia ................................................................... - 10 - Figura 1.4 – Universidades de los departamentos La Paz, Cochabamba, Santa Cruz, (CEUB). - 14 - Figura 2.1 - Los Pilares de Zero Trust (ACT-IAC,2019) ............................................................. - 45 - Figura 2.2 – Arquitectura del SDP (Pulse Secure, 2018) ............................................................ - 49 - Figura 3.1 - Población que accede a la información (AGETIC, 2017)........................................ - 55 - Figura 3.2- Población que tuvo problemas de virus o hackeo de su cuenta (AGETIC, 2017).... - 56 - Figura 3.3 - Población universitaria que utiliza páginas web de universidades (AGETIC, 2017 - 57 - Figura 4.1 - Edificio emblemático Ubicación Av. Juan Pablo Segundo (www.upeaaldia.com) .... - 68 - Figura 4.2 - Centro de Datos de la UPEA (Elaboración Propia)................................................. - 69 - Figura 4.3 - Red LAN de la UPEA (Elaboración Propia) ............................................................. - 69 - Figura 4.4 - Red de Interconexión de la UPEA (Elaboración Propia).......................................... - 70 - Figura 4.5 - Diagrama lógico de la UPEA (Elaboración Propia) ................................................. - 70 - Figura 4.6 - Seguridad de la Red Corporativa de la Seguridad Física (Elaboración Propia)...... - 71 - Figura 4.7 - Seguridad en la Capa de Enlace (Elaboración Propia)........................................... - 71 - Figura 4.8 - Seguridad de la capa de red (Elaboración Propia) .................................................. - 72 - Figura 4.9 - Seguridad de la capa de transporte (Elaboración Propia)........................................ - 72 - Figura 4.10 - Seguridad en la capa de aplicación (Elaboración Propia)..................................... - 73 - Figura 4.11 - Diagrama de Flujo del diseño de seguridad corporativa (Elaboración propia) ....... - 82 - Figura 4.12 – Diseño de la Red Corporativa para la UPEA (Elaboración Propia) ...................... - 92 - Figura 4.13 - Diseño lógico de la red corporativa (Elaboración Propia) ..................................... - 96 - Figura 5.1 - Diseño Lógico de la Red Corporativa (Elaboración Propia)................................... - 101 - Figura 5.2 - Modelo práctico de la configuración (Elaboración Propia) ..................................... - 103 - Figura 5.3 - Llave de rndc.key (Sin seguridad), (Elaboración Propia) ....................................... - 105 - Figura 5.4 - Llave de rndc.key (Llave cifrada), (Elaboración Propia)......................................... - 106 - Figura 5.5 - Cambio de dueño del archivo rndc.key (Elaboración Propia) ..................... - 106 - Figura 5.6 - Configuración de que equipos pueden acceder por SSH, (Elaboración Propia)- 106 - Figura 5.7 - Acceso de cliente por SSH, (Elaboración Propia) ........................................ - 107 - Figura 5.8 - Creación de las llaves pública, privadas (Elaboración Propia) ................... - 108 - Figura 5.9 - Copia de la Llave Pública, (Elaboración Propia)........................................... - 108 - Figura 5.10 - Configuración de apertura de ventanas por ssh, (Elaboración Propia)... - 109 - Figura 5.11 - Configuración del SNMP, (Elaboración Propia).......................................... - 109 - Figura 5.12 - Información de recolección de información del router, (Elaboración Propia) . - 110 - Figura 5.13 - Advertencia al acceso por SQUID, (Elaboración Propia)......................... - 111 - Figura 5.14 - Configuración de bloqueo de Dominio (Elaboración Propia) .................... - 111 - Figura 5.15 - Identificación para Acceder al servicio de Internet (Elaboración Propia) - 111 - Figura 5.16 - Acceso a la página de prueba en el servidor WEB, (Elaboración Propia) - 112 - Figura 5.17 - Creación de Tiquete para acceso (Elaboracion Propia)............................ - 112 -
- xi - Figura 5.18 - Archivo cifrado (Elaboración Propia)............................................................ - 113 - Figura 5.19 - Cifrado y firmado de la un archivo (Elaboración Propia) ........................... - 113 - Figura 5.20 - Archivo encriptado (Archivo.txt.gpg) (Elaboración Propia)........................ - 113 - Figura 5.21 - Archivo cifrado y archivo original (Elaboración Propia) ............................. - 114 - Figura 5.22 - Escaneo de los puertos en el SRV-WEB (Elaboración Propia)............... - 115 - Figura 5.23 - Escaneo de los puertos debian10-DNS1 (Elaboración Propia)................ - 115 - Figura 5.24 - Configuración de Iptables (Elaboración Propia) ......................................... - 116 - Figura 5.25 - Reglas de Configuración para el IDS (Snort) (Elaboración Propia) ......... - 117 - Figura 5.26 - Alertas del IDS con los paquetes de ICM, FTP (Elaboración Propia)...... - 117 - Figura 5.27 - Inyección SQL a la página WEB (Elaboración Propia).............................. - 118 - Figura 5.28 - Respuesta del WAF (Elaboración Propia)................................................... - 118 - Figura 5.29 - Servidor WEB con protección de SSL, (Elaboración Propia).................... - 119 - Figura 5.30 - Se cambia el permiso para acceso a la SHELL (Elaboración Propia)..... - 120 - Figura 5.31 - Modelo de la Configuración Práctica (Elaboración Propia)....................... - 121 - Figura 5.32 - Maqueta de equipos virtuales (Elaboración Propia)................................... - 121 -
- xii - LISTA DE FÓRMULAS Ecuación 3.1 - Tasa de variación de estudiantes.............................................................. - 59 - Ecuación 3.2 - Índice de Riesgo .......................................................................................... - 60 - Ecuación 3.3 - Superficie Total de Ataque ......................................................................... - 61 -
- xiii - RESUMEN La presente tesis de investigación aportará de gran manera en el ámbito de la seguridad de la información, en los centros de datos de las Universidades Públicas con el uso de la Seguridad por Niveles. La inseguridad que se encuentra presente en los centros de datos de las universidades públicas en Bolivia, son datos preocupantes debido a que solo se cuenta con un solo centro de datos certificado en todas las universidades públicas del territorio boliviano, de acuerdo al estudio realizado por la AGETIC. Con la presente investigación, se mejorará la seguridad en los centros de datos como lo sugiere TIA-942 EDC (Edge data center) al considerar siete áreas para las consideraciones iniciales para la seguridad de los centro de datos perimetrales que incluyen riesgo ambiental, riesgo de protección física, riesgo de suministro de energía, riesgo de cableado de telecomunicaciones, riesgo de acceso, video vigilancia, métricas de seguridad, esto mediante la implementación y división por niveles de seguridad física, enlace, red, transporte y aplicación, todo en conformidad a la Legislación Boliviana del Estado Plurinacional de Bolivia y en su normativa: Ley N° 164, el Decreto N° 1743 y el Decreto Supremo N° 3251 las cuales regulan el uso y resguardo de la información de los usuarios haciendo uso de software libre y la implementación de la firma digital con la finalidad de que se verifique la autoría y autenticidad de un archivo o información. La forma de controlar es mediante el monitoreo a la seguridad de la información, en un centro de datos es con la implementación de la seguridad por niveles que a su vez se puede conseguir mediante la ayuda de agentes que colaboran en los niveles de red, transporte, aplicación como son los firewalls (corta fuegos), IDS y firewall de aplicaciones web. Palabras Clave: Seguridad por niveles, Niveles de seguridad, Software Libre, Monitoreo, Perímetro.
- xiv - ABSTRACT This research thesis will contribute greatly in the field of information security, in the data centers of Public Universities with the use of Security by Levels. The insecurity that is present in the data centers of public universities in Bolivia is worrying data because there is only one certified data center in all public universities in Bolivian territory, according to the study carried out by the AGETIC. With the present research, security in data centers will be improved as suggested by TIA-942 EDC (Edge data center) by considering seven areas for initial considerations for perimeter data center security including environmental risk, risk of physical protection, power supply risk, telecommunications cabling risk, access risk, video surveillance, security metrics, this through the implementation and division by levels of physical security, link, network, transport and application, all in accordance with the Bolivian Legislation of the Plurinational State of Bolivia and its regulations: Law No. 164, Decree No. 1743 and Supreme Decree No. 3251 which regulate the use and protection of user information using free software and the implementation of the digital signature in order to verify the authorship and authenticity of a file or information. The way to control is by monitoring information security, in a data center it is with the implementation of security by levels that in turn can be achieved through the help of agents that collaborate at the network, transport levels , application such as firewalls (firewalls), IDS and web application firewall. Keywords: Security by levels, Levels Security, Free Software, Monitoring, Perimeter.
- 1 - CAPÍTULO PRIMERO GENERALIDADES 1 . INTRODUCCIÓN 1.1 INTRODUCCIÓN El incremento de la información contenida en diferentes plataformas en cuanto a redes sociales, correos electrónicos, páginas web y escenarios de acceso público, etc. que aglomeran la mayor cantidad de información personal de los diferentes usuarios. Se ha vuelto un instrumento indispensable para los seres humanos, los cuales van accediendo mediante los dispositivos móviles y equipos de computación. Con la información almacenada en diferentes servidores, donde se acopian datos personales de los usuarios a los cuales se acceden por medio de cuentas de correos personales, empresariales, institucionales y aplicaciones en dispositivos móviles y equipos de computación; las cuales pueden llegar a ser las cuentas de banco, calificaciones del colegio, universidad, historial clínico o una simple fotografía y que están almacenados en discos duros o dispositivos de TI. En la actualidad se han incrementado el uso indebido y manipulación de la información esto gracias a los reportes del Centro de Gestión de Incidentes Informáticos (CGII), este tipo de incidentes informáticos se los realiza con diferentes objetivos ya sea para la obtención de algún beneficio ya sea sentimental, político, socioeconómico, etc. conociendo que el acceso ilegal de datos genera pérdida económica, prestigio, tanto de los usuarios y las instituciones. Este a su vez es ocasionado por personas mal intencionadas o los mismos usuarios al no hacer un uso correcto de sus diferentes cuentas. Los delitos informáticos a nivel mundial y local se han incrementado de manera progresiva (BID, 2020). A través del tiempo y con el uso de la información de los
- 2 - diferentes medios, métodos e ingeniería social. El uso ilegal e inapropiado de la información ha generado pérdidas en las instituciones gubernamentales y privadas. El estudio proporcionado por NCSI (NCSI, 2020) se encarga de observar y medir la preparación de los países para prevenir amenazas de ciberseguridad y la gestión de incidentes. El índice midió a 117 países y Bolivia se ubicó en el puesto 95, ocupando el último lugar de América Latina, los aspectos con menor puntuación corresponden a manejo de Ciber-Crisis 0%, protección de datos personales 0%, protección de servicios digitales 0%, desarrollo de una política de Ciberseguridad 0%, Contribución a la ciberseguridad global 17% y información y análisis de amenazas cibernéticas 20%. Figura 1.1 - Índice Nacional de Seguridad Cibernética (NCSI, 2020) Se observa que los delitos informáticos en Bolivia deben ser tomados con mayor seriedad, ya que existe un arduo y necesario trabajo que se debe realizar en el país a través de las autoridades gubernamentales.
- 3 - Por lo mismo se plantea resolver posibles riesgos, mediante el desglose de los niveles de seguridad, además garantizar la confiabilidad, integridad y disponibilidad de la información. 1.2 . ANTECEDENTES DEL PROBLEMA Dentro del ámbito académico que tocaron aspectos referentes a la seguridad de la información contenida en un centro de datos, se puede nombrar los siguientes trabajos de grado y trabajos de tesis en orden cronológico: "METODOLOGÍA PARA ESTABLECER POLÍTICAS, NORMAS Y PROCEDIMIENTOS SOBRE SEGURIDAD INFORMÁTICA EN UNIDADES DE LA ADMINISTRACIÓN PÚBLICA" presentado por (Dueñas G., 2003). El objetivo principal es el establecer políticas, normas y procedimientos sobre seguridad informática en la administración pública, basada en un proceso sistémico. "DISEÑO DEL PROCESO ADMINISTRATIVO DE LA SEGURIDAD INFORMÁTICA EN LA "EMPRESA MUNICIPAL DE SERVICIO DE CEMENTERIOS, SALAS DE VELACIÓN Y EXEQUIAS ", EMUCE - CUENCA" presentado por (Vicuña P., 2009). El objetivo principal es diseñar el proceso administrativo de la seguridad informática en la EMCE. Y mostrar los procedimientos y políticas de seguridad, controles y procedimientos que regulen los riesgos de seguridad informática en el acceso a la información. "LA GESTIÓN DEL CAMBIO TECNOLÓGICO DE LA SEGURIDAD INFORMÁTICA EN EL IPN LA DIRECCIÓN DE CÓMPUTO Y COMUNICACIONES (DCYC) COMO CASO DE ESTUDIO" presentado por (Arellano L., 2011). El objetivo principal se basa en establecer las responsabilidades de seguridad de la información en todas las áreas con la implementación de estándares internacionales, implementando controles para las diferentes tecnologías, analizando incidentes de seguridad y evaluando las vulnerabilidades.
- 4 - "SEGURIDAD POR NIVELES" de (Corletti E., 2011). El objetivo principal de este libro es el mostrar la seguridad de los diferentes niveles: físico, enlace, red, transporte y aplicación y sus medidas de seguridad con el uso de software libre o medidas que mitiguen las amenazas presentes, en la red mediante el uso de agentes o herramientas. "ANÁLISIS DE ESTRATEGIAS DE GESTIÓN DE SEGURIDAD INFORMÁTICA CON BASE EN LA METODOLOGÍA OPEN SOURCE SECURITY TESTING METHODOLOGY MANUAL (OSSTNM) PARA LA INTRANET DE UNA INSTITUCIÓN DE EDUCACIÓN SUPERIOR" presentado (Gordon R., 2017). Este trabajo tiene la finalidad de realizar la auditoria de seguridad informática a una institución de educación superior, mediante la aplicación de la metodología OSSTMM y pruebas de hacking ético estableciendo métricas para evaluar el nivel de impacto y criticidad de las vulnerabilidades encontradas, donde se verificó que existe una seguridad media. Siendo que la institución cuenta con un sistema de seguridad implementado. “METODOLOGÍA BASADA EN ESTÁNDARES DE PENTESTING PARA LA DETECCIÓN DE VULNERABILIDADES PARA LA DIRECCIÓN NACIONAL DE INFORMÁTICA DE LA EMI” presentado por (Gutierrez Q., 2018), este trabajo que realizo fue mediante el diseño de una metodología basada en estándares internacionales para detectar las vulnerabilidades y así cuantificar los impactos para incrementar los niveles de seguridad informática dentro de la Dirección Nacional de Informática de la Escuela Militar de Ingeniería. Desde la creación de las redes de comunicación como en sus principios fueron el ARPANET y posteriormente el DARPA, que fueron los inicios del Internet. La organización Internacional de estandarización (ISO) estructuro el modelo conocido como OSI considerando los protocolos de transmisión del ya anteriormente modelo de DARPA y dividiéndolo en capa de aplicación, transporte, red, fisica.
- 5 - Con el inicio de las redes de conexión como el internet, que funciona mediante múltiples protocolos que a su vez nos brindan innumerables ventajas, así también nos permite el control y monitoreo haciendo uso de diferentes herramientas, que permiten saber el estado de la red y el tráfico de datos: flujo de protocolos, estabilidad del enlace, puntos de saturación y consumo externo e interno de la red. Según (Viveros S., 2015) asevera: “La defensa en profundidad permite aislar y/o dividir en capas la infraestructura de red con el fin de proporcionar mayor dificultad de acceso no autorizado a la información a través de los recursos que la transporta y almacena” (p.1). La defensa en profundidad incorpora la necesidad de hacer una división del manejo de toda la red, disgregar los servicios por los cuales transitan tanto de ingreso hacia el centro de datos y los de afuera. Así mismo, (Vicuña P., 2009) afirma: “Es por la existencia de un número de importante de amenazas y riesgos, que la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración de riesgos”. (p.29). El autor. (Chancusig, 2015), Afirma: “…los servicios tecnológicos que la institución presta a toda la comunidad universitaria, no se le tomado con la responsabilidad del caso al crecimiento de la infraestructura tecnológica tanto física como lógica y esto ha derivado en la perdida de información, ataques externos e incluso el robo de la información, todo esto por no contar con un Esquema de seguridad
- 6 - Perimetral y Control de Incidencias pues la red es vulnerable a los diferentes tipos de ataques informáticos que existen en el exterior de la misma”. (p.2). En el trabajo de Detección de Botnets del autor (Devincenzi, 2009) muestra al IDS (Snort) como un sistema para la detección de intrusos, la misma que funciona para el monitoreo de los eventos que están sucediendo en la red. Entendiendo la importancia de la información almacenada en los centros de datos de cada institución como bien a resguardar, se tiene como medida el reducir las amenazas mediante el uso de niveles de seguridad, esto para que deba atravesar el atacante informático antes de llegar a su objetivo, la medida prevé el uso autorización y posterior a eso teniendo que autenticarse antes de entrar a cada nivel hasta llegar a los datos. En el caso que se aborda, se considera a la información que se encuentra en el centro de datos de las universidades del sistema de universidades públicas de Bolivia, los cuales son vulnerables a las amenazas que llevan a perder la confiabilidad y credibilidad de cada institución en el posible caso de ser afectado. La seguridad por niveles adopta los modelos referenciales OSI y TCP los marcos que delimitan para la interconexión de sistemas de comunicación, es necesario tener en cuenta que toda implementación del nivel de seguridad es acorde al análisis de riesgos y su estudio de costo beneficio al implementar contramedidas. La Seguridad por Niveles es el planteamiento de los conocimientos del funcionamiento de las capas del modelo de Defensa en profundidad como lo muestra (Bortnik, S., 2010) en la Figura 1.1.
- 7 - Figura 1.2 - Defensa en Profundidad (Bortnik, S., 2010). Para la figura 1.2 se aprecia la defensa en profundidad que consta del núcleo donde se encuentra los datos es la parte a la que se tiene que resguardar debido a que es vulnerable, la defensa de aplicación es la seguridad en las aplicaciones donde se procura mantener protección de acceso y ejecución de dicho software, defensa de equipo es una evaluación constante del entorno y crear directivas que limiten las tareas a las que se tienen autorizadas, defensa red interna es la examinación del tráfico permitido en las redes existentes y bloquear el que no es necesario, defensa del perímetro lógico es el más importante para defender los ataques externos este se encarga de evaluar todo el tráfico a permitir y auditar con el fin de detectar intrusos y evitar ataques adicionalmente el acceso remoto a la red interna previo, requisitos de seguridad, defensa del perímetro físico es la parte que limita el acceso y manipulación de los equipos donde se almacenan la información, controles administrativos es la presentación de políticas de seguridad a los usuarios de la información y los que consultan al sistema. La seguridad en profundidad como se muestra en la figura 1.1 es la integración de elementos y sistemas, ya sean electrónicos o mecánicos, que su único propósito es
- 8 - el de ofrecer protección de perímetro y detectar tentativas de intrusiones en las instalaciones sensibles de ser atacadas por intrusos. La idea de este modelo es estrechamente sencilla, es el proteger a un activo de la organización con más de una medida de seguridad, así que se presenta varias capas donde es posible aplicar diversos controles, con lo que dos capas de seguridad presentaran más seguridad que una sola capa. 1.3 PLANTEAMIENTO DEL PROBLEMA En los últimos años se ha visto, que una organización boliviana está siendo atacada en promedio 1417 veces por semanas en los últimos 6 meses (ODIB, 2020), por lo anterior mencionado muchas universidades se han visto enfrentados a delitos informáticos por personas ajenas o trabajadores de la misma institución, los cuales acceden a la información de forma no autorizada, destruyendo, eliminando, modificando y distribuyéndola de manera inapropiada a personas externas para beneficio personal. La carencia de sistemas de seguridad en instituciones se ha visto vulnerable a pérdidas o manipulación inapropiada, esto debido a que no se cuenta con los controles necesarios y no se tiene personal capacitado para la administración y control de los sistemas que restrinjan y monitoreen las actividades de los usuarios. La restricción que se le hace al usuario, control de sistemas de monitoreo son respuestas que plantean las leyes que defienden a la información, el desconocimiento y la falta de aplicabilidad de normas y estándares internacionales ayudan a la pérdida o fuga de datos, ya que no toda institución le brinda la importancia necesaria al aspecto de seguridad, en su gran mayoría los establecimientos no ponen eficacia a la adquisición de equipos adecuados de comunicación, insumos, capacitación de personal y así mismos a la infraestructura para el adecuado almacenamiento de la información.
- 9 - Al referirnos de una infraestructura donde se almacena la información es inevitable preguntar si tienen medidas que garanticen la integridad, confidencialidad y disponibilidad de la misma, se podría interpretar que debe existir un muro que aleja al centro de datos de la parte externa, sin embargo, si usamos la seguridad en profundidad que es simplemente colocar una capa (muro) y después otra antes de llegar a la información, se evidencia que aumenta la dificultad para que accedan a los datos. 1.4 IDENTIFICACIÓN DEL PROBLEMA En el entendido que los datos almacenados en una entidad es importante y que a su vez llegan a ser la información con el cual se genera o realiza algún tipo de trámite o consulta, este mismo llega a ser el activo a resguardar en una institución ya sea pública o privada, se evidencia según el Observatorio de Delitos Informáticos (ODIB, 2020), se ve comprometido a posibles ataques o vulnerabilidades presentes en el centro de almacenamiento de los datos, posteriormente se presenta el árbol de problema que ayudará a clarificar las ideas y comprender el problema de manera global como se muestra en la figura 1.2.
- 10 - Figura 1.3 – Árbol de problema, Elaboración propia Según el árbol de problemas que muestra, como problema principal la inseguridad de la información que a su vez ocasiona la carencia de políticas de seguridad necesarias en una institución en (CTIC, 2017) el cual entrega los lineamientos para la implementación de las políticas de seguridad. Hasta antes de esta publicación no se tenía un lineamiento que se responda a la seguridad de la información en cada entidad. Con la publicación “Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de la Información de las entidades del sector público” (CTIC, 2017) se evidenció la carencia de profesionales aptos para el manejo de incidentes concernientes a la seguridad. Según el estudio realizado por la AGETIC en el año 2014 se evidencia aún más la poca importancia que se tenía en cuanto al resguardo de la información. En la publicación ESTADO TIC (Estado de las Tecnologías de la Información y Comunicación en el Estado Plurinacional de Bolivia) de la AGETIC (Agencia de
- 11 - Gobierno Electrónico y Tecnologías de la Información y Comunicación), mismo que muestra en la Tabla N.º 1.1, la cantidad de entidades que tienen centro de datos por tipo de entidad, se observa que a nivel nacional solo una Universidad Pública cuenta con un centro de datos, cabe aclarar que para ser reconocido como un data center debe ser certificado con la ANSI/TIA-942-A1 (c3comunicaciones.es, 2014). Tabla 1.1 - Entidades que tienen Centro de datos por tipo de Entidad 2017 Fuente. (AGETIC, 2018) Es evidente que según el estudio realizado por la AGETIC no se tiene una totalidad de universidades públicas que cuenten con un centro de datos adecuado y normado o certificado, por lo que la información contenida en el mismo se pondría a un nivel muy vulnerable a pérdidas o ataques por personas inescrupulosas. Con la necesidad de resguardar los datos se plantea la presente investigación muestra la inseguridad que se encuentra presente en los centros de datos de las 1 Data Center: El Estándar TIA 942 Data Center: El Estándar TIA 942 83173 Concebido como una guía para los diseñadores e instaladores de centros de datos (Data Centers), el estándar TIA942 (2005) proporciona una serie de recomendaciones y directrices (guidelines) para la instalación de sus infraestructuras. El estándar TIA942 probado en 2005 por ANSI-TIA (American National Standards Institute – Telecomunications Industry Association), clasifica a este tipo de centros en varios grupos, llamados TIER, indicando así su nivel de fiabilidad en función del nivel de disponibilidad.
- 12 - universidades públicas en Bolivia, como se observa en los datos presentados, estas estadísticas son preocupantes debido a que solo se cuenta con un solo centro de datos certificado en todas las universidades públicas del Estado Plurinacional de Bolivia, de acuerdo al estudio realizado por la AGETIC. Dentro de las Universidades Públicas se presentan falencias en cuanto a la implementación de un centro de datos acorde a la normativa que establece la legislación boliviana: El inciso d) del Artículo 4 (Principios), parágrafo II, del Decreto Supremo N° 1793 de 13 de noviembre de 2013, que señala que: “Se debe implementar los controles técnicos y administrativos que se requieran para preservar la confidencialidad, integridad, disponibilidad, autenticidad, no repudio y confiabilidad de la información, brindando seguridad a los registros, evitando su falsificación, extravío, utilización y acceso no autorizado o fraudulento”, El Artículo 8 (Plan de contingencia) del Decreto Supremo N° 1793, de 13 de noviembre de 2013, que menciona que: “Las entidades públicas promoverán la seguridad informática para la protección de datos en sus sistemas informáticos, a través de planes de contingencia desarrollados e implementados en cada entidad”, esto es concerniente a Bolivia así también se debe cumplir estándares internacionales, debido a que la información almacenada en cada universidad es de vital importancia ya sea para los universitarios, como para la casa superior de estudios. La falta de importancia por parte de los administradores de las universidades, con respecto a la seguridad y resguardo de la información es preocupante, debido a que no se cuenta con políticas de seguridad ni medidas que resguarden la información de cada entidad, ya que se ven afectados por mala manipulación, fuga de información delicada por personas inescrupulosas que hacen uso de la misma con fines personales. Según la presentación de la tabla 1.1 de centro de datos en universidades públicas se evidencia que solo una universidad tiene un centro de dato reconocido, con este dato se realiza dos cuestionarios de seguridad de la información a las universidades de la ciudad de La Paz y El Alto que son públicas, donde los cuestionarios presentaron los siguientes resultados para la Universidad Mayor de San Andrés
- 13 - cuenta con 21 respuestas que contemplan medidas apelativas en cuanto a la seguridad de la información, en la Universidad Pública de El Alto contempla 8 respuestas que favorecen a la seguridad de la información. Tabla 1.2 – Relevamiento de cuestionario a Universidades de La Paz CUESTIONARIO UMSA – ITIC UPEA – SIE 27 Preguntas 21 repuestas favorables 8 respuestas favorables Fuente. Elaboración propia Se tiene como universo a las 11 universidades públicas que se encuentran dentro la CEUB (Comité Ejecutivo de la Universidad Boliviana), según la publicación de la (AGETIC, 2018) donde presenta a una sola universidad con un centro de datos reconocido. Tabla 1.3 - Universidades y cantidad de estudiantes por Gestión GESTION UMSFXCH UMSA UMSS UATF UTO UAGRM UAJMS UABJB UNSXX UAP UPEA UCB EMI UNIPOL 2001 22979 59924 35801 10966 14745 31933 11307 5273 4077 902 4541 13436 1288 0 2002 24257 62854 45531 12135 16234 33248 11786 7207 4396 1040 6581 13031 1526 0 2003 25846 65426 49486 12919 16998 37498 12829 7660 4590 943 7673 12403 1585 0 2004 26480 68311 50943 13761 17125 39853 13503 7845 4742 933 8829 11969 1362 0 2005 27089 69481 52801 14594 17806 44116 14291 10538 4754 1012 10533 12857 1564 0 2006 28505 71490 52959 15054 18964 47708 14761 10693 5044 1288 11392 12706 1716 0 2007 31029 71642 55098 14286 19635 54310 15383 11987 6211 1779 12248 12538 2025 0 2008 33695 73109 57166 14971 20016 62334 16782 12226 6015 2077 13800 13104 2241 0 2009 36058 74044 56046 15684 20401 69322 17181 12877 4745 2226 16197 12928 2377 0 2010 39227 74838 56643 16742 21129 70176 17769 13672 4004 2283 18431 13751 2805 0 2011 42102 75503 62270 17294 22048 70755 18193 13658 3657 2374 21875 12697 2805 0 2012 43863 76745 64676 18748 22779 76842 19413 13613 9266 3546 25068 15018 5287 1145 2013 45995 77202 65834 19938 23209 80955 20064 15378 8840 4090 30938 15213 5843 3012 2014 48859 77457 68582 20596 23523 78941 21961 18323 7654 5095 32102 15294 5961 3150 2015 50052 78219 68983 21180 24377 79921 23191 19098 7648 5884 38693 15921 6380 3552 2016 51277 78228 78770 22304 25662 84619 23783 19607 7754 7565 42343 15868 5988 3954 Fuente. (CEUB, 2017) En el presente trabajo se muestra la inseguridad que se encuentra presente en los centros de datos de las universidades públicas en Bolivia, como se observa en los datos presentados, estas estadísticas son preocupantes debido a que solo se
- 14 - cuenta con un solo centro de datos certificado en todas las universidades públicas del estado plurinacional de Bolivia, de acuerdo al estudio realizado por la AGETIC, una comparación en la figura 1.3 donde se concentra la mayor cantidad de estudiantes de las principales universidades en el eje troncal de Bolivia tenemos los siguientes resultados la UAGRM cuenta con 84.619 estudiantes, UMSS cuenta con 78.770 estudiantes, UMSA cuenta con 78.228 estudiantes y la UPEA cuenta con 42.343 estudiantes con lo expuesto con anterioridad se expuso la figura comparativa a continuación. Figura 1.4 – Universidades de los departamentos La Paz, Cochabamba, Santa Cruz, (CEUB) Hoy en día se han incrementado el uso indebido y manipulación de la información (ODIB, 2020), esta acción como tal, llega a generar pérdidas monetarias a la institución o al usuario perdiendo la credibilidad y la integridad en cuanto a la información. La presencia de amenazas a la información almacenada en una casa superior de estudios, es latente en cada institución, con la presente investigación, se plantea resolver posibles riesgos y amenazas presentes en la seguridad de la información y su almacenamiento de datos y resguardo de los mismos, mediante el desglose de niveles de seguridad que está conformado por el nivel físico este prevé aspectos a la comunicación, ingreso, planos eléctricos, cableado, ventilación etc., enlace que 0 10000 20000 30000 40000 50000 60000 70000 80000 90000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 UMSA UMSS UAGRM UPEA
- 15 - abarca otros como la ubicación de rack, análisis de topología de la red, control de direcciones de hardware, configuraciones de switch, análisis de tráfico unicast y multicast, etc., nivel de red es el encargado de las tareas de direccionar, control de contraseñas, configuraciones del router, ayudaran a colocar barreras para el atacante, nivel de transporte este se encarga de establecer y cerrar sesiones cerrar puertos, control de puertos UDP, nivel de aplicación control de servidores web, FTP, proxy, vigilando los flujos de datos y establecimiento de sesiones, control de acceso de remoto, firewall, DNS, estas recomendaciones de protección son por los cuales debe atravesar el atacante informático teniendo que autenticarse antes de entrar a cada nivel hasta llegar a los datos. Además, garantizar la confiabilidad, integridad y disponibilidad de la información de los centros de datos. 1.4.1. Formulación del Problema ¿Cuál es la influencia del desarrollo de un Sistema de Seguridad por Niveles en las redes informáticas Corporativas del Sistema Universitario de Bolivia? 1.5 . OBJETIVOS DE LA INVESTIGACIÓN 1.5.1. Objetivo General Diseñar el sistema de seguridad por Niveles para las redes informáticas corporativas, en Universidades Públicas y los Centros de datos del Sistema de Universidades de Bolivia de acuerdo a la interoperabilidad2 y sujeto a la ley N° 0164, Decreto Supremo N° 1793 y el Decreto supremo 3251. 2 La interoperabilidad es la capacidad de dos o más sistemas o componentes para intercambiar información y usar la información que se ha intercambiado.
- 16 - 1.5.2. Objetivos Específicos  Analizar los requerimientos para la seguridad por niveles en el sistema universitario de Bolivia en conformidad a la ley 164, D.S. 1793, D.S. 3251 y D.S. 2524.  Definir las especificaciones y lineamientos de recursos, analizando su estado actual de la Universidad, que respondan a la ley 164, D.S. 1793, D.S. 3251 D.S. 2524.  Realizar el diseño de seguridad para las redes informáticas corporativas de la Universidad.  Seleccionar la tecnología que responda al requerimiento del sistema de seguridad informática corporativa y la normativa vigente.  Presentar la implementación de un prototipo que respondan a la seguridad de la red informática corporativa. 1.6 . JUSTIFICACIÓN 1.6.1. Justificación Teórica La presente investigación se realiza con el propósito de brindar seguridad por niveles en los centros de datos de las universidades públicas, este a su vez está formada por las sapiencias desarrolladas por el autor Alejandro Corletti Estrada que publica el libro “Seguridad por Niveles” que a su vez está dividido en dos partes: la Primera parte consta de conceptos y protocolos por nivel físico, enlace, red, transporte y aplicación donde se detalla de manera más específica su función que realiza, conceptos importantes, herramientas a usar, y estándares de comunicación, La Segunda parte trata de las recomendaciones de seguridad por niveles desde el nivel físico, enlace, red, transporte, aplicación este fue publicado con el nombre “Seguridad por Niveles”, su finalidad es de profundizar la seguridad de la información, presentándolo desde el modelo TCP/IP. Y así aportar al conocimiento de la protección perimetral en los servidores con el criterio de “no confiar en nadie”
- 17 - (Zero trust) con este criterio se pretende proteger todo acceso a los niveles de información antes de acceder a los datos. 1.6.2. Justificación Legal El Parágrafo I del Artículo 72 de la Ley N° 164 de 28 de julio de 2011, Ley General de Telecomunicaciones, que establece que: “El Estado en todos sus niveles, fomentará el acceso, uso y apropiación social de las tecnologías de información y comunicación, el despliegue y uso de infraestructura, el desarrollo de contenidos y aplicaciones, la protección de las usuarias y usuarios, la seguridad informática y de redes, como mecanismos de democratización de oportunidades para todos los sectores de la sociedad y especialmente para aquellos con menores ingresos y con necesidades especiales”. El inciso d) del Artículo 4 (Principios), parágrafo II, del Decreto Supremo N° 1793 de 13 de noviembre de 2013, que señala que: “Se debe implementar los controles técnicos y administrativos que se requieran para preservar la confidencialidad, integridad, disponibilidad, autenticidad, no repudio y confiabilidad de la información, brindando seguridad a los registros, evitando su falsificación, extravío, utilización y acceso no autorizado o fraudulento”. El Artículo 8 (Plan de contingencia) del Decreto Supremo N° 1793, de 13 de noviembre de 2013, que menciona que: “Las entidades públicas promoverán la seguridad informática para la protección de datos en sus sistemas informáticos, a través de planes de contingencia desarrollados e implementados en cada entidad”. El Decreto Supremo N° 2514 de 9 de septiembre de 2015, en los siguientes artículos, incisos o disposiciones transitorias: Inciso, i) del Artículo 7, que establece entre las funciones de la AGETIC, “Elaborar, proponer, promover, gestionar, articular y actualizar el Plan de Implementación de Gobierno Electrónico y el Plan de Implementación de Software Libre y Estándares Abiertos para las entidades del
- 18 - sector público; y otros planes relacionados con el ámbito de gobierno electrónico y seguridad informática” Parágrafo I del Artículo 8, de creación del “Centro de Gestión de Incidentes Informáticos – CGII como parte de la estructura técnico operativa de la AGETIC”. Inciso c) del Parágrafo II del Artículo 8, que menciona como una de las funciones del Centro de Gestión de Incidentes Informáticos – CGII, “Establecer los lineamientos para la elaboración de Planes de Seguridad de Información de las entidades del sector público”. Parágrafo III del Artículo 17, que establece que “Las entidades del sector público deberán desarrollar el Plan Institucional de Seguridad de la Información acorde a los lineamientos establecidos por el CGII”. 1.6.3. Justificación Social La información que se tiene almacenada en los centros de datos de las Universidades Públicas en particular contienen una gran cantidad de información, en consecuencia, es muy importante resguardar la información personal de universitarios, docentes y administrativos. En cuanto a la información de la Universidad sea confiable, la institución mantendrá el prestigio ante la población y confianza con las personas que estudian y trabajan en la misma, así que cada universidad debe velar la integridad, disponibilidad de datos. 1.6.4. Justificación Técnica Para empezar el incremento anual de estudiantes nuevos que ingresan a las diferentes Universidades Públicas y el crecimiento vegetativo de los mismos va en constante aumento como lo refleja la tabla 1.3, con respecto a la necesidad de resguardar mayor cantidad bits en el centro de almacenamiento esto con referencia a los datos que se ingresan al sistema académico de cada casa superior de estudios, en consecuencia de se sugiere la mejora continua de las medidas de
- 19 - seguridad y controles para evitar pérdidas en los datos acumulados en los centros de datos. 1.6.5. Justificación Subjetiva La seguridad de la información es de vital importancia, porque con ello se resguarda la base de datos que sirve para el manejo adecuado de una institución, especialmente cuando se trata de una Universidad Pública, además que su razón de ser es el formar profesionales competentes ante la sociedad, esto se logra con un seguimiento académico de cada uno de los universitarios hasta antes de su titulación; conociendo este aspecto no se puede dejar a la deriva la información de cada uno de los ellos, ya que dicha información se debe manipular de manera confidencial. 1.7 . ALCANCES Con el presente documento se aborda la Seguridad por Niveles (Corletti E., 2011) en Redes Informáticas corporativas que a su vez cuentan con un centro de almacenamiento de datos, este puede o no estar en ambientes que cumplan estándares internacionales de calidad, así mismo según la norma nacional donde se prevé los aspectos relacionados con la seguridad e integridad de información según lo establece la ley 164, D.S. 1793, D.S. 3251, D.S. 2524, como lo establece con mayor claridad el Artículo 8 (Plan de contingencia) del Decreto Supremo N° 1793, de 13 de noviembre de 2013, que menciona que: “Las entidades públicas promoverán la seguridad informática para la protección de datos en sus sistemas informáticos, a través de planes de contingencia desarrollados e implementados en cada entidad”. Para empezar el presente trabajo de investigación se tiene como universo a las universidades públicas y estas a su vez forman parte del Comité Ejecutivo de la Universidad Boliviana (CEUB), que a su vez suman un total de 11 casas de estudio
- 20 - superior que están dispersas por el territorio de Bolivia, para seleccionar la muestra debemos empezar por definir la unidad de análisis, que no es otra cosa, sino dónde y con quién se realizará la recolección de los datos, para el universo se observa solo a universidades públicas que son 11 de estas son, la UMSA y la UPEA se encuentran en el departamento de La Paz, la UTO que se encuentra en el departamento de Oruro, la UABJB de Trinidad, la USFX de Sucre, la UMSS de Cochabamba, la UAP de Pando, la UAGRM de Santa Cruz, la UATF y UNXX de Potosí, la UAJMS de Tarija, al observar el universo amplio se debe elegir una muestra del tipo de probabilístico o no probabilístico. Según la proyección del Instituto de estadística de Bolivia INE los departamentos con mayor cantidad de población hasta el año 2020 se tiene en La Paz con 2.926.996, Cochabamba con 2.028.639, Santa Cruz con 3.370.059 habitantes. En cuanto a la muestra es no probabilística, y se realiza a través de procesos donde se elige a un determinado elemento que sea realizable para el modelado del sistema de seguridad informática corporativa, haciendo notar que el departamento de La Paz es seleccionado debido a que es el segundo departamento con más población y también tiene dos universidades donde aglutina a la mayor cantidad de universitarios, de las dos universidades que se encuentran en el departamento de La Paz son la UMSA, UPEA y una de ellas presenta un mayor número de respuestas negativas al cuestionario de seguridad de la información que se realizó a la Universidad Mayor de San Andrés y la Universidad Pública de El Alto esta última es la que no presenta los conocimientos necesarios para responder satisfactoriamente el cuestionario, así mismo esta casa superior es la más joven a comparación de las otras once universidades públicas, que a su vez percibe dinero del TGN, Coparticipación y IDH que son destinados para su funcionamiento, en consecuencia por su particularidad y juventud presenta diferentes conflictos que no siempre son respondidos o resueltos de manera oportuna o coherente y esto presenta riesgo en sus asistentes, infraestructura y bienes materiales por lo que puede perderse información de vital importancia para la misma institución.
- 21 - Con respecto a la protección de la información almacenada en el centro de datos de la Universidad Pública de El Alto, es el tema de estudio para el presente trabajo de investigación, el cual tiene como objetivo mejorar las medidas defensivas con la división por niveles de seguridad. De modo que con el análisis de riesgos del Data center se prevé brindar un diseño que responda las vulnerabilidades que se tiene, mediante el diseño del modelado, la implementación de la defensa en profundidad y seguridad por niveles para los centros de procesamiento datos. 1.7.1. Área de Investigación 1.7.2. Seguridad El área de investigación del presente trabajo, es la seguridad informática corporativa que a su vez se relaciona estrechamente con los centros de procesamientos de datos, pero para este caso es la Universidad Pública de El Alto. La seguridad es la ausencia del peligro o riesgo, esto ayuda a brindar un conjunto de medidas preventivas y reactivas de organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información con la finalidad de mantener la confidencialidad, disponibilidad e integridad. Según (Erb, 2008) la seguridad informática se refiere a las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad. 1.7.2.1. Seguridad de la Información La seguridad informática consiste en asegurar los recursos del sistema de información de una organización mediante, el control de acceso a la información contenida en el centro de datos, la modificación solo será posible por las personas que se encuentren acreditadas dentro de los límites de su autorización (Viveros S., 2015).
- 22 - Para el análisis en la seguridad de la información se debe identificar las vulnerabilidades, ya que estos pasan a ser riesgos potenciales que presentan los centros datos ante sucesos, actividades internas o externas. La gestión de riesgo en la seguridad de la información es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlar incidentes. En esta investigación se pretende mostrar los diferentes riesgos, al no contemplar con una correcta implementación de las políticas (CTIC, 2017), así como lo establecen la Ley General de Telecomunicaciones Tecnologías de Información Nº 164 y los Decretos Supremos 1793 del 13 de noviembre del 203 y el Decreto Supremo 3251 del 12 de julio 2017 de la seguridad en las tecnologías de la información. 1.8 . TEMA ESPECÍFICO Los niveles de seguridad es el estándar más utilizando internacionalmente es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo, estos niveles han sido desarrollados por estándares europeos (ITSEC/ITSEM) y con posterioridad internacionalmente con la (ISO/IEC). 1.9 . NIVEL DE INVESTIGACIÓN El nivel de investigación es aplicado al presente trabajo, ya que requiere realizar tareas por medio de la programación en los diferentes niveles de seguridad, que
- 23 - mitiguen los riesgos de pérdidas de datos o mala manipulación de los mismos por la ruptura del servicio con los usuarios. 1.9.1. Alcance Espacial El sistema de seguridad por niveles se realizará basándose en la formulación del modelo, el mismo sugiere los aspectos y el desarrollo para la implementación de los centros de datos en las universidades públicas que formen parte de la CEUB. Para el estudio de caso se consideró como muestra a la Universidad Pública de El Alto, que se encuentra ubicada en la ciudad de El Alto, Zona Villa Esperanza S/N entre la Av. Sucre “A” y “B”. 1.9.2. Alcance Temporal La presente investigación se desarrolló en el segundo semestre de la gestión 2018 y la gestión 2019 concluyendo en el primer trimestre de la gestión 2021. El presente trabajo de investigación tiene como vigencia de máximo dos años y un mínimo de 1 año dependiendo de los siguientes aspectos que se deben considerar:  Crecimiento de los datos y el modo de almacenarlos de forma local o en la nube.  Actualizaciones de versiones en los softwares de control o administración del sistema de seguridad por niveles.  Cambio de equipos o personal asignado en tareas de administración y control y monitoreo del sistema de seguridad por niveles.  Actualización constate del personal encargado en cursos que formen nuevos y mejores conocimientos de una seguridad por niveles.  Uso inadecuado del sistema o negligencias de los usuarios o administradores.
- 24 - CAPÍTULO SEGUNDO ESTADO DEL ARTE 2 . FUNDAMENTOS TEÓRICOS GENERALES 2.1 . FUNDAMENTOS TEÓRICOS GENERALES Para empezar, se debe hablar de la CEUB que es el organismo de programación, coordinación y ejecución de las Universidades Públicas y Universidades de Convenio, sus principales funciones es representar al sistema nacional de universidades de Bolivia a nivel nacional. Al mismo tiempo se debe hablar del estudio realizado por la AGETIC – ESTADO TIC a los centros de las Universidades Públicas en cuanto al resguardo de la información. Por lo que refiere a la publicación de la AGETIC – ESTADO TIC, nos muestra una cifra muy preocupante de universidades públicas que no cuentan con un adecuado manejo del centro de datos, donde se puedan almacenar de manera adecuada la información. En la actualidad la seguridad es un elemento primordial en los sistemas informáticos según lo establece la PISI3 , preservar la información en su integridad es de vital importancia para las universidades, ya que puede generar pérdidas económicas, credibilidad y de tiempo. En particular tomando en cuenta que el acceso al sistema por un usuario no autorizado podría conllevar a varios percances dentro de la institución por lo contrario los afectados suman con respecto a la cantidad de estudiantes que ingresan a las universidades. Acerca de los datos obtenidos en el texto Estadística UPEA, 2016 muestra un incremento en la población universitaria en los departamentos de La Paz, Cochabamba y Santa Cruz los cuales forman el eje troncal del País y donde existe la mayor cantidad de población con relación a otros departamentos. 3 PISI (Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de la Información de las entidades del sector público) : tiene como objetivo establecer los lineamientos para que las entidades del sector público del Estado Plurinacional de Bolivia puedan elaborar e implementar sus Planes Institucionales de Seguridad de la Información, en concordancia con la normativa vigente.
- 25 - En relación con los distintos ataques a sistemas informáticos, perpetrados a entidades estatales, privadas por parte de los hackers, cracker y lamers que son realizadas con la finalidad de obtener algún beneficio o simplemente al superar los sistemas de seguridad, este tipo de ataques son noticia en las portadas de diarios y periódicos digitales, dado que según los reportes (ODIB, 2020) que nos muestra la cantidad de vulnerabilidades que se encuentran expuestos los sistemas de seguridad. Por ejemplo, la pérdida de información o la mala manipulación de un agente externo ajeno a la entidad son amenazas con las que se cuenta en la actualidad. Al respecto, el autor (Mieres, 2009) en el libro titulado “ATAQUES INFORMÁTICOS Y DEBILIDADES DE SEGURIDAD COMÚNMENTE EXPLOTADOS” describe los distintos ataques y vulnerabilidades que se encuentran presentes en los sistemas de producción y que se convierten en riesgos para posteriormente ser explotados por terceras personas. El autor concluye recomendando que si no conoces las maneras en las que un atacante puede perpetrar un sistema, entonces eres parte del problema y no así la solución. Así el autor de la tesis de la Maestría en Seguridad Informática de la Universidad de Buenos Aires Facultad de Ciencias Económicas Exactas y Naturales e Ingeniería (Devincenzi, 2009) en su trabajo titulado “TÉCNICAS Y HERRAMIENTAS FORENSES PARA LA DETECCIÓN DE BOTNETS” elabora una metodología integral para la detección de botnet en la red, mediante el análisis de tráfico en saliente y entrante a un host haciendo uso de herramientas que coadyuvan a dicho trabajo. Para ello emplea herramientas como ser: Snort que es una herramienta que monitorea el tráfico de la red. En el caso de la publicación titulada “DEFENSA EN PROFUNDIDAD PARA PROTEGER LA INFORMACIÓN DE LA RED CORPORATIVA” realizada por (Viveros S., 2015) donde analiza la importancia de aislar en capas la infraestructura
- 26 - de red con el fin de proporcionar mayor dificultad de acceso no autorizado a la información, para ello plantea aplicar controles de seguridad para proteger los datos en diferentes capas, esto con la finalidad de que el atacante tenga que superar varias medidas de seguridad antes de llegar a su objetivo. En particular los autores de la Tesis de Especialización titulada “DISEÑO DE UN SISTEMA DE SEGURIDAD PERIMETRAL E INTERNA PARA LA EMPRESA AMERICAS BUSNESS PROCESS SERVICE” (Camacho Contreras & Lopez Rodriguez, 2017), en su trabajo realizado, el diseño que mitigue los riesgos asociados a la infraestructura crítica de la compañía, donde plantea una plataforma de seguridad robusta, escalable, y de alto rendimiento con los últimos estándares de seguridad. En la parte conclusiva de su trabajo sugiere pautas para el correcto diseño de la red que garantice la seguridad e integridad de todos los activos tecnológicos de la compañía, mitigando los riesgos, así también un correcto monitoreo del tráfico y retención de logs. A saber en el libro titulado “SEGURIDAD POR NIVELES” del autor (Corletti E., 2011), se plante la importancia del conocimiento de manera específica y disgregada del modelo TCP/IP su funcionamiento y los diferentes protocolos que hacen uso cada uno de ellos, esto basándose en el nivel físico, red, transporte, acceso y aplicación, al mismo tiempo el libro presenta de manera fácil y esquemática cada uno de los niveles donde muestra las ventajas y desventajas y las medidas a considerar a posibles fallas y posteriores contramedidas para la solución de dichos acontecimientos. Por ejemplo en el libro publicado “CRITERIOS DE EVALUACIÓN DEL SISTEMA DE CÓMPUTO DE DEFENSA, DEL DEPARTAMENTO DE DEFENSA DE ESTADOS UNIDOS” (Latham, 1985) que fue elaborado por el departamento de defensa de Estados Unidos, muestra diferentes formas y criterios que se divide en los niveles de protección mínima que sería la “D” y máxima protección “A”, así
- 27 - mismo establece subdivisiones intermedias donde muestra el cómo dar contramedidas a posibles contingencias o riesgos que se presentan. En cuanto al presente trabajo de investigación pretende mejorar los niveles de seguridad en las Universidades Públicas con base a la legislación boliviana y su marco normativo, con lineamientos por niveles de seguridad donde se proporcionará desde el nivel bajo “D” hasta el más alto el nivel “A”, se tomará el modelo TCP/IP que se contempla en el libro de seguridad por niveles. 2.2 . FUNDAMENTOS TEÓRICOS ESPECÍFICOS 2.2.1. Seguridad Informática Según el autor (Gutierrez, 2012) señala que, al momento de buscar los mejores estándares de seguridad de la información, existen varias alrededor de las normas ISO 27000, mismo que reúne los lineamientos de gestión de seguridad de la información: “…la seguridad informática como cualquier medida que implica la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan con llevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema” En otras palabras según el estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995, se define a la seguridad de la información como la preservación de su confidencialidad, su integridad y su disponibilidad, así también la ISO 7498 que fue publicado el 1983 más conocido como el modelo OSI (en inglés Open System Interconnetion) que es un referente para los protocolos de red, define la seguridad informática como “una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización”, así también se puede decir que la seguridad de la información son
- 28 - las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican. Los aspectos considerados para mantener la integridad de la información como bien más preciado de la institución, según los anteriores autores ya mencionados se puede realizar mediante la formación de subdivisiones, llamados para una seguridad por niveles y niveles de seguridad, esto mediante el uso adecuado de los conocimientos en los que se manejan ambos términos que son distintos, pero manejan como único fin resguardar la información. 2.3 . SEGURIDAD DE REDES INFORMÁTICAS El término utilizado para la seguridad de redes informáticas lleva una simple idea que es la de proteger la red interna donde se conectan las computadoras, servidores, equipos que contengan información delicada que comprometa a la institución, esto se logra mediante el uso de diversos métodos o considerando diferentes aspectos todos ellos con el fin de resguardar la información como bien más preciado de la institución. Los autores de libros y artículos revistas informativas llegan a disgregar en diferentes aspectos así como lo señala la (Universidad Internacional de Valencia, 2018) Seguridad de hardware, software y red. El tema de estudio del presente trabajo es la seguridad en redes por lo que se realizara un énfasis en los aspectos que conciernen a este, así mismo se considerara otros aspectos que sean de importancia al momento de resguardar la información en la seguridad de redes La seguridad en redes muestra los diferentes tipos de protección que conlleva a este como ser:
- 29 -  Firewalls que optimiza el balance entre seguridad y accesibilidad con lo que llega a separar la red interna y externa.  IDS (Sistemas de Detección de intrusos) estos sistemas hacen referencia a un mecanismo de escucha del tráfico en la red, que a su vez detecta actividades anormales o sospechosas  IPS (Sistemas de prevención de intrusos) estos pueden ser tanto como equipos o software encargados en revisar el tráfico de red con fin de detectar y responder a posibles ataques o modificarlos, el IPS en comparación es proactivo, esto nos refiere que es capaz de responder con iniciativa y capacidad para anticiparse a problemas o necesidades futuras, mediante la buena programación y administración del mismo.  Las redes virtuales como ser las VPN este último va referido a la encapsulación y encriptación de los paquetes de datos a distintos puntos remotos mediante el uso de infraestructuras públicas de transporte, que viajan a la red privada por medio de “tunel”. La seguridad de redes tiene aspectos que adquieren del modelo OSI, esto debido a que responde a diferentes niveles que se comunican entre sí, para dar un servicio al usuario y el equipo. Conservando estos principios se mostrará los aspectos considerados en el libro publicado de seguridad por niveles que nutrirán al desarrollo del presente trabajo. 2.3.1. Seguridad por Niveles Es la presentación de conocimiento detallado de la arquitectura de capas, con los que pretende fundamentar las bases y así llegar hasta el techo, en este entendido se usara el modelo DARPA o TCP/IP para tener una idea principal se presenta la Tabla 2.1 que visualiza los puntos a considerar como señala (Corletti, 2011).
- 30 - Tabla 2.1 - MODELADO DE TCP/IP APLICACIÓN USUARIO Desde aquí hacia arriba mira el usuario TRANSPORTE Es el primer nivel que ve la conexión "de Extremo a Extremo" Desde aquí hacia abajo mira hacia la red RED Rutas ENLACE Nodo inmediatamente adyacente FÍSICO Aspectos mecánicos, físico y eléctricos (u ópticos) Fuente. (Corletti Estrada, Seguridad de Niveles, 2011) Para el desarrollo ordenado de las ideas se plantea describir cada nivel de los ya anteriormente mencionados esto en comparación al modelo OSI como se muestra en la tabla 2.2. Tabla 2.2 - Modelado de los modelos TCP/IP y OSI TCP/IP MODELO OSI Capa de aplicación Capa de aplicación Capa de presentación Capa de sesión Capa de transporte Capa de transporte Capa de internet Capa de red Capa de enlace Capa de enlace de datos Capa física Capa física Fuente. (Viveros S., 2015) 2.3.2. Nivel 1 (Físico) El nivel físico es el medio por el cual se transmite la información, en este nivel emergen las señales eléctricas, ópticas, electromagnéticas, para la comunicación con el siguiente nivel de enlace que lo realiza mediante la recepción de tramas, y las tramas a su vez las convierten en señales eléctricas u ópticas y las envía por el canal de comunicaciones. Define aspectos mecánicos, eléctricos u ópticos y procedimentales. Algunas de las especificaciones más comunes son: RS 232,
- 31 - V.24/V.28, X.21, X.25, SONET, etc. Entre las Funciones y servicios de este nivel se encuentran:  Activar/desactivar la conexión física.  Transmitir las unidades de datos.  Gestión de la capa física.  Identificación de puntos extremos (Punto a punto y multipunto).  Secuencia-miento de bit (Entregar los bits en el mismo orden que los recibe).  Control de fallos físicos del canal. 2.3.3. Nivel 2 (Enlace) Este nivel comprende la conexión con la intersección inmediata vecina, lo cual en una red punto a punto es sumamente claro, pero en una red LAN, es difícil de interpretar cual es la intersección adyacente. Por esta razón como menciona en la teoría IEEE los separa en 2 subniveles: LLC y MAC (LLC: Logical Link Control, MAC: Medium Access Control), en realidad como una de las características de una LAN es el empleo de un único canal por todos los Hosts, el nodo adyacente son todos los Host. En la Figura 2.3 se presenta una comparación. Tabla 2.3 - Comparación entre la IEEE y Modelo OSI Modelado OSI (Ethernet) IEE(802,x) Enlace (nivel 2) LLC MAC Fuente. (Corletti Estrada, Seguridad por Niveles, 2011) La importancia de este nivel, es el último que encapsula todos los paquetes anteriores, por lo que, si se escucha y se sabe des encapsular se tiene acceso a toda la información que circula en una red. Para este cometido se deberá observar con más detenimiento la composición de la trama o también llamado “frame” que lleva la información respectiva como ser:
- 32 -  El primer campo es el preámbulo que indica el inicio de la trama y tienen el objeto de que el dispositivo que lo recibe detecte una nueva trama y se sincronice.  El delimitador de inicio de trama indica que el frame empieza a partir de él.  Los campos de MAC (o dirección) de destino y origen indican las direcciones físicas del dispositivo al que van dirigidos los datos y del dispositivo origen de los datos, respectivamente.  La etiqueta es un campo opcional que indica la pertenencia a una VLAN o prioridad en IEEE P802.1p.  Ethernetype indica con que protocolo están encapsulados los datos que contiene la Payload, en caso de que se usase un protocolo de capa superior.  La Payload es donde van todos los datos, en el caso correspondiente, cabeceras de otros protocolos de capas superiores (Según Modelo OSI, véase Protocolos en informática) que pudieran formatear a los datos que se tramiten (IP, TCP, etc.). Tiene un mínimo de 64 Bytes (o 42 si es la versión 802.1Q) hasta un máximo de 1518 Bytes. Los mensajes inferiores a 64 bytes se llaman tramas enanas (run frames) e indican mensajes dañados y parcialmente transmitidos.  La secuencia de comprobación es un campo de 4 bytes que contiene un valor de verificación CRC (control de redundancia cíclica). El emisor calcula el CRC de toda la trama, desde el campo destino al campo CRC suponiendo que vale 0. El receptor lo recalcula, si el valor calculado es 0 la trama es válida.  El gap de final de trama son 12 bytes vacíos con el objetivo de espaciado entre tramas, como se muestra en el Cuadro 2.1.
- 33 - Preámbulo Delimitador de inicio de trama MAC de destino Mac de origen 802.1Q Etiqueta (opcional) Etgrtype (ethernet II) o longitud (IEEE 802.3) Payload Secuencia de Comprobación (32-bit CRC) Gap entre frame 7 Bytes 1Byte 6 Bytes 6 Bytes 4Bytes 2 Bytes De 46 o 42 hasta 1500 Bytes 4 Bytes 12 Bytes 64 - 1522 Bytes 72 - 15300 Bytes 84 - 1542 Bytes Cuadro 2.1 - Estructura de la trama de Ethernet (J.M., 1991) Las herramientas que operan a este nivel son analizadores de protocolos, y existen de varios tipos y marcas. Los que son Hardware diseñado específicamente para esta actividad como el Internet Advisor de Hewlett Packard o el Dominó de Vandell & Goltermann, poseen la gran ventaja de operar naturalmente en modo promiscuo, es decir que dejan pasar hacia el instrumental la totalidad del bit que circulan por el medio de comunicaciones. Los desarrollados como herramientas de Software dependerán del tipo de acceso físico a la red que se posea, pues justamente la mayoría de estos dispositivos asumen tareas de comunicaciones para no sobrecargar con esto a la CPU, por lo tanto, existe cierta información que no pasará al nivel superior. Aquí se desarrollará el análisis de las medidas a auditar en el enlace de datos para continuar estrictamente referido a un planteo de niveles. Básicamente efectúa el control de flujo de la información y sus funciones o servicios del nivel 2 son:  División de la conexión del enlace de datos (Divide un enlace de datos en varias conexiones físicas).  Control de flujo (Regula la velocidad a la cual la capa de enlace trabaja dinámicamente).  Proporciona parámetros de Calidad de Servicio (QoS), por ejemplo: Tiempo medio entre fallas, BER (Bit Error Rate), disponibilidad de servicio, retarde en el tránsito, etc.
- 34 -  Detección de errores (CRC {Control de Redundancia Cíclica} – Checksum).  Corrección de errores (ARQ {Allowed to ReQuest}, FEC {Forward Error Control}), sin eximir a capas superiores de hacerlo.  La IEEE lo subdivide en dos capas MAC (Medium Access Control) y LLC (Logical Link Control), si bien esto no es contemplado por OSI. Algunas de las especificaciones más comunes son: LAP-B {X.25}, LAP-D {ISDN}, ISO 4335 del HDLC, I 122 del Frame Relay, también se puede tener en cuenta protocolos propietarios como ODI (Open Data Interface) y NDIS (Network Drivers Interface Standard). 2.3.4. Nivel (Red) Este nivel es el responsable primario de los (enrutamientos de los paquetes hacia el nivel de transporte) a través de la red. Si se trata de la familia TCP/IP, aquí se encontrará la mayor actividad, por lo tanto, el centro de atención de la auditoría en este nivel, deberá estar puestos en los mensajes de ruta, direcciones y conmutación de paquetes. Es por esta razón que su trabajo acorde al tipo de conexión es muy variable. En una red de conmutación de paquetes puede ser implementado en detalle, en cambio al conmutar circuitos prácticamente no tiene sentido. Las Funciones y servicios del nivel de red son:  Encaminamiento y retransmisión (Define las rutas a seguir).  Conmutación de paquetes.  Multiplexación de conexiones de red.  Establecimiento de circuitos virtuales.  Direccionamiento de red. 2.3.5. Nivel (Transporte) En ese nivel dentro de la pila TCP/IP como se mencionó con anterioridad existirán dos posibilidades, operar en modo orientado a la conexión para lo cual se emplea TCP o sin conexión cuyo protocolo es UDP, es responsable de decidir a qué
- 35 - protocolo le entregara su mensaje es el que se emplee en el nivel superior, para lo cual existe el concepto de puerto que es el SAP (Service Acces Point) entre el nivel de transporte y el de aplicación en este nivel los dos elementos importantes a auditar son el establecimiento de sesiones y los puertos los cuales se pueden determinar con las siguientes actividades. Su tarea fundamental es la conexión de extremo a extremo (end to end), que a su vez permite al usuario elegir entre distintas calidades de servicio. Se definen cinco clases que van desde la cero (sin recuperación y eliminando paquetes dañados) hasta la cuatro (Detección y corrección de errores extendida) las funciones y servicios son:  Correspondencia entre direcciones de transporte y de red.  Supervisión de red.  Facturación de extremo a extremo. Algunos ejemplos de este nivel son: SPX, TCP, X. 224. 2.3.6. Nivel (Aplicación) El nivel de aplicación es la ventana a los procesos de aplicación del ordenador y el usuario. Tiene en cuenta el significado de los datos entre las Funciones y servicios de este nivel destacan.  Servicios de directorio (Transferencia de archivos).  Manejo de correo electrónico.  Terminal virtual.  Procesamiento de transacciones. Son algunos ejemplos de este nivel: X.400, X.500, SMTP, Telnet, FTP.
- 36 - Como el presente trabajo trata de niveles de seguridad para una red corporativa, a continuación se presenta de manera metódica los niveles de seguridad que elaboraron en el Departamento de Defensa de Estados Unidos, que realiza las recomendaciones con forme los llamados niveles de seguridad como lo muestra en su trabajo del: (DEPARTMENT OF DEFENSE UU.EE., 1985). 2.3.7. Niveles de Seguridad Los niveles de seguridad se basan en el documento conocido como libro naranja del departamento de defensa de estados unidos, con su publicación (DEPARTMENT OF DEFENSE UU.EE., 1985), DoD 5200.28-STD, "Criterios de evaluación del sistema informático de confianza del Departamento de Defensa" se emite bajo la autoridad de una de acuerdo con la Directiva 5200.28 del Departamento de Defensa, "Requisitos de seguridad para sistemas automáticos de procesamiento de datos" y en apoyo de responsabilidades asignadas por la Directiva DoD 52l5.l, "Centro de Evaluación de Seguridad Informática". Su propósito es proporcionar los criterios técnicos de seguridad de hardware / firmware / software y las metodologías de evaluación técnica asociadas en apoyo de la política general de seguridad del sistema Los niveles de seguridad son cuatro desde el nivel más bajo es el D hasta el nivel más alto que en este caso será el A. para eso se considera las medidas que deben implementarse de acuerdo a la delicadeza de la información. 2.3.8. Nivel D (el sistema entero no es confiable) Este nivel contiene solo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad. Sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y
- 37 - no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. 2.3.9. Nivel C (Protección Discreta) Se describe como protección discreta a los usuarios que se encuentran en el mismo nivel que los datos, los datos se encuentran separados de los usuarios, así como la limitación de acceso de algún tipo. a) Nivel C1: Protección Discrecional Se requiere identificación de usuario que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administración del sistema solo pueden ser realizadas por este "súper usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. b) Clase (C2): Protección de Acceso Controlado Los sistemas de esta clase imponen un control de acceso discrecional más detallado que los sistemas (C1), lo que hace que los usuarios sean individualmente responsables de sus acciones a través de procedimientos de inicio de sesión, auditoría de eventos relevantes para la seguridad y aislamiento de recursos. Los siguientes son requisitos mínimos para los sistemas a los que se les ha asignado una clasificación de clase (C2).
- 38 - 2.3.10. Nivel B Este nivel se subdivide en sub divisiones los cuales a su vez son necesarios para una mejor disgregación con respecto de los diferentes tipos de niveles que componen este mismo. a) Nivel B1: Seguridad Etiquetada Este subnivel, es el primero de los tres con que cuenta el nivel B este a su vez soporta la seguridad multinivel, como la secreta y ultra secreta es en esta parte que se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.). El usuario que accede a un objetivo debe poseer un permiso expreso para hacerlo y viceversa, es decir que cada usuario tiene sus objetivos asociados, y así también se establecen controles para limitar la propagación del derecho de acceso a los distintos objetivos. b) Nivel B2: Protección Estructurada Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior. Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
- 39 - c) Nivel B3: Dominios de Seguridad Refuerza a los dominios con la instalación de hardware: por ejemplo, el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura. Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder. 2.3.11. Nivel A: Protección Verificada Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento. a) Clase (A1): Diseño Verificado Los sistemas en la clase (A1) son funcionalmente equivalentes a los de la clase (B3) en el sentido de que no se agregan características arquitectónicas o requisitos de
- 40 - políticas adicionales. La característica distintiva de los sistemas en esta clase es el análisis derivado. A partir de técnicas de especificación de diseño formal y verificación y la resultante Alto grado de seguridad de la Base de computación confiable está correctamente implementada. Esta garantía es de naturaleza de desarrollo, comenzando con un modelo formal de la política de seguridad y una especificación formal de alto nivel (FTLS) del diseño. Independientemente del lenguaje de especificación particular o del sistema de verificación utilizado, existen cinco criterios importantes para la verificación de diseño de clase (A1). Un modelo formal de la política de seguridad debe estar claramente identificado y documentado, incluida una prueba matemática de que el modelo es coherente con sus axiomas y es suficiente para respaldar la política de seguridad. Se debe producir una especificación formal de nivel superior que incluya definiciones abstractas de las funciones que realiza el Base de computación confiable y de los mecanismos de hardware y / o firmware que se utilizan para admitir dominios de ejecución separados. La especificación formal de nivel superior de la Base de computación confiable debe demostrarse que es consistente con el modelo mediante técnicas formales siempre que sea posible (es decir, donde existan herramientas de verificación) y otras informales. La implementación de la Base de computación confiable (es decir, en hardware, firmware y software) debe demostrarse de manera informal que sea coherente con la especificación formal de nivel superior. Deben mostrarse los elementos de la especificación formal de nivel superior, usando Técnicas informales, que corresponden a los elementos de la Base de computación confiable. La especificación formal de nivel superior debe expresar el mecanismo de protección unificado requerido para satisfacer la política de seguridad, y son los
- 41 - elementos de este mecanismo de protección los que se asignan a los elementos de la Base de computación confiable. Se deben usar técnicas de análisis formal para identificar y analizar canales encubiertos. Se pueden usar técnicas informales para identificar canales de tiempo encubiertos. La existencia continua de canales ocultos identificados en el sistema debe estar justificada. De acuerdo con el extenso análisis de diseño y desarrollo de la Base de computación confiable requerido de los sistemas en clase (A1), se requiere una administración de configuración más estricta y se establecen procedimientos para distribuir de forma segura el sistema a los sitios. Un administrador de seguridad del sistema es compatible. En la seguridad de la información es necesario un adecuado ambiente donde se resguarde el mismo esto se lo realizaba mediante manuscritos en papiros y luego guardados en jarrones y llevados a cavernas, esto con el fin de preservar las memorias para las nuevas generaciones. En la actualidad la información se lo va almacenando en los discos duros donde se acumula las cartas, hojas de cálculo, documentos, informes en equipos de computación de las empresas o instituciones. La tendencia de trabajar en comunidad para sacar más provecho al momento de compartir la información de unos con otros, lleva a conformar las redes de comunicaciones y así formar un centro donde se almacene la información y también todos puedan acceder a este mediante plataformas o páginas web. Con la generación de mayor información y más usuarios que desean acceder a los mismos se concluye a crear los centros de datos, donde se aglutina la información necesaria para cada usuario y se llega mediante distintos accesos ya sea de manera interna las redes LAN, externas WAN.
- 42 - 2.3.12. Centros de Datos Un centro de datos o conocido como data center o también llamado “centro de procesamiento de datos” (CPD), en sí como lo conocen es una infraestructura donde contiene una serie de instalación de servidores en red, con la finalidad de almacenar los datos que cuentan con redundancia, recuperación y seguridad que a su permite un adecuado resguardo de la información como lo señala (Rytoft, Claes;, 2013). Las compañías grandes gestionan centros de datos que les permite almacenar datos operativos de su empresa, o bien ofrecer servicios cloud a sus clientes. Hay empresas que cuentan con sus propios servidores y así también cuentan con sus propios centros de procesamiento de datos donde deben cumplir los estándares como es TIA-942 que incluye información sobre los grados de disponibilidad (TIER). Las características principales de un DATA CENTER con TIER son los siguientes: la disponibilidad, redundancia, escalabilidad, enfriamiento y eficiencia. La clasificación de los centros de datos fue idea por el Uptime Institute (UptimeInstitute, 2013) es la institución de mayor prestigio y reconocimiento a nivel mundial en la creación de los estándares y certificaciones TIER para el diseño de Data Center, con la creación de estándares se creó la categorización o también llamada clasificación. 2.3.12.1. Tier El concepto de TIER indica el nivel de fiabilidad de un centro de datos asociados a cuatro niveles de disponibilidad definidos. A mayor número en el TIER, mayor disponibilidad y por lo tanto mayores costos asociados en su construcción, más tiempo para hacerle o mayor cargo por el servicio brindado esto fue plasmado en el estándar ANSI/TIA-942 editado en el año 2005.
- 43 - 2.3.12.2. Tier I - Centro de Datos Básico Se trata del tipo más básico de centro de datos, sólo pueden garantizar la continuidad del servicio al 99,671%. Esto, aunque parezca una gran cantidad, en realidad es la más baja que existe. En una Data Center de Tier 1 se puede interrumpir el servicio sin previo aviso. No cuentan, además, con sistemas de redundancia, suministro de energía y refrigeración. Puede o no tener suelos elevados, UPS 2.3.12.3. Tier II - Centro de Datos Redundante Su disponibilidad es algo superior a la del anterior, del 99,741%. Disponen de sistemas de redundancia, generadores auxiliares de energía y suelos elevados, una única línea de distribución eléctrica y de refrigeración, entre otras ventajas. Sin embargo, aún pueden presentar interrupciones imprevistas. 2.3.12.4. Tier III - Centro de Datos Concurrentemente Manantenibles El centro de dato del tipo Tier III no se ven afectados por interrupciones no programadas tiene actividades planeadas incluyen; el mantenimiento preventivo, reparación y reemplaza miento de componentes, realización de pruebas en sistemas o subsistemas. Es decir, sólo cuando se van a llevar a cabo acciones de mantenimiento, los servidores afectados de dicho tipo de data center interrumpirán su servicio. Están conectados a diferentes redes eléctricas y cuentan con un sistema de refrigeración avanzado. Su disponibilidad es del 99,98%. 2.3.12.5. Tier IV - Centro de Datos Tolerante a Fallos Son el tipo más avanzado de centro de datos y ofrecen una disponibilidad de 99,995%. Esto significa que sólo se detienen durante 26 minutos a lo largo de todo año. Se trata del nivel más alto de disponibilidad. Cuentan con un alto nivel de
- 44 - redundancia, sistemas de refrigeración de alta eficiencia. Disponen también de redes de fibra complementaria y sistemas de suministro eléctrico alternativo. 2.3.13. Zero Trust (Cero Confianza) Zero Trust que es su nombre en inglés al modelo de seguridad que divide la seguridad por niveles y que en su traducción en español es “Confianza cero”, fue introducido en 2004 como concepto de diseño de seguridad por el Jericho Forum, un grupo de Jefes de Seguridad de la Información (CISOs) después de ver la forma en que el acceso y la autorización estaban cambiando debido al uso acelerado de la nube y la computación móvil. Este grupo visionario planteó un modelo de seguridad que era adecuado para un mundo donde el perímetro tradicional se estaba disolviendo, cada vez menos pertinentes, los flujos de trabajo se desplazaban a la nube y los parámetros móviles se estaban convirtiendo en la norma para el acceso a las diferentes aplicaciones (ACT-IAC Advancing Government, 2019). Zero trust es una estrategia de seguridad para el usuario que acceden a los datos que residen en cualquier lugar, desde cualquier parte y de cualquier manera y asume la postura de “nunca confiar y verificar siempre” entre sus posturas define:  Requiere autorización continua sin importar la ubicación de la solicitud de origen.  Siempre se considera que la red es hostil.  Amenazas externas e internas existen en la red en todo momento.  La localización de la red no es suficiente para decidir la confianza en una red.  Cada dispositivo, usuario y flujo de red está autenticado y autorizado.  Las políticas deben ser dinámicas y calculadas a partir de tantas fuentes de datos como sea posible. Este se basa en seis pilares y conceptos que ayudan a la micro- segmentación esto basado en el Triángulo de Confianza Cero que a continuación se desmenuzara las
- 45 - partes más importantes esto basado en el estudio realizado por el autor (ACT-IAC Advancing Government, 2019). Seguidamente se presentará los pilares de Confianza Cero como son el usuario, los dispositivos, la red, aplicaciones, la autenticación y el análisis, como se muestra en la figura 2.1. Figura 2.1 - Los Pilares de Zero Trust (ACT-IAC,2019) 2.3.14. Los Datos Una comprensión clara de los activos de datos de una organización es crítica para una implementación exitosa de una arquitectura de confianza cero (Zero Trust). Las organizaciones deben clasificar sus activos de datos en función de la importancia de su misión y utilizar esta información para elaborar una estrategia de gestión de datos como parte de su enfoque general de confianza cero. 2.3.15. Pilar #1 - Usuarios La autenticación continua de los usuarios de confianza es primordial para confianza cero. Esto incluye el uso de tecnologías como Identidad, credencial, y Administración de Acceso (ICAM) y autenticación multi-factor y monitoreo continuo
- 46 - y validación de confiabilidad del usuario para gobernar su acceso y privilegios. También son importantes las tecnologías para asegurar y proteger las interacciones de los usuarios, como las soluciones tradicionales de pasarela web. 2.3.16. Pilar #2 - Seguridad de Dispositivos La postura de seguridad cibernética en tiempo real y la confiabilidad de los dispositivos es un atributo fundacional de un enfoque de confianza cero. Algunas soluciones de "sistema de registro" tales como gestores de dispositivos móviles proporcionan datos que pueden ser útiles para evaluaciones de dispositivos- confianza. 2.3.17. Pilar #3 - Red de Seguridad Algunos argumentan que las protecciones perimetrales son cada vez menos importantes para redes, flujos de trabajo, herramientas y operaciones. Esto no se debe a una sola tecnología o caso-uso, sino más bien a la culminación de muchas nuevas tecnologías y servicios que permiten a los usuarios trabajar y comunicarse de nuevas maneras. Zero Trust Networks a veces se describen como "perimeterless", sin embargo, esto es un poco de un nombre erróneo. Zero Trust Networks en realidad intenta mover perímetros desde el borde de la red y segmentar y aislar datos críticos de otros datos. El perímetro sigue siendo una realidad, aunque de maneras mucho más granulares. El enfoque "castillo y foso" tradicional del cortafuego de la infraestructura no es suficiente. El perímetro debe acercarse a los datos en conjunto con la micro-segmentación para fortalecer las protecciones y controles. La seguridad de la red se está expandiendo a medida que las agencias crecen sus redes para la transición parcial o total a las redes definidas por software, redes de área amplia definida por software y tecnologías basadas en Internet.  Es fundamental (a) controlar el acceso privilegiado a la red,
- 47 -  Gestionar los flujos de datos internos y externos,  Impedir el movimiento lateral en la red.  Tener visibilidad para tomar decisiones políticas y de confianza dinámicas sobre el tráfico de redes y datos. La capacidad de segmentar, aislar y controlar la red sigue siendo un punto central de seguridad y esencial para una Red de Confianza Cero. 2.3.18. Pilar #4 - Aplicación y Seguridad de la Carga de Trabajo Asegurar y gestionar adecuadamente la capa de aplicación, así como los contenedores de cálculo y las máquinas virtuales es central para la adopción de confianza cero. Tener la capacidad de identificar y controlar la pila de tecnología facilita decisiones de acceso más granular y precisa. Como era de esperar, la autenticación multi-factor es una parte cada vez más crítica de proporcionar un control de acceso adecuado a las aplicaciones en entornos confianza cero. 2.3.19. Pilar #5 - Orquestación de Seguridad de Automatización Zero trust (confianza cero) es armoniosa y rentable utiliza al máximo las herramientas de respuesta de automatización de seguridad que automatizan las tareas entre los productos a través de flujos de trabajo, permitiendo al mismo tiempo la supervisión y la interacción del usuario final. Los Centros de Operaciones de Seguridad suelen utilizar otras herramientas automatizadas para la información de seguridad y la gestión de eventos y el análisis del comportamiento del usuario y la entidad. La orquestación de seguridad conecta estas herramientas de seguridad y ayuda en la gestión de sistemas de seguridad dispares. Trabajando de manera integrada, estas herramientas pueden reducir enormemente el esfuerzo manual y los tiempos de reacción de eventos y reducir los costos.
- 48 - 2.3.20. Pilar #6 - Visibilidad y Análisis de Seguridad Analítica No puedes combatir una amenaza que no puedes ver o entender. Confianza cero aprovecha herramientas como gestión de información de seguridad, plataformas avanzadas de análisis de seguridad, análisis de comportamiento del usuario de seguridad, y otros sistemas analíticos para permitir a los expertos en seguridad observar en tiempo real lo que está ocurriendo y orientar las defensas de manera más inteligente. El enfoque en el análisis de datos de eventos ciber-relacionados puede ayudar a desarrollar medidas de seguridad proactivas antes de que ocurra un incidente real. 2.3.21. Software-Defined Perimeter (SDP) Según (Pulse Secure, 2018) las arquitecturas tradicionales de las redes evolucionaron para conectar a los trabajadores de las redes locales con los recursos locales. El aumento de la movilidad de la fuerza de trabajo, nube, BYOD4 , y las amenazas cada vez más creciente expuso la flexibilidad limitada del modelo de seguridad del perímetro, la seguridad y la conectividad. Además, tecnologías como la nube y la virtualización ahora permiten arquitecturas de red más flexibles que responden mejor a las necesidades de negocio y usuario rápidamente cambiantes, mientras que permiten los medios para la seguridad end-to-end adicional antes de la conexión inicial se hace aprovechando las tecnologías de nube y virtualización e integrando la autenticación y autorización directamente en la arquitectura, SDP permite una segmentación efectiva y un control de acceso granular basado en "cero confianza" o "menos privilegiado" modelos de confianza. Esto ofrece un control significativo sobre qué usuarios acceden a recursos particulares, pero sin sintaxis política compleja o uso de línea de comandos. SDP determina un enfoque de "autenticar y verificar primero" antes de conceder acceso directo y protegido a 4 Bring Your Own Device (BYOD) es una tendencia cada vez más generalizada en la que las empresas permiten a los trabajadores llevar sus dispositivos portátiles personales para llevar a cabo tareas del trabajo y conectarse a la red y recursos corporativos.
- 49 - aplicaciones y recursos acceso que no depende de la arquitectura de red y añade mejoras significativas de seguridad según (Pulse Secure, 2018). Figura 2.2 – Arquitectura del SDP (Pulse Secure, 2018) En cada institución el tratamiento de la información es distinta dependiendo de la confianza pre-establecida o los requisitos de confianza, se pueden crear diferentes tipos y niveles de conexiones seguras según se autorice y/o como se requiera a lo que indican el SDP se puede basar en los siguientes principios.  Autenticación centralizada del usuario.  Comprobaciones de conformidad y autorización de acceso basadas en dispositivos.  Por aplicación Opciones de conectividad.  Soporte para aplicaciones basadas en la nube y el centro de datos.  Escenarios de usuarios internos y externos diversos.
- 50 - 2.4 . MÉTODO O ESTRUCTURA DE ANÁLISIS, CRITERIOS DE VALIDEZ Y CONFIABILIDAD Se define como método según el autor (Cazau, 2006) “…el método como la técnica se refieren a procedimientos para hacer o lograr algo, es decir, son medios orientados hacia un fin.”, así también definiremos antes análisis según la autora (Bembibre, 2009) “Un análisis es el acto de separar las partes de un elemento para estudiar su naturaleza, su función y/o su significado.”, según los autores anteriormente citados realizaremos el desglose de las acciones que se realiza para lograr el objetivo que es la preservación de la información, de entidades como ser las universidades. La definición de la medición usualmente utilizada indica "asignar números, símbolos o valores a las propiedades de objetos o eventos de acuerdo con reglas" según (Stevens, 1946), lo que nos quiere decir que no se cuenta la cantidad de objetos sino sus propiedades de los mismos, según la autora (Rodriguez Garcia, 2011) la medición es el proceso de vincular conceptos abstractos con indicadores empíricos. 2.4.1. Método de Análisis Ante todo, en el marco normativo que se tiene en Bolivia es la legislación la que está establecida por la Constitución Política del Estado, Leyes, Normas, Decretos y las Reglamentaciones de dichos documentos que nos indica que toda implementación deberá ser con el uso de software libre que no privatice los servicios a terceros y el acceso a la información teniendo como pilares la confidencialidad, integridad y la disponibilidad del mismo. Por lo que se refiere a la medición adecuada se hace uso de herramientas con las que se establece la comunicación entre el mundo real y el mundo conceptual, considerando la medición segura cuando el instrumento de recolección de datos en realidad representa a las variables que se tiene en mente. Entendiendo que no toda
- 51 - medida es perfecta se busca al medir la estandarización y cuantificación de los datos. La medición deberá cumplir tres requisitos como ser la confiabilidad5 , valides6 y objetividad. Así pues, el presente trabajo presentará a los favorecidos y usuarios que harán uso de un sistema informático seguro y que deberá contar cada miembro de la CEUB, esto para conocer la importancia de la seguridad en la información. El CEUB está conformada por universidades públicas y privadas de convenio que para el presente trabajo solo se considerara a las públicas, ya que son los que acogen a un número mayor de estudiantes. Es decir que para realizar la elección de la universidad que tiene o cumple o se tenga la mayor cantidad de información para así plantear el modelo el diseño que se formulara para que las otras puedan adoptar una mejor seguridad tomando como ejemplo a la UPEA como al modelo, no obstante, este modelo y diseño es una sugerencia que debe evaluar cada Universidad si desea adoptarla. A continuación, en la presente sección separaremos las acciones que se realizaran para la formación del método que se sugiere para la implementación de la seguridad de la información en redes corporativas más propiamente orientadas a las Universidades que conforman el CEUB. La primera acción que se tiene es probar la mejora de las políticas de seguridad como señala los niveles de seguridad que son cuatro desde el nivel más bajo que es el D hasta el nivel más alto que en este caso será el A. La segunda acción será la implementación de la seguridad por niveles que comprende al modelo TCP/IP al cual nos regiremos en las cinco capas que son la 5 La confiabilidad grado en el que un instrumento produce resultados consistentes y coherentes, según (Rodriguez Garcia, 2011) 6 La validez grado en el que un instrumento de verdad mide la variable que se busca medir (grado en el instrumento realmente mide la variable que pretende medir), según (Rodriguez Garcia, 2011)
- 52 - capa física, enlace, red, transporte y aplicación para tener un mejor conocimiento de los protocolos que trabajan en los mismos para tener mejor ayuda en el mejoramiento del modelo de seguridad de la información. El tercer aspecto será plantear el modelo final del cual comprenderá la mejora de los dos con el uso de los métodos conocidos como SDP (siglas en ingles “ Software Defined Perimeter”) El Perímetro Definido por Software (SDP) aprovechando el principio de Zero Trust de "nunca confiar, verificar siempre", en otras palabras al permitir el acceso seguro directamente entre el usuario y su dispositivo la aplicación al recurso cerrando el ciclo de consulta, sin importar la infraestructura inferior, pero de manera escalable y de acuerdo con política que plante cada institución. Hay que hacer notar que con los experimentos tendremos respuestas de cada uno de los ensayos que mostraran un cambio sobre nuestra variable dependiente, por lo cual se podrá probar la hipótesis, así mismo se verá en un análisis estadístico de la población universitaria que será beneficiada con una correcta implementación de la seguridad de la información. 2.5 . DISEÑO TEÓRICO DE LA INVESTIGACIÓN La palabra diseño como lo define (Hernandez S., 1997); El término diseño se refiere al plan o estrategia concebida para obtener la información que se desea con el fin de responder al planteamiento del problema. En efecto la información de una entidad es de vital importancia aún más si es una casa superior de estudios esto porque genera aún más información en el tiempo debido a que ingresan por año cifras significativas de estudiantes nuevos, es así que se formula las variables del presente trabajo de investigación que son:  Variable Independiente: El sistema de seguridad por niveles.
- 53 -  Variable Dependiente: Redes informáticas corporativas en los centros de datos. Así mismo la variable independiente es el centro del experimento y es aislada y manipulada por el investigador. La variable dependiente es el resultado medible de esta manipulación, los resultados del diseño experimental. Con respecto al diseño se evaluará los valores presentes del centro de datos que cuenta la institución, esto mediante la división de la seguridad por niveles como establece (Corletti E., 2011), para una mejor determinación y segmentación desde la capa física, enlace, red, transporte y aplicación.
- 54 - CAPÍTULO TERCERO ESTRATEGIAS METODOLÓGICAS 3 . Estrategias Metodológicas 3.1 ESTRATEGIAS METODOLÓGICAS Para empezar la estrategia planteada y su realización en el presente trabajo de investigación es mediante el paradigma positivista, que a su vez es denominado empírico, analítico y cuantitativo, donde sus características son: En primer lugar, por medio de la hipótesis, es decir, predecir que algo va a suceder y luego comprobar o verificar que así sucedió. En segundo lugar, en el caso del método o modelo de conocimiento científico, es el experimento, el cual se apoya en la estadística, que es una manera de cuantificar, verificar y medir todo, sin contar cada uno de los elementos que componen el todo. En tercer lugar, en la relación a la teoría y práctica predomina la separación, si bien las investigaciones parten de la realidad, sin embargo, sólo contribuyen a la ampliación de conocimientos teóricos. Aspira a la predicción, a la exactitud, al rigor, al control en el estudio de los fenómenos. Además, su propósito es establecer leyes y explicaciones generales por las que se rigen el objeto de estudio. Pretende desarrollar un conocimiento “nomotético”. Considerada la vía hipotético-deductiva como válida para todas las ciencias. Está centrada sobre las semejanzas, entre la investigación y la acción existe un desligamiento, su premisa es que puede haber investigación sin acción inmediata. Previo a la presentación de la hipótesis planteada se presenta los siguientes datos que pueden ayudar a clarificar ideas; así mismo el presente estudio se prevé mostrar los “Resultados Obtenidos de la Encuesta Nacional de Opinión Sobre
- 55 - Tecnologías de la Información” realizado por la (AGETIC, 2017) donde se pudo realizar encuestas a los participantes con el fin de recabar información concerniente al porcentaje de población internauta según su nivel de instrucción y su nivel socioeconómico y que son la población que acceden a las tecnologías de la información como se muestra en la figura 3.1. Seguidamente en la gráfica podemos observar el comportamiento de la población en relación con la navegación y la importancia que tiene en su vida cotidiana, el acceso a la información. Figura 3.1 - Población que accede a la información (AGETIC, 2017) Además, se mostrará los resultados con respecto a problemas que presentaron los usuarios con virus en sus equipos de computación, tablets, teléfonos móviles y el otro nos muestra el porcentaje de personas que sufrieron un hackeo a sus cuentas, como se muestra en la figura 3.2. Al mismo tiempo esta relación de los resultados nos muestra la conflictividad en cuanto a la seguridad informática ante usuarios que pueden o no reconocer si sufren
- 56 - de perdida de sus datos y la importancia de esto o el significado que tiene con respecto a la confidencialidad, integridad y disponibilidad. Figura 3.2- Población que tuvo problemas de virus o hackeo de su cuenta (AGETIC, 2017) A continuación, se muestra la importancia que va cobrando el acceso a las plataformas web de universidades, esto por parte de los usuarios, esta relación es la que muestra la importancia de resguardar la información de cada universidad desde la parte externa e interna, más aún si esta aglomera a una gran cantidad de universitarios y el estado financia su funcionamiento como se muestra en la figura 3.3.
- 57 - Figura 3.3 - Población universitaria que utiliza páginas web de universidades (AGETIC, 2017) 3.2 . DEFINICIÓN DE LA HIPÓTESIS La implementación del sistema de seguridad por niveles permitirá mejorar los niveles de seguridad en la red informática corporativa de universidades públicas del Sistema Universitario de Bolivia. 3.3 . VARIABLES A continuación, se mostrará el proceso de identificación de las variables como ser la variable independiente y la dependiente. El título del presente trabajo de investigación es: “SISTEMA DE SEGURIDAD POR NIVELES, PARA LAS REDES INFORMÁTICAS CORPORATIVAS EN LOS CENTROS DE DATOS DEL SISTEMA DE UNIVERSIDADES DE BOLIVIA”. En otras palabras, se conoce que por teoría la variable independiente es el centro del experimento y es aislada y manipulada por el investigador. La variable dependiente es el resultado medible de esta manipulación, los resultados del diseño experimental.
- 58 - 3.3.1. Identificación y Análisis de Variables Variable Independiente: El sistema de seguridad por niveles. Variable Dependiente: Redes informáticas corporativas en los centros de datos. 3.4 . CONCEPTUALIZACIÓN DE LAS VARIABLES En la conceptualización de las variables dependiente e independiente se deberá entender el cómo van conectadas una de la otra como señala (Saldaño, 2009) "…entendemos por variable cualquier característica o cualidad de la realidad que es susceptible de asumir diferentes valores, es decir, que puede variar, aunque para un objeto determinado que se considere puede tener un valor fijo". El sistema de seguridad por niveles, es el establecimiento donde la seguridad de la información, es un proceso y por lo cual puede estudiarse e incluso implementarse por niveles, esto quiere decir que se apila uno sobre otro tomando como punto de partida el modelo TCP/IP con sus respectivos niveles que son: Nivel 1 Físico, Nivel 2 enlace, Nivel 3 Red, Nivel 4 Transporte, Nivel 5 Aplicación. Con respecto a las redes informáticas, redes de comunicaciones de datos o redes de computadoras a un número de sistemas informáticos conectados entre sí mediante una serie de dispositivos alámbricos o inalámbricos, gracias a los cuales pueden compartir información en paquetes de datos, transmitidos mediante impulsos eléctricos, ondas electromagnéticas o cualquier otro medio físico. Las redes informáticas no son distintas en su lógica de intercambio de los demás procesos de comunicación conocidos: cuentan con un emisor, un receptor y un mensaje, así como un medio a través del cual transmitirlo y una serie de códigos o protocolos para garantizar su comprensión. Claro que, en este caso, quienes envían y reciben mensajes son sistemas computacionales automatizados.
- 59 - 3.5 . INDICADOR Para dar continuidad es necesario primero referirnos a que es un indicador es la comparación de dos o más tipos de datos que sirve para elaborar una medida cuantitativa o una observación cualitativa, con esta comparación nos dará un valor, una magnitud o criterio que tiene significado para el caso que se analiza. En otras palabras, se tomarán a la tasa de variación de estudiantes que nos indicara el incremento en el tiempo de los estudiantes, el índice de riesgo que nos señala el nivel de seguridad de la institución de estudio y la superficie de ataque este último mostrara es la totalidad de todos los dispositivos y servicios de red que tienen acceso a un objetivo final o una aplicación en la red y por último se tomara el CVSS (Calculadora de Common Vulnerability Scoring System versión 3.0). 3.5.1. Tasa de Variación de Estudiantes Según (X. Diebold, 2008) “quite simply, good forecast help to produce good decisions. regonition and awareness of the decisión make enveriment is the key to effective disign, use and evaluation of forecast model.”, un buen pronóstico ayuda a tomar una buena decisión, reconociendo señales de alarma de la decisión asiendo en un espacio clave el uso y evaluación de un modelo pronosticado. Fórmula del tercer capítulo Ecuación 3.1 - Tasa de variación de estudiantes 𝑉(𝑡) = 𝑡(𝑓)−𝑡(𝑖) 𝑡(𝑖) ∗ 100% (3.1) V(t) = Tasa de variación t(i) = Año inicial de número de estudiantes. t(f) = Año final de número de estudiantes.
- 60 - Con la Ecuación (3.1) se calcula índice de la tasa de variación, es una medida que coadyuva a identificar la variación en el tiempo si este incremento o ha tenido un decremento del número de estudiantes matriculados de las diferentes universidades que conforman el CEUB. 3.5.2. Índice de riesgo. Ecuación 3.2 - Índice de Riesgo 𝐼(𝑟) = 𝑃∗𝑆 𝐶 (3.2) I(r) = Índice de riesgo. P = Probabilidad de que ocurra. S = Severidad del Incidente. C = Control que se tiene sobre el riesgo. En la fórmula (3.2) observamos el índice de riesgo, este indicador nos muestra los niveles de seguridad aceptables o alarmantes que se calcularan con una escala de 1 a 3, donde 1 es el nivel menor y 3 el máximo. 3.5.3. Superficie de ataque Para la medición de la vulnerabilidad de la red de seguridad se usará los conceptos expresados por el autor (Sorell Slaymaker, 2018) que él expresa que la seguridad de la información compone de una buena gestión de riesgos de la identificación, controles de acceso y registro con la gestión de eventos y análisis asociados, restringir el acceso es uno de los principales objetivos de la seguridad de la red. Seguidamente se tiene los tres pasos en la pirámide informática de los cuales se habla como ser: primero el descubrimiento de lo que hay, segundo identifica y analizar lo que se descubre, por último, escoger el objetivo.
- 61 - Si se minimiza la superficie de ataque de la red, los hackers encontraran difícil infiltrarse en otros dispositivos, y así detenemos el paso de descubrimiento y no pueden proceder a la identificación de los equipos. La superficie de ataque de red es la totalidad de todos los dispositivos y servicios de red que tienen acceso a un objetivo final o una aplicación en la red. Cuanto más baja la puntuación, más seguro es el objetivo final o la aplicación en la red. Ecuación 3.3 - Superficie Total de Ataque 𝑇𝑜𝑡(𝑆𝑢𝑝𝐴𝑡𝑎𝑞𝑢𝑒) = (𝑁° 𝐷𝑖𝑠𝑝𝑜𝑠𝑖𝑡. 𝑖𝑝 ) ∗ (𝑁° 𝑃𝑢𝑒𝑟𝑡. 𝑇𝐶𝑃|𝑈𝑃 𝑎𝑏𝑖𝑒𝑟. ) ∗ (𝑆𝑒𝑠𝑠𝑖𝑜𝑛 𝑑𝑒 𝐶𝑜𝑛𝑡𝑟. ) ∗ (𝐶𝑖𝑓𝑟𝑎𝑑𝑜 𝑇𝐿𝑆) (3.3) N° de dispositivos con acceso = Número de dispositivos que tienen acceso de red a dicho dispositivo o aplicación. En el WAN, son todos los dispositivos que tienen una dirección IP que puede dirigir a dicho dispositivo. N° de servicios = Número de puertos que están abiertos en dicho dispositivo de comunicación. Direccionalidad = Quién puede iniciar una sesión TCP o UDP (1 = sí, 10 = no) Aplicación Cifrado = Una sesión TLS que valida el certificado para una sesión y proporciona el cifrado AES de 256bit y una autenticación SHA-256, mitigando al hombre en los ataques medios (1 = sí, 10 = no). Grafico 3.1 - Gauging Level of Risk (Sorell Slaymaker, 2018)
- 62 - 3.6 . OPERACIONALIZACIÓN DE VARIABLES Para la presentación de la siguiente tabla se considera los parámetros a estudio como tanto la variable independiente y dependiente que a su vez nos llevaran a un indicador como se muestra en la tabla 3.1.
- 63 - Tabla 3.1 - Operacionalización de Variable independiente VARIABLE INDEPENDIENTE VARIABLE DEFINICIÓN DIMENSIÓN INDICADOR El sistema de seguridad por niveles (Variable Independie nte) Es la seguridad perimetral que segmenta por capas física, enlace, red, transporte y aplicación para la seguridad aplicada a los datos antes que accedan a los mismos. Se fundamenta en el conocimient o detallado de la seguridad que se le brinda a la arquitectura de capas del modelo TCP/IP el cual se aborda de manera independient e, así mismo se tiene como libro de referencia "Seguridad por niveles", (Corletti, 2011). Nivel físico: El nivel físico abarca desde el ingreso del personal a la institución, así mismo la ubicación del centro de almacenamiento de información y sus planos eléctricos o de refrigeración y la puesta a tierra también se considera la confianza en dispositivos, medios seguros por el cual se transmiten datos (bits, cifrado, etc.). Nivel de enlace: Regulación de la velocidad de transmisión, QoS, Control de Redundancia Cíclica, corrección de errores de cabecera, MAC e IP unificado a un equipo, identificación de los canales, ubicación de acceso a racks, planos de identificación del cableado, certificación de los medios norma TIA, documentación y control de cambios, restringir el acceso al centro de datos, mecanismos de backup, planes y medidas contra incendios, análisis de topología de la red, control de direcciones de hardware, auditaría de configuración de switches, análisis de tráfico, análisis de colisiones para evitar DoS, detección de sniffer en la red, monitoreo de puntos de acceso. . Nivel de Internet: Enrutamiento con la segmentación y confianza, conmutación de paquetes, marcado de paquetes, multiplexacion de conexiones de red, uso de Proxy, establecimiento de circuitos virtuales VLAN, dirección de red, control de contraseñas, backup de las configuraciones, lista de control de acceso, logs de eventos, seguridad de consola por consola, detección de ataques. Nivel de transporte: Conexión extremo a extremo VPN, selección de QoS, DNS, monitoreo de los equipos de comunicación con el SNMP, control de establecimientos de y cierres de sesión, cerrar puerto UDP, auditoria de troyanos. Nivel de aplicación: Cifrado de archivos GPG, Firewall de aplicaciones web, telnet, FTP, SSH, sftp, SMTP, IMAP, SNMP, HTTP,HTTPS, TLS Fuente: Elaboración Propia
- 64 - Tabla 3.2 - Operacionalización de Variable dependiente VARIABLE DEPENDIENTE VARIABLE DEFINICIÓN DIMENSIÓN INDICADOR Redes informáticas corporativas en los centros de datos. (Variable dependiente) Son las redes de comunicaciones de datos o redes de computadoras a un número de sistemas informáticos conectados entre sí mediante una serie de dispositivos alámbricos o inalámbricos, gracias a los cuales pueden compartir información en paquetes de datos. La red corporativa es la que permite conectar las locaciones como sedes de la entidad de estudio, asimismo la conexion debe preveer la privacidad, ser fiable y permanencia.. Servidor: Ordenador que pone sus ecursos a disposición a través de una red, en donde se instalan servicios ya sea para el despliegue de aplicaciones o de control mediante el uso de Firewall, IDS etc. Router: Es un enrutador o encaminador, este permite interconectar computadoras que funcionen en una red, asi mismo hace la tarea de control de la red mediante protocolos ya sea mediante la segmentacion o creacion de vlans, vpns, enrutamiento estatico estatico, enrutamiento dinamico, control de ancho de banda y firewalls. Switch: Este dispositivo es conocido como conmutador, este cumple la función de interconectar los equipos informáticos ya sea mediante puertos seguros o vlans. Fuente: Elaboración Propia
- 65 - 3.7 . MATRIZ DE CONSISTENCIA Tabla 3.3 - Matriz de Consistencia PROBLEMA OBJETIVO HIPÓTESIS ¿Cuál es la influencia de la implementación de un sistema de seguridad por niveles en la red informática corporativa del sistema de seguridad del sistema universitario de Bolivia? Diseñar el Sistema de Seguridad por Niveles para las redes corporativas, en los Centros de datos del Sistema de Universidades de Bolivia en cumplimiento con el requerimiento de interoperabilidad y sujeto a la Ley N.º 164, el Decreto N.º 1743 y el Decreto supremo N° 3251. La implementación del sistema de seguridad por niveles permitirá mejorar los niveles de seguridad en la red informática corporativa del Sistema Universitario de Bolivia. OCASIONA OBJETIVOS SECUNDARIOS PERMITIRÁ Perdida de información y así pierde la credibilidad ante la sociedad, generando dudas, y problemas administrativos por desconocer si los datos son fidedignos Analizar los requerimientos para la seguridad por niveles en el sistema universitario de Bolivia en conformidad a la ley 164, D.S. 1793, D.S. 3251 y D.S. 2524. Definir las especificaciones y lineamientos de recursos, analizando su estado actual de la Universidad, que respondan a la ley 164, D.S. 1793, D.S. 3251 D.S. 2524. Realizar el diseño de seguridad para las redes informáticas corporativas de la Universidad. Seleccionar la tecnología que responda al requerimiento del sistema de seguridad informática corporativa y la normativa vigente. Presentar la implementación de un prototipo que respondan a la seguridad de la red informática corporativa. Mejora la seguridad de la información y con eso se mitigará las amenazas y garantizará la continuidad del negocio. Fuente: Elaboración Propia
- 66 - 3.8 . UNIVERSO Y MUESTRA Según el autor (Hernandez Sampieri, 1997) de metodología de la investigación nos indica: “…los conceptos de muestra, población o universo, tamaño de muestra, representatividad de la muestra y procedimiento de selección. También presenta una tipología de muestras: probabilísticas y no probabilísticas. Explica cómo definir los sujetos que van a ser medidos, cómo determinar el tamaño adecuado de muestra y cómo proceder a obtener la muestra dependiendo del tipo de selección elegido” (p,175). La población o universo para el presente estudio está conformado por las 16 Universidades que estén dentro de la CEUB, que hacen uso de la información que se tiene en la institución, así mismo la unidad que se utilizara son las personas que se comprendan dentro de la población que hace uso de la información, los medios por los cuales se transmiten o almacenan todo tipo de dato. 3.8.1. UNIVERSO Universo, representa las 16 Universidades que conforman al sistema de la universidad boliviana, que se encuentran 11 Universidades Autónomas, 4 Universidades de Régimen Especial y 1 Universidad de Régimen Especial en Posgrado, según la información de la CEUB se tiene un total de estudiantes 467.722 que conforman el total hasta la gestión 2016 con lo cual su crecimiento en total es del 65.07% en 12 años, del 2005 al 2016. 3.8.2. MUESTRA El tipo de muestreo empleado para determinación de la muestra es no probabilístico, en ese entendido, la muestra corresponde a la UPEA. Los criterios bajo los que se eligió la UPEA son los siguientes:  Disponibilidad y acceso a la información
- 67 -  Es la Universidad con menor cantidad de años de creación.  Es una universidad que pertenece al régimen de autónoma y percibe los recursos que son de coparticipación e IDH para su funcionamiento.  Es la universidad más joven de las Universidades Públicas.  Es la que presenta una mayor cantidad de respuestas negativas o desfavorables en cuanto al cuestionario realizado a las dos del departamento de La Paz.
- 68 - CAPÍTULO CUARTO DESARROLLO PRACTICO 4 . ESTADO INICIAL - ACTUAL DEL CENTRO DE DATOS DE LA UNIVERSIDAD PÚBLICA DE EL ALTO 4.1 ESTADO INICIAL – ACTUAL DEL CENTRO DE DATOS DE LA UPEA La Universidad Pública de El Alto está ubicada en el departamento de La Paz ciudad de El Alto en la zona Villa Esperanza, Avenida Juan Pablo Segundo entre las Avenidas Sucre “A” y Sucre “B”, también cabe aclarar que el centro de datos de la UPEA se encuentra alojado en el Edificio Emblemático planta baja. Figura 4.1 - Edificio emblemático Ubicación Av. Juan Pablo Segundo (www.upeaaldia.com) Actualmente el centro de datos se encuentra en funcionamiento y cuenta con acceso a internet. El centro de datos de la UPEA cuenta con un ambiente aislado de los otros donde se puede acceder mediante el uso de una tarjeta que autoriza el Jefe del SIE y así ingresar al centro de datos. La red de la Universidad Pública de El Alto está formada por tres partes que son la RED LAN figura 4.2, RED WIRELESS figura 4.3, CENTRO DE DATOS figura 4.1, como se muestra a continuación:
- 69 - Figura 4.2 - Centro de Datos de la UPEA (Elaboración Propia) El centro de datos está compuesto por una conexión hacia al ISP que tiene el servicio de AXS Bolivia con un ancho de banda de 120 Megabits para la distribución hacia la red interna y externa, con el Router de la marca Mikrotik RB cloud Core 10** que tiene el trabajo de enrutamiento y firewall. Figura 4.3 - Red LAN de la UPEA (Elaboración Propia) La Red LAN esta desglosada por diferentes subredes que se segmentan y una red wifi que es dedicada para la distribución de internet entre los estudiantes y los docentes.
- 70 - Figura 4.4 - Red de Interconexión de la UPEA (Elaboración Propia) En la red de interconexión de la UPEA es la que se encarga a conectar las sedes de Villa Ingenio, Villa Tejada Triangular y la sede de Kallutaca mediante la conexión de radio enlaces y puedan acceder a la información del centro de datos. Figura 4.5 - Diagrama lógico de la UPEA (Elaboración Propia) Para este fin de analizar el diagrama lógico como se muestra en la figura 4.4 de la red y la conformación del centro de datos desde el punto de vista y evaluación con el cumplimiento de la legislación boliviana y de seguridad por niveles que plantea el modelo TCP/IP que está conformado por:
- 71 - Figura 4.6 - Seguridad de la Red Corporativa de la Seguridad Física (Elaboración Propia) En el Figura 4.5 muestra la seguridad de la red corporativa y así se toma nota y evalúa que tiene como únicos factores presentes son una ubicación adecuada y un único acceso por un credencial que se prestan entre los que trabajan en el SIE quienes administra el centro de datos y el desarrollo de las aplicaciones, pero sus medidas de seguridad para acceder son bastante defectuosas debido a que no presenta un control o monitoreo del centro de datos y no contar la con documentación de los planos que son necesarios para hacer un mantenimiento posibles fallas. Figura 4.7 - Seguridad en la Capa de Enlace (Elaboración Propia)
- 72 - En la figura 4.6 se muestra la capa de enlace se tiene como los elementos que evalúan esta capa es la información y su correcto análisis de tráfico y de los equipos de conexión hacia los diferentes dispositivos. Figura 4.8 - Seguridad de la capa de red (Elaboración Propia) En la figura 4.7 de la seguridad de red se tiene como únicos puntos que se tienen en funcionamiento como se un backup siempre que el encargado del centro de datos vea conveniente, el uso de un firewall que no se sabe si cumple los parámetros de correctos en la aplicación de reglas y la adecuada distribución de los recursos. Figura 4.9 - Seguridad de la capa de transporte (Elaboración Propia) En el Figura 4.8 nos muestra la seguridad en un nivel más bajo ya que no se cuenta con sistemas operativos en los usuarios finales con software libre y solo se cuentan con software pirata que abre un agujero muy grande en el tema de seguridad y trasgrediendo el uso de software libre en entidades públicas.
- 73 - Figura 4.10 - Seguridad en la capa de aplicación (Elaboración Propia) En el Figura 4.9 se tiene a la última capa de del modelo de seguridad por niveles que presenta a la aplicación que a su vez está conformado por los componentes que interactúan con el usuario, desde el servidor de correo electrónico y el servidor web, al revisar la evaluación de los componentes que esta sujetos en la presente capa se tiene que no cuentan con ningún tipo de control que norme el sistema que brinda el tema de aplicaciones orientadas a los diferentes servicios. En la normativa legal que rige en el estado plurinacional de Bolivia se tiene como acciones el promover la implementación del gobierno electrónico que tiene como tarea la implementación de software libre, el desarrollo de software con el uso de protocolos y estándares libres. A continuación, se muestra de la tabla de resultado de la UPEA.
- 74 - Tabla 4.1 - Tabla de Implementación de gobierno electrónico en la UPEA LEGISLACIÓN BOLIVIANA APLICADA EN LA UNIVERSIDAD PÚBLICA DE EL ALTO FÍSICA ENLACE RED TRANSPORTE APLICACIÓN Decreto supremo 1793 Articuló 2 Aplicabilidad para toda entidad pública o privada que tenga actividad que presten servicio con la certificación digital y firma digital I) Desarrollo de contenidos y aplicaciones, se puede transferir la información por medios electrónicos sin examinarlos ni modificarlo salvo autorización del propietario NO NO NO NO SI II) Software libre, establece que el usuario ejercite las libertades como ser: ejecutar el software para cualquier propósito sin restricción, estudiar el funcionamiento del software y modificarlo para que cumpla un determinado propósito esto mediante el acceso del código fuente NO NO NO NO SI Seguridad informática establece los procedimientos y herramientas que se enfocan a la protección de la infraestructura computacional, preservando la integridad, disponibilidad y confidencialidad NO NO NO NO NO Articulo 5 contenido y aplicación en desarrollo de plataformas virtuales de aprendizajes en niveles educativos, salud y atención y servicio a la población Promueve el derecho a la privacidad y fortalecer la seguridad informática y así mismo la protección de los datos, con los planes de contingencia desarrollados e implementados en cada entidad NO NO NO NO NO Articulo 17 Implementación de gobierno electrónico para promover la transparencia en la gestión publica NO NO NO NO NO Articulo 18 Lineamiento de plan de implementación de gobierno electrónico, como el derecho a acceder, participar y relacionarse de manera transparente NO NO NO NO NO Articulo 21 Lineamiento de software libre plantea el desarrolla de software libre y estándares abiertos en las plataformas informáticas, y promueve el mecanismo de cooperación internacional NO NO NO NO NO Articulo 22 Repositorio estatal de software libre donde se tiene como obligación de registrar los sistemas y aplicación libres usadas o desarrolladas de manera directa o atravesó de terceros NO NO NO NO NO Articulo 26 Certificado digital es el acreditar la identidad del titular de la firma vincular un documento o mensaje y correo electrónico. NO NO NO NO NO
- 75 - Articulo 27 Certificado digital deben cumplir con la emisión por una autoridad NO NO NO NO NO Articulo 56 Protección de datos personales con el fin de resguardar la información el sector público como el privado y garantizando la seguridad de los datos. NO NO NO NO NO Decreto supremo 3251 Articulo 5 La Implementación de gobierno electrónico y los planes institucionales implementación de software libre y estándares abiertos como priorizado y financiado por cada entidad NO NO NO NO NO Articulo 6 La MAE tiene la obligación de designar a los responsables del gobierno electrónico NO NO NO NO NO Articulo 4 Interoperabilidad se determina por obligatoriedad por las entidades públicas para compartir información con la interoperabilidad NO NO NO NO NO Fuente. Elaboración Propia 4.2 .RIESGOSDEL CENTRODEDATOSDELAUNIVERSIDAD PÚBLICADEEL ALTO Para la presentación de la información recolectada, se expone los datos como el riesgo presente en los activos con la información de todos los estudiantes y los respectivos datos de la institución. Es así que se procederá a desmenuzar con la tabla 4.1 de riesgos existentes en el mismo centro de datos de la UPEA. Seguidamente se procede a relevar la información de donde se colecta e indaga que la Universidad Pública de El Alto no cuenta con políticas de seguridad. Así también en la clasificación se base en los criterios de seguridad por niveles que son clasificadas por la capa física, enlace red, transporte, aplicación y el sistema eléctrico con el sistema de aire acondicionado como se muestra a continuación como se muestra en la tabla 4.2.
- 76 - Tabla 4.2 – Riesgos del centro de datos para la Universidad Pública de El Alto RIESGO PROBABILIDAD (AMENAZA) (P)(1-3) SEVERIDAD (GRADO DE PERDIDAS ESPERADA) CONTROL (C ) (1-3) ÍNDICE DE RIESGO (P*S)/C NIVELES DE SEGURIDAD (NO) TIENE/ (NO) CUMPLE SISTEMA ELÉCTRICO *Sist. de Conexión a tierra por falta de mantenimiento 3 3 1 9 * Planos del sist. Eléctrico. *Generador con redundancia. 3 3 1 9 *Planta redundante en caso falta de alimentación eléctrica 2 3 1 6 *Combustible para 72 horas en caso de un evento prolongado de los grupos generadores 3 3 1 9 SEGURIDAD DE LA CAPA FÍSICA *Certificado de Cableado y estructurado en Telecomunicaciones 3 3 1 9 *Decretos supremos 3251 *Decretos supremos 1739 3 3 1 9 *Diseño de red con estándares internacionales ni la certificación TIER 3 3 1 9 *Planos de las trayectorias del cableado 3 3 1 9 *Planos de ubicación de Racks y Gabinetes y una buena distribución. 3 3 1 9 *Plan de inspección periódica de los equipos de comunicación. 3 3 1 9 *Auditoria de los equipos y registro de entrada y salida. 3 3 1 9 *Monitoreo y conocimietos de los equipos con acceso AP´s, switch, hubs. 3 3 1 9 *Control del acceso al centro de datos. 3 3 1 9
- 77 - RIESGO PROBABILIDAD (AMENAZA) (P)(1-3) SEVERIDAD (GRADO DE PERDIDAS ESPERADA) CONTROL (C ) (1-3) ÍNDICE DE RIESGO (P*S)/C NIVELES DE SEGURIDAD (NO) TIENE/ (NO) CUMPLE SEGURIDAD DE LA CAPA ENLACE *Control de los dispositivos que se conectan arbitrariamente por los usuarios. 3 3 1 9 *Historial de equipos confiables con el registro de sus direcciones físicas 3 3 1 9 *Análisis del tráfico de la red. 3 3 1 9 *Historial de configuraciones de los equipos como el Switch, hubs. 3 3 1 9 *Análisis de sniffer o protocolos. *Control de colisiones. 3 3 1 9 SEGURIDAD DE LA CAPA DE RED *Con almacenaje de la información ni análisis de los archivos logs, cuando existe sucesos. 3 3 1 9 * Tabla con valores específicos de las direcciones IP, (ARP) 3 3 1 9 *Clasificaciones de los protocolos de enrutamiento y uso adecuado 3 3 1 9 *Seguridad en la conexión acceso a modo consola. 3 3 1 9 *Configuraciones hechas según los routers (necesarias o suficientes). 3 3 1 9 *Historial de las configuraciones anteriores y actuales en los routers 3 3 1 9 *Control de los password de los routers. 3 3 1 9 SEGURIDAD DE LA CAPA DE TRANSPORTE *Cerrados todos los puertos que no son necesarios UDP. 3 3 1 9 *Filtrado dinámico de paquetes. 3 3 1 9 *Control de los encabezados y corroboración de paquetes legítimos en la red 3 3 1 9 *Software privativo en los equipos de los usuarios finales 3 3 1 9 *Prácticas de uso en las reglas de firewall. 3 3 1 9
- 78 - RIESGO PROBABILIDAD (AMENAZA) (P)(1-3) SEVERIDAD (GRADO DE PERDIDAS ESPERADA) CONTROL (C ) (1-3) ÍNDICE DE RIESGO (P*S)/C NIVELES DE SEGURIDAD (NO) TIENE/ (NO) CUMPLE SEGURIDAD DE LA CAPA DE APLICACIÓN *Plan de resguardo de la DMZ 3 3 1 9 *Control de las conexiones remotas a equipos o servidores 3 3 1 9 *Seguimiento de la red o filtrado de accesos. 3 3 1 9 *Alertas en caso de ataques. 3 3 1 9 *Protección de ataques a los correos institucionales y al servidor. 3 3 1 9 *Control adecuado al acceso del servidor FTP 3 3 1 9 *Auditorías a las aplicaciones, antes de la puesta en funcionamiento 3 3 1 9 *Conocimiento del nro de puertos que están abiertos del servidor DNS. 3 3 1 9 *Monitoreo de solicitudes extrañas por servidor Proxy 3 3 1 9 SISTEMA DE AIRE CONDICIONADO *Sistema de aire acondicionado. *Diagrama de la instalación del aire acondicionado. 3 3 1 9 *Pasillos calientes, alturas de pisos plata fones. 3 3 1 9 TOTAL DE RIESGO 366 Fuente. Elaboración Propia Como se observó previamente en la tabla (4.2) se observa que la muestra el nivel de riesgo con un total de 366 como el nivel presente en el centro de datos, que a su vez se vuelve en el grado de perdida esperada debido a la ocurrencia de un suceso particular y como una función de la amenaza y la vulnerabilidad. Con lo anterior mencionado no se cumpliría la integridad de la información, la confiabilidad y aún más la disponibilidad de la información que es vital para los estudiantes, docentes y administrativos de la universidad.
- 79 - 4.2.1. Superficie de ataque del Centro de Datos de la UPEA Para la presentación de la superficie de ataque se hace uso de la fórmula 3.3 que nos muestra el nivel de exposición hacia los ataques de la red corporativa con este cálculo se pretende asumir los riesgos que se tiene la información almacenada en el centro de datos de la Universidad Pública de El Alto. Tabla 4.3 - Servicios Web alojados en el Centro de datos de la UPEA N ° SERVICIOS WEB I P 186.121.2 06.248 186.121.206.239 186.121.206.239 186.121.206. 239 186.121.206.2 40 186.121.206.253 186.121.206.237 1 www.up ea.bo www.arquitectura. upea.edu.bo www.vicerrectora do.upea.bo www.rrnnii. upea.bo www.siacop. upea.bo www.inscripciones.sist emas.upea.bo www.idiomas.u pea.edu.bo 2 21/tcp open ftp 21/tcp open ftp 21/tcp open ftp 21/tcp open ftp 80/tcp open http 80/tcp open http 21/tcp open ftp 3 80/tcp open http 80/tcp open http 80/tcp open http 80/tcp open http 443/tcp open https 2000/tcp open callbook 80/tcp open http 4 443/tcp open https 111/tcp open rpcbind 111/tcp open rpcbind 111/tcp open rpcbind - 8291/tcp open unknown - 5 5989/tcp open unknown 3306/tcp open mysql 3306/tcp open mysql 3306/tcp open mysql - - - 6 - 7070/tcp open realserver 7070/tcp open realserver 7070/tcp open realserver - - - Fuente. Elaboración Propia Entendiendo que no todos los estudiantes se conectan en el mismo horario o día del total de estudiantes que cuenta la Universidad Pública de El Alto supondremos que alrededor 500 estudiantes se conectan simultáneamente, a los puertos abiertos en total son 30 y no existe control, no se cuenta con el control de secciones y tampoco existe cifrado. 𝑇𝑜𝑡(𝑆𝑢𝑝𝐴𝑡𝑎𝑞𝑢𝑒) = (500 ) ∗ (30) ∗ (10) ∗ (10) (4.1) 𝑇𝑜𝑡(𝑆𝑢𝑝𝐴𝑡𝑎𝑞𝑢𝑒) = 1500000 (4.2)
- 80 - Con la formula (4.1) se observa la que la superficie de ataque es 1.500.000, esto supera por mucho siendo el límite máximo 1000 según (Sorell Slaymaker, 2018) para la superficie de ataque lo cual nos muestra que tan vulnerable es para futuros ataques. No se contempla que la cantidad de estudiantes es superior a 42 000 estudiantes hasta la gestión 2016. 4.3 PRESENTACIÓN DEL DISEÑO PARA LA SEGURIDAD CORPORATIVA Para el diseño de la red corporativa se busca primeramente hacer un diseño que será divida para un mejor entendimiento y se seguirá los siguientes puntos:  Modularidad: Los diseños de las redes que soporten el crecimiento y cambios mediante bloques constructivos.  Elasticidad: Los diseños de las redes de campo tienen que tener diseños de alta disponibilidad y su tiempo de funcionamiento debe ser de 100%.  Flexibilidad: Los cambios en los negocios es una garantía para cualquier empresa de ahí que se requiere una rápida adaptabilidad. Para la presentación del modelo se busca unificar los criterios ya usados por la seguridad por niveles y niveles de seguridad, para el modelado se hará el uso del SDP (Software Define Perimetre) este modelo es aplicado por que lleva dentro sus principios el Zero/Trust (Confianza cero) que está basado en los datos los usuarios, dispositivos, la red, aplicaciones, automatización y análisis, en la figura 2.2 se observa el diseño planteado donde nos muestra el modelado. Para el modelado del sistema y/o funcionar es necesario hacer un diagrama de flujo que muestre de forma ordenada la idea como se observar en la figura 4.10 tenemos el diagrama de flujo donde iniciamos con la contextualización de a dónde va dirigido el diseño, mediante la función del primer bucle mientras que (while) exista
- 81 - solicitudes de información es el que lo conoceremos más adelante como SDP Gateway, que nos muestra si existe la solicitud de un proceso y así conectarse con la base de datos o aplicación, especifica que se encuentra en el centro de datos. Antes de ingresar a la información se muestra dos condicionales que va a procesar la solicitud y comprobar su autenticidad, autenticación y seguimiento de que acciones realiza el usuario. Por Si ingresa a la red corporativa y al servidor NAS y así ingresar al condicional y preguntar si cumple con la autenticación modular de aplicación y por esa manera conectarse la base de datos al cabo de terminar las acciones necesarias se conectarán al bucle de mientras que (while) que actúa como el “SDP controler” y controla y sigue todo el proceso desde que se inicializa hasta su culminación. Antes de presentar el diseño es necesario presentar el diagrama de flujos con el cual se hará entender el cómo debe funciona el diseño que está compuesto por 4 bloques seguidamente se presenta el diagrama de flujo la figura 4.10.
- 82 - Figura 4.11 - Diagrama de Flujo del diseño de seguridad corporativa (Elaboración propia) La presentación de la propuesta de diseño de para la seguridad por niveles para la Universidad Pública de El Alto, se planteará en niveles que a su vez estarán compuestas por la SEGURIDAD POR NIVELES (Corletti, 2011). 4.3.1. Nivel de Acceso La capa de acceso representa el perímetro de la red, por donde entra o sale el tráfico de la red de campus. Tradicionalmente, la función principal de los switches de capa de acceso es proporcionar acceso de red al usuario. Los switches de capa de acceso se conectan a los switches de capa de distribución, que implementan tecnologías de base de red como el routing, la calidad de servicio y la seguridad.
- 83 - Para satisfacer las demandas de las aplicaciones de red y de los usuarios finales, las plataformas de switching de última generación ahora proporcionan servicios más convergentes, integrados e inteligentes a diversos tipos de terminales en el perímetro de la red. La incorporación de inteligencia en los switches de capa de acceso permite que las aplicaciones funcionen de manera más eficaz y segura en la red con el uso del vlans o vpn y segmentación.
- 84 - Tabla 4.4 - Seguridad en el nivel de acceso NIVEL DE ACCESO SEGURIDAD POR NIVELES PILARES DE ZERO TRUST (CONFIANZA CERO) NORMATIVA MEDIDAS DE CONTINGENCIA SEGURIDAD FÍSICA Inspección de MAC y su ubicación de equipos conectados a la red. SEGURIDAD DE REDES La autenticación continua de los usuarios Ley 164, art. 54 derechos de los usuarios. Políticas de seguridad, registro de equipos y planos de ubicación. Análisis de tablas ARP Tecnología de Identificación, credencial y administración de acceso "autenticación multifactorial" DS. 1783 art.2 inciso i) Transferir la información por medios electrónicos, con fines educativos - vi) seguridad de la información Switch Caracterización de los canales, con la identificación clara marcada y numerada DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Switch Politicas de seguridad Identificación de tramos críticos donde se transmita información delicada o importante Monitoreo continuo y validación de confiabilidad de usuario DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados vlan, switch Planos de instalaciones eléctricas, cableado de comunicación Políticas de seguridad políticas de seguridad Control de cambios, toda modificación debe ser documentada. Tecnología que asegure la interacción de usuarios Políticas de seguridad Políticas de seguridad Guardar la información de documentos archivos DS. 1783 art. 56 protección de datos personales políticas de seguridad Control de módems y Hubs y repetidores que se conecten a la red SEGURID AD DE DISPOSI TIVOS Confiabilidad de los dispositivos switch, routers Políticas de seguridad
- 85 - Análisis de la topología de red Sistemas de registros de los dispositivos DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Diseño de la red Estrategias de crecimiento lógico de la red Evaluación para cada solicitud de acceso DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Planificación de crecimiento de red, políticas de seguridad Asignación de prioridades y reservas para el acceso a la red Comprobación: estado, versión de software , estado de protección, habilitación de cifrado DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados switch, QoS Puntos de acceso de red debe existir Razón de su existencia DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados switch, aps, hubs, repetidores Fuente. Elaboración Propia 4.3.2. Nivel de Distribución En el nivel de distribución el mismo añade los armarios de alambrado utilizando conmutadores para segmentar y aislar la red de los problemas del entorno. De modo semejante este nivel adiciona las conexiones WAN a los bordes del campo y ofrece un nivel de seguridad con los corta fuegos. A menudo este nivel actúa como frontera de control y de servicios entre el nivel de acceso y el principal con la implementación de proxy que trabaja de modo transparente o sistemas de control de intrusos para presentación de aspectos que se consideran en este se presenta en la tabla 4.5.
- 86 - La capa de distribución interactúa entre la capa de acceso y la capa de núcleo para proporcionar muchas funciones importantes, incluidas las siguientes:  Agregar redes de armario de cableado a gran escala.  Agregar dominios de difusión de capa 2 y límites de routing de capa 3.  Proporcionar funciones inteligentes de switching, de routing y de política de acceso a la red para acceder al resto de la red.  Proporcionar una alta disponibilidad al usuario final mediante los switches de capa de distribución redundantes, y rutas de igual costo al núcleo.  Proporcionar servicios diferenciados a distintas clases de aplicaciones de servicio en el perímetro de la red.
- 87 - Tabla 4.5 - Seguridad de distribución NIVEL DE DISTRIBUCIÓN SEGURIDAD POR NIVELES PILARES DE ZERO TRUST (CONFIANZA CERO) NORMATIVA DISPOSITIVO HARDWARE /SOFTWARE SEGURIDAD DE ENLACE Control de direcciones de hardware en el MAC SEGURIDAD DE RED Perímetros desde el borde de la red y segmentar y aislar datos críticos de otros datos DS. 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados switch, routers auditorio de configuraciones brige o switch Controlar los accesos privilegiados a la red DS. 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados control de paquetes Análisis de trafico Controlar los flujos de los datos de internos y externos DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados IDS, firewall Análisis de colisiones Tomar decisiones de políticas de confianza dinámicas sobre el tráfico de redes y datos DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados router Detección de sniffer y analizadores de protocolos tener la capacidad de segmentar y aislar y controlar la red DS. 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados IDS Evaluación de los puntos de acceso impedir el robo de credenciales DS. 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados router, hotspot Evaluación de dispositivos blutooth y otros que se conecten a la red DS. 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Políticas de seguridad Fuente. Elaboración Propia 4.3.3. NIVEL PRINCIPAL DE CONEXIÓN A INTERNET (CORE O BACKBONE) La capa de núcleo es la conexión principal hacia el internet conocido también como backbone donde se tiene la red conectada hacia los demás medios de comunicación, esta a su vez conecta varias capas de la red del campus que forma
- 88 - la red corporativa de a modelar. La capa de núcleo funciona como agregado para el resto de los bloques del modelo y une con el resto de la red. El propósito principal de la capa de núcleo es proporcionar el aislamiento de fallas y la conectividad de backbone de alta velocidad. Un diseño de red de campus de tres niveles para organizaciones donde las capas de acceso, de distribución y de núcleo están separadas. Para armar un diseño de disposición de cables físicos simplificado, escalable, rentable y eficaz, se recomienda armar una topología de red física en estrella extendida desde una ubicación central en un edificio hacia el resto de los edificios en el mismo campus. En algunos casos, debido a la falta de restricciones físicas o de escalabilidad de la red, no es necesario mantener las capas de distribución y de núcleo separadas. En las ubicaciones de campus más pequeñas donde hay menos usuarios que acceden a la red, o en los sitios de campus que constan de un único edificio, puede no ser necesario que las capas de núcleo y de distribución estén separadas como se muestra en la tabla 4.6.
- 89 - Tabla 4.6 - Seguridad de nivel de conexión a internet NIVEL DE CONEXIÓN PRINCIPAL ASÍ EL INTERNET SEGURIDAD POR NIVELES PILARES DE ZERO TRUST (CONFIANZA CERO) NORMATIVA MEDIDAS DE CONTINGENCIA SEGURIDAD DE RED Control de contraseñas en los Routers SEGURIDAD DE RED Control de acceso privilegiado Ley 164, art. 54 derechos de los Usuarios Políticas de seguridad Configuraron innecesarias del Routers Políticas de confianza dinámica de las redes y datos DS. 1783 art.2 inciso i)transferir la información por medios electrónicos, con fines educativos - vi) seguridad de la información. Router, políticas de seguridad Realizar el resguardo de las configuraciones del Router Gestionar flujos de datos de entrada y salida DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados FIREWALL, IDS Empleo de protocolos de ruteo es crítico pues la mayor flexibilidad con el enrutamiento dinámico (RIP, IGRP, EIGRP, OSPF) Detección de virus en la red DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados ROUTER, FIREWALL,IDS Listas de control de acceso mediante el control y uso de firewall Segmentar la red y aislar datos críticos de otros datos DS. 3251 Art. 5 implementación de gobierno electrónico ROUTER, FIREWALL,IDS Permitir generar alarmas necesarias con los Archivos Logs SEGURIDAD DE CARGA DE TRABAJO El uso de datos contenidos en máquinas virtuales DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Servidor SDP control Seguridad en el acceso por consola que necesita el usuario experto puede acceder al equipo y cambiar el password Autenticación muti-factor, control de acceso adecuado a las aplicaciones de confianza cero DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados router, políticas de seguridad Planeamiento de mejores rutas al momento de enviar y recibir paquetes ICMP ANÁLISIS DE LA SEGURIDAD Aprovechamiento de herramientas como gestionar la información. DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Router
- 90 - Solicitud y respuesta de eco (ping) ICMP Análisis De La Seguridad DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados FIREWALL, IDS Obtener respuesta que niega de forma rápido y obtener "respuesta de destino no alcanzable" Análisis del comportamiento del usuario de seguridad en tiempo real DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados servidor SDP control Realizar la verificación de las tablas ARP, para evitar ataques ARP Orientar defensas de manera más inteligente con el análisis de datos de manera más proactiva antes que ocurra un incidente DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Router Realizar verificación de direcciones IP, tanto estático, dinámico y su buen sub-neteo de la red DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados router seguridad en la capa de transporte Controlar y verificar los establecimientos de sección y los puertos DS. 1783 art.2 inciso i)transferir la información por medios electrónicos, con fines educativos - vi) seguridad de la información Firewall Filtrado dinámico de paquetes y Cierre de los puertos que no se utilicen mediante el Firewall DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Firewall Controlar y verificar los encabezados de puerto de origen y puerto de destino DS. 1783 art.2 inciso i)transferir la información por medios electrónicos, con fines educativos - vi) seguridad de la información IDS Control de virus (troyanos y conexiones a la inversa DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Antivirus
- 91 - seguridad de aplicación Especificar los accesos de grupos de usuarios con sus permisos correspondiente, controlar los archivos LOG´s DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados servidor SDP control Control de Accesos remotos y seguimiento, verificación DS. 1783 art. 56 protección de datos personales servidor SDP control Usos de buenas prácticas del firewall con el seguimiento, filtrar acceso no autorizados, alertar en caso de ataques o comportamiento extraño DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Firewall Revisar espacios de los discos rígidos dedicar grandes áreas de discos al almacenamiento de mensajes, y separar esta área del resto del sistema DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados firewall aplicación web Revisar puertos FTP 20 y21 con filtraciones al pasaje entrante o saliente de los bit SYN y ACK DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Firewall Revisar la configuración y especial control de tráfico TCO puerto 53 DNS DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados WAF control de tráfico de servidores de correo electrónico de spam DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados WAF Control del servidor de almacenamiento de archivos, no permitir todo tipo de archivos que infecten al equipo o la red, que contenga información del creación. DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados IDS, WAF Control de aplicaciones desarrolladas por terceros DS. 1793 art. 22 repositorio estatal de software libre registro de aplicaciones WAF Fuente. Elaboración propia
- 92 - Seguidamente para el diseño corporativo se deberá contar con el esquema que cuente en su funcionamiento el uso de seguridad de niveles con los que se pretende disminuir el nivel del riesgo, a continuación, se presenta la Figura 4.12 donde se modela el diseño de la red corporativa para la Universidad Pública de El Alto. Figura 4.12 – Diseño de la Red Corporativa para la UPEA (Elaboración Propia) Así mismo para mejor estudio se desglosará los cuatro bloques como ser Universidad de la CEUB, Borde la Universidad, Borde del proveedor y sede de la universidad, por las que está compuesto el modelo de la seguridad de una red corporativa que a continuación se desmenuza.
- 93 - 4.3.4. Universidad de la CEUB (UPEA) 4.3.4.1. Centro de Datos El centro de datos es el ambiente donde se disponen los componentes que almacenan la información, comunicación con la entidad por esta razón se tiene como bien a resguardar con mayor importancia tanto en la parte de alimentación eléctrica y buena refrigeración más aun un control estricto al acceso del personal contemplando la importancia de certificación del TIER III. Este aspecto se le considera como la parte física que son los discos duros o solidos donde se almacena la información, que a su vez se comunica con el enrutador o firewall y es monitoreada por el SDP controler que a su vez monitorea y controla el SDP Gateway, SDP cliente para tener la implementación correcta de confianza Cero. 4.3.4.2. Firewall´s Un firewall puede ser hardware o software dependiente a cada requiriendo de cada entidad o su capacidad adquisitiva, pero para en esta parte está arreglada por el Firewall de aplicación de web, el sistema de detección de intrusos. WAF (firewall de aplicaciones web) este elemento tiene la tarea de monitorear de manera más específicas a todas a las aplicaciones web que tenga la entidad para disminuir las vulnerabilidades existentes. IDS (sistema de detección de intrusos) es el encargado de monitorear el tráfico y comportamiento de los usuarios dentro la red interna y que tipo de actividad realizan en el tiempo que mantienen la conexión con el centro de datos o entre la misma red interna.
- 94 - 4.3.4.3. Núcleo de la entidad Está compuesto por los equipos de comunicación como ser los swichts que son los que interconectan los equipos de computación, routers los encargados de direccionar los datos y los puntos de acceso que son los que brindan la interconexión con los dispositivos móviles hacia el internet o a la misma entidad de ser necesario. 4.3.4.4. Distribución de edificio En la distribución es la encargada de la segmentación de las diferentes áreas mediante la separación de la red y de los ambientes de trabajo y así mismo delegando las tareas y funciones y marcando la parte física y lógica que permitían la comunicación para así tener mejor control de todos los elementos de la entidad. 4.3.5. Borde de la universidad Así mismo el borde de la universidad es un conjunto de servidores que trabajan como espejos de los servidores originales que se encuentran en el centro de datos y donde solo guardan información de forma volátil y no así a la información que puede comprometer a la institución. 4.3.5.1. SDP Controller El “SDP CONTROLER” que en la traducción es software definido para perímetro que es útil para el controlador las diferentes conexiones y las actividades que se realizan entre los usuarios finales y las aplicaciones en la plataforma web, a su vez es útil debido a que forma parte del plano de control y este a su vez se encarga de monitorear tanto al cliente SDP, SDP Gateway.
- 95 - 4.3.5.2. SDP Gateway (borde de controlador) El SDP Gateway actúa con el “plano de datos” transmitiendo el tráfico de red a los recursos especificados por el SDP controler, sirve como punto de terminación de acceso para la mutua seguridad de la capa de transporte desde el cliente SDP y el punto final punto visible o invisible para los recursos de la aplicación, es el punto de aplicación de políticas de trayectoria de datos. 4.3.5.3. SDP cliente El “SDP CLIENTE” es el usuario que tiene una la opción de trabajar desde otro lugar que no sean los ambientes de la entidad ya sea desde su casa o diferente lugar donde se conecte con su equipo que está debidamente identificado, autenticado, autorizado y monitoreado y seguimiento por SDP CONTROLER de todas las actividades que realiza. 4.3.5.4. Cloud Cloud son tecnologías que habilita al usuario el consumo de servicios pagando solo por lo que se consume, de forma escalable, elástica, flexible y por medio de un portal de auto aprovisionamiento. Escalabilidad y Elasticidad se refiere a la capacidad de hacer crecer o decrecer las características físicas y Flexibilidad a la capacidad de ajustar y desplegar rápidamente soluciones a las necesidades particulares de la organización. Las tecnologías Cloud ofrece al usuario diversos formatos, comúnmente llamado modelos de servicios entre los cuales se encuentran: IaaS, PaaS, SaaS ISP 1, ISP2. 4.3.6. Centro de Datos Sucursal Con la gestación de datos en gran cantidad por el funcionamiento puede existir o no esto entendiendo que no todas las sedes pueden requerir un centro de datos.
- 96 - 4.3.6.1. Tele Operador El Tele operador es la persona que tiene acceso a plataformas donde se ingresa a los servicios de páginas web y a la base de datos de la institución y así realizar consultas o modificar datos de tener la autorización, también esto se lo realiza de forma remota desde la sede hacia la central, esto con el objetivo de realizar consultas o insertar datos de ser necesario debido a que toda la información se centralizan en el centro de datos de la Universidad y de esta manera es autorizado y autenticado por el SDP CONTROLER. Seguidamente se mostrará el diagrama lógico en la figura 4.12 del diseño que estará separada por la parte que se le mostro anteriormente en la figura 4.11. Figura 4.13 - Diseño lógico de la red corporativa (Elaboración Propia) 4.4 . DEMOSTRACIÓN DE LA HIPÓTESIS En la demostración de la hipótesis se tiene como fin el resguardo de la información debido a esto se contempla la necesidad de hacer mejoras continuas, con el diseño de la red corporativa se reduce el índice de riesgo debido a que el SPD entre uno
- 97 - de sus principales estados es el control del flujo de la información y así como el uso del mismo como se lo muestra en la tabla 4.7. En la tabla 4.7 se muestra los niveles de riesgos donde se muestra los riesgos con la ayuda de la seguridad por niveles que contempla la seguridad física, red, enlace, transporte y aplicación. Se añade la probabilidad de la amenaza, severidad con el grado de perdidas, el nivel de control que se tiene sobre el nivel de seguridad y así lograr un índice de riesgo que como máximo nivel es tres por cada seguridad. Tabla 4.7 - Índice de riesgos con el diseño de la Red Corporativa RIESGO PROBABILIDAD SEVERIDAD CONTROL ÍNDICE DE RIESGO (C) (P*S)/C (AMENAZA) (GRADO DE PERDIDAS ESPERADA) (1-3) (P) (S) (1-3) (1-3) SISTEMA ELÉCTRICO Sistema de Conexión a tierra Si operable por falta de mantenimiento 1 3 3 1 Sistema Eléctrico Si cuenta con los planos y Si tiene el generador con redundancia. 3 3 3 3 Si cuenta Planta redundante en caso falta de alimentación eléctrica 1 3 3 1 Si cuenta con combustible para 72 horas en caso de un evento prolongado para utilización de los grupos generadores 1 3 3 1 SEGURIDAD DE LA CAPA FÍSICA Si se encuentra certificado el Cableado y estructurado de Telecomunicaciones 1 3 3 1 Si se cumple con los decretos supremos 3251 1739 1 1 3 0,33333333 Si se tiene diseño de la red con estándares internacionales ni cumplimiento de la certificación TIER 1 3 3 1
- 98 - Si cuenta con planos de las trayectorias del cableado 1 3 1 3 Si se cuenta con planos de ubicación de Racks y Gabinetes y su buena distribución 2 3 3 2 Si cuenta con plan de inspección periódica de los equipos de comunicación 1 3 3 1 Si cuenta con auditoria de los equipos y registro de entrada y salida. 2 3 3 2 Si se tiene conocimiento y monitoreo de equipos de acceso AP´s, switch, hubs. 1 3 3 1 Si se tiene control sobre acceso al centro de datos, acceso con préstamo de credencial para ingreso. 1 3 3 1 SEGURIDAD DE LA CAPA ENLACE Si se tiene control de los dispositivos que se conectan arbitrariamente por los usuarios 2 3 3 2 Si existe historial de equipos confiables con el registro de sus direcciones físicas 2 3 2 3 Si existe análisis del tráfico de la red. 2 3 3 2 Si se tiene Historial de las configuración de los equipos como se Switch, hubs. 2 3 3 2 Si se tiene análisis de sniffer o protocolos, ni control de colisiones. 2 3 3 2 SEGURIDAD DE LA CAPA DE RED Si se guarda y analiza los archivos logs, cuando existe sucesos 2 3 3 2 Si cuenta con una Tabla con valores específicos de las direcciones IP, (ARP) 1 3 3 1
- 99 - Si se tiene la clasificaciones de los protocolos de enrutamiento y uso adecuado 2 3 3 2 Si se tiene seguridad en la conexión acceso a modo consola 1 3 3 1 Si se conoce si las configuraciones hechas en los routers son necesarias o suficientes 3 3 3 3 Si se tiene guardada las configuraciones anteriores y actuales en los routers 2 3 3 2 Si se tiene control de los password de los routers. 2 3 3 2 SEGURIDAD DE LA CAPA DE TRANSPORTE Si se tienen cerrados todos los puertos que Si son necesarios UDP, 2 3 3 2 Si existe filtrado dinámico de paquetes 2 3 3 2 Si se tiene control de los encabezados y corroboración de paquetes legítimos en la red 3 3 3 3 Se cuenta con Software privativo en los equipos de los usuarios finales 3 3 3 3 Si se tiene buenas prácticas de uso de reglas de firewall 2 3 3 2 SEGURIDAD DE LA CAPA DE APLICACIÓN Si se cuenta con un plan de resguardo de la DMZ 2 3 3 2 Si se tiene control de las conexiones remotas a equipos o servidores 2 3 3 2 Si se tiene seguimiento de la red o filtrado de accesos 2 3 3 2 Si se tiene alertas en caso de ataques 2 3 3 2 Si se tiene protección de ataques a los correos institucionales y al servidor como tal 2 3 3 2
- 100 - Si se controla adecuadamente si acceden al servidor FTP 2 3 3 2 Si se audita las aplicaciones antes de la puesta en funcionamiento 2 3 3 2 Si se sabe que puertos están abiertos del servidor DNS 1 3 3 1 Si se monitorea solicitudes extrañas por servidor Proxy (Si se tiene) 2 3 3 2 SISTEMA DE AIRE A CONDICIONADO Sistema de aire acondicionado, diagrama de la instalación del aire acondicionado 1 3 3 1 Pasillos calientes, alturas de pisos plata fones 1 3 3 1 TOTAL DE RIESGO 73,3333333 Fuente. Elaboración Propia En la tabla 4.3 entrega un índice de riesgo inferior 73.33 a la inicial de 366 con lo que nos da una clara muestra que se redujo el índice de riesgo. Por lo tanto, queda demostrado que el nivel de riesgo a reducido y la seguridad en la red corporativa ha mejorado.
- 101 - CAPÍTULO QUINTO PRESENTACIÓN DE RESULTADOS 5 . ANÁLISIS Y PRESENTACIÓN DEL DISEÑO DE ALTO NIVEL 5.1 ANÁLISIS Y PRESENTACIÓN DEL DISEÑO Una vez presentada el diseño en el capítulo cuarto se tiene como fin el llevar a cabo el prototipo que a su vez responda el diseño que cumplirá con los criterios de confianza cero y la legislación boliviana que norma el uso adecuado de las tecnologías con la implementación de software libre y así lograr la interoperabilidad de entre entidades públicas y privadas como se muestra en la figura 5.1. Figura 5.1 - Diseño Lógico de la Red Corporativa (Elaboración Propia) 5.2 . PRESENTACIÓN DEL MODELO PRÁCTICO Seguidamente para la presentación de la parte práctica y la implementación se lo realiza en un entorno virtualizado y controlado donde se observará los diferentes servicios que componen un entorno de seguridad que responda al diseño anteriormente mencionado.
- 102 - Para esto se compondrá de la siguiente manera; el centro de datos donde estarán implementados los servicios como ser:  Apache, es el servidor de página WEB.  Postgresql, es la base de datos que utilizan los diferentes servicios.  Postfix, es el servidor de correo electrónico corporativo. En el núcleo donde se transfiere del centro de datos a la red constara con los siguientes servicios:  Bind9, es el servidor de DNS de la red corporativa.  Ssh; es el protocolo de administración remota que sirve para controlar o modificar los servidores.  Snmp; es un protocolo de administración que facilita el intercambio de información entre los dispositivos conectados a la red (router, switches, máquinas de los usuarios, servidores).  Squid; es un servidor proxy para la web con cache.  Kerberos; es un protocolo de autenticación de redes internas o externas.  Gpg; es una herramienta de cifrado y firmas digitales.  Iptables; es el firewall que viene de forma nativa en las distribuciones de Linux.  Openvpn; es una herramienta de conectividad basada en SSL que permite conectividad punto a punto.  Snort; este es un sistema de detección de intrusos en la red.  Mod_security; este es el firewall de aplicación a la web.  Zabbix: este se encarga del monitoreo constante de los equipos y su comunicación, estado.  Bacula: sistema de backups para la red de servidores. Se mostrará a continuación el esquema lógico de la red con los servicios anteriormente mencionados, donde se observa que está compuesto por dos servidores que tienen alojado los servicios que se mencionaron con anterioridad, estos dos servidores cumplen, el primero su función es resguardar la información, monitorear los accesos, aplicar tablas de filtrado a nivel de paquetes y denegar
- 103 - accesos de ser necesarios, el segundo servidor tiene la función principal de entregar los servicios tanto como ser consultas a la web o direccionar los correos electrónicos, todo con el fin de brindar los servicios a los usuarios como se muestra en la figura 5.2 Figura 5.2 - Modelo práctico de la configuración (Elaboración Propia) 5.2.1. Servicios instalados en el servidor (debían-DNS1) En la figura 5.2 se tiene los siguientes servicios en las máquinas virtuales como se detalla donde se muestra la cantidad de servicios y puerto usan y su respectiva función y que medida de seguridad que se implementa para robustecer el grado de complejidad para atacantes o intrusos que deseen acceder a los mismos, como ser la tabla 5.1 a continuación.
- 104 - Tabla 5.1 - Servicios que se encuentran instalados en el srv-FWR NOMBRE PUERTO PROTOCOLO FUNCIÓN MEDIDA DE SEGURIDAD NIVEL DE TRABAJO bind9 (DNS) 53 TCP/UDP La función es de resolver los nombres a una dirección IP Cambiar los permisos de bind9 para que , se aumenta el nivel de cifrado en el archivo de la llave TCP/UDP= TRANSPORTE Ssh (Secure Shell) 22 TCP Es un protocolo de administración remota Cifrado de información y autenticación SSH= APLICACIÓN Snmp (simple Network management los protocol) 161 TCP/UDP Establecer una buena administración en los equipos de comunicación en la red Se debe cambiar el nombre de la comunidad para que otros usuarios no puedan acceder al servicio. UDP= TRANSPORTE TCP/IP= APLICACIÓN Squid (Proxy) 3128 TCP Es un servicio que cachea la el contenido de las paginas weby trabaja con los siguientes protocolos hhtp, ftp, tls, ssl https El control utilizado es mediante listas de acceso o denegación de servicios APLICACIÓN Kerberos 750:88 TCP/UDP es el tercero de confianza denominado por tener un centro de distribuciones de claves “KDC” Para que tenga funcionamiento antes debe estar en funcionamiento un DNS APLICACIÓN Gpg (Gnu Privacy Guard) ------- ------- Cifrar y firmar digitalmente los archivos Cifrar y firmar digitalmente de los archivos a copiar APLICACIÓN Iptables ------- TCP/IP, UDP, ICMP Su tarea es el realizar el filtrado de paquetes Es la primera defensa ante un posible escenario de un ataque hacia nuestra red, haciendo uso de reglas RED Snort ------- TCP, UDP, ICMP, IP,DNS, FTP,SNMP Es un sistemas dirigido a la detección de intrusos (IDS) Este sistema de control que cuenta con un lenguaje de creación de reglas en el que se puede definir los patrones para monitorizar el sistema RED Mod_Security (WAF) ------ HTTP, HTTPS Es un firewall de aplicaciones web Este se encarga de proteger de posibles ataques realizados al servidor web APLICACIÓN
- 105 - NOMBRE PUERTO PROTOCOLO FUNCIÓN MEDIDA DE SEGURIDAD NIVEL DE TRABAJO Bacula 9101 9102 TCP/IP UDP Copia de seguridad Solución empresarial de copias de seguridad (Backups) orientado a recuperar archivos e información critica APLICACIÓN Zabbix 10050 10051 TCP/IP, UDP Monitorear parámetros de una red Es un software que cumple la función de monitorear a los servidores o dispositivos conectados a la red APLICACIÓN Fuente. Elaboración Propia 5.2.1.1. Bind9 (DNS) El servicio de bind9 es el que cumple la función de DNS donde es el primero en ser objeto de consultas mal intencionadas (transferencia de zonas) con el fin de conseguir información de la infraestructura debido a que en su configuración guarda las direcciones internas del servidor web, correo electrónico y el dominio al que pertenece. En la ilustración 5.3 se muestra la llave con la que viene por defecto al momento de instalar el bind9 que es baja como se muestra en la figura 5.3 se tiene en un principio la información sin al realizar la trasferencia de zona en texto plano por lo cual el atacante logra el objetivo que es conseguir la información más delicada. Figura 5.3 - Llave de rndc.key (Sin seguridad), (Elaboración Propia) En la figura 5.4 se puede conseguir una nueva firma que es de 512 bits de longitud y aumentado así la seguridad al aumentar el nivel de cifrado y lograr mitigar en primera instancia consultas mal intencionadas al servidor DNS.
- 106 - Figura 5.4 - Llave de rndc.key (Llave cifrada), (Elaboración Propia) Se cambia el usuario dueño del archivo rndc.key, siendo que este archivo es donde se guarda la llave para el nivel de cifrado esto con el fin de que puedan otros usuarios cambiar o modificar como se muestra en la figura 5.5. Figura 5.5 - Cambio de dueño del archivo rndc.key (Elaboración Propia) 5.2.1.2. Ssh El servicio de ssh es el encargado de crear la credencial para que puedan acceder de forma remota los usuarios a quienes tendrán la responsabilidad de no permitir el acceso libre de cualquier persona ajena a la institución. En la parte de seguridad se puede designar al usuario que acceda y desde que IP accederá de al servidor de forma remota como se muestra en la figura 5.6. Figura 5.6 - Configuración de que equipos pueden acceder por SSH, (Elaboración Propia) En la siguiente conexión se muestra cómo se puede designar desde que IP y por lo que debe ingresar siendo que solo esa IP y el usuario asociado a esta puede tener acceso al mismo, una máquina tiene acceso con el usuario Javier y con IP amigo dentro de la lista de autorización como lo muestra la figura 5.7, con esta seguridad
- 107 - no es suficiente, ya que otra persona que tenga conocimiento puede suplantar al usuario y la IP. Figura 5.7 - Acceso de cliente por SSH, (Elaboración Propia) La seguridad que se tiene es una sola medida el que se asocie la IP y al usuario, conociendo que la información de este tipo se puede burlar y debido a que haciendo un estudio o conociendo algunas de estas operaciones se podría pensar que el atacante puede hacer una suplantación de la dirección IP y usar el usuario asociado a este, es así que se realiza la creación de las llaves pública y privada que ayuda a crear un nivel más de seguridad. La seguridad es mejorada con la creación de las llaves pública y privada con las que se identificara como equipo autorizado para autenticarse como se muestra en la ilustración 5.8, se observa la creación con el rsa.
- 108 - Figura 5.8 - Creación de las llaves pública, privadas (Elaboración Propia) Seguidamente se copiará la llave pública al equipo autorizado como lo muestra en la siguiente figura 5.9 Figura 5.9 - Copia de la Llave Pública, (Elaboración Propia) Y así tenemos la comunicación de forma que se comprueba y autoriza si el usuario es verdadero como se muestra en la ilustración 5.10. Al mismo tiempo que accede a una máquina se puede acceder a las aplicaciones que se tiene instaladas en el servidor, pero esto se puede negar que se abran otras ventanas con el cambio en el archivo /etc/ssh/sshd_config la línea de yes por no “X11Forwarding No”.
- 109 - Figura 5.10 - Configuración de apertura de ventanas por ssh, (Elaboración Propia) 5.2.1.3. SNMP Snmp (simple network management protocol) es el protocolo que se encarga de administrar los equipos de comunicación de la red desde cuantos puertos hasta el funcionamiento en sus interfaces. Para lo cual se debe realizar una configuración en el archivo de configuración como se muestra a continuación en la ilustración 5.11. Figura 5.11 - Configuración del SNMP, (Elaboración Propia)
- 110 - Seguidamente se buscará la información necesaria para el monitoreo y estado del equipo configurado con para que brinde información al servidor snmp para el ejemplo se usó un router Mikrotik de donde se obtiene la información de las interfaces para y el estado de los mismos, así como la memoria de total y la frecuencia con la que trabaja el microprocesador, como se muestra en la figura 5.12. Figura 5.12 - Información de recolección de información del router, (Elaboración Propia) 5.2.1.4. Squid El servidor squid se encarga de formar las listas de acceso o de negar acceso a internet o hacia otros dominios o direcciones a las cuales se les pueda restringir esto en cumplimiento de las políticas de seguridad de cada institución, para el tema de seguridad se lo configura realizando un proxy transparente que será el ente encargado de verificar a donde es el destino al cual se quiere enviar la solicitud de información o de donde proviene y a que páginas accede, se realiza la siguiente
- 111 - configuración adecuada de autenticación con un usuario contraseña antes de acceder al servicio como una medida de seguridad que si bien se le da al momento de navegar por la red corporativa como se muestra en la figura 5.13. Figura 5.13 - Advertencia al acceso por SQUID, (Elaboración Propia) Así mismo se configura el bloqueo de dominios para que no accedan los usuarios a dominios no permitidos como se muestra en la figura 5.14. Figura 5.14 - Configuración de bloqueo de Dominio (Elaboración Propia) Con la configuración realizada se puede observar cómo se brinda la seguridad de la autenticación al momento de que el usuario desea entrar a navegar le pide primero que se legitime y muestra el siguiente mensaje como se observa en la figura 5.15. Figura 5.15 - Identificación para Acceder al servicio de Internet (Elaboración Propia) Con la autenticación se accede a la página que se encuentra alojado en el servidor web esto con previa autenticación hacia el servidor Squid que trabaja como proxy, como se muestra la figura 5.16.
- 112 - Figura 5.16 - Acceso a la página de prueba en el servidor WEB, (Elaboración Propia) 5.2.1.5. Kerberos Kerberos es un protocolo de autenticación en una red que hace uso de creación de tickets con el cual se controla el tiempo del cual cuenta al momento de autenticarse hacia un servicio, el mismo coadyuva para acceder a la red el cual hace uso de tickets (kdc “key distribution center”), kerberos mantiene una base de datos de claves secretas y que se encripta como se muestra en la figura 5.17. Figura 5.17 - Creación de Tiquete para acceso (Elaboracion Propia) 5.2.1.6. Gpg El (gnu privacy guard) es un programa que ayuda el cifrado y firmado digital de los archivos con lo cual se puede transferir o copiar de forma segura con la clave pública para quien lo recibe tiene dos tipos de cifrado simétrico y asimétrico esto son el fin de compartir o almacenar información de forma segura en el equipo del usuario o al momento de compartir con otros usuarios pues se puede verificar su procedencia con la firma digital que cuenta el mismo al momento de cifrar el archivo. Así mismo se puede calcular el hash que solamente es la función matemática que crea caracteres.  Cifrado simétrico: el cifrado asimétrico es cuando tanto el receptor y el transmisor tiene la misma llave.
- 113 -  Cifrado asimétrico: es cuando se genera dos tipos de llaves tanto la llave pública y privada. Para lo que se crea un archivo de prueba con el cual se utilizará como se muestra en la figura 5.18. Figura 5.18 - Archivo cifrado (Elaboración Propia) Seguidamente, se realiza la creación de la llave asimétrica con lo cual se cifrará el contenido y se compartirá a otro usuario, previo a esto se hace la creación del tipo de cifrado para poner el nivel deseado al momento de cifrar la información y así la creación de la firma digital que muestra quien realmente es el autor y cuando creo para tener mayor confianza en el archivo, como se muestra en la siguiente figura 5.19. Figura 5.19 - Cifrado y firmado de la un archivo (Elaboración Propia) Seguido esta creación de la firma y el tipo de cifrado a manejar para la correspondiente creación de archivos, que serán cifrados se utilizó el identificador del usuario creado con su correo como se muestra en la figura 5.20. Figura 5.20 - Archivo encriptado (Archivo.txt.gpg) (Elaboración Propia)
- 114 - Una vez creado el archivo cifrado se compara ambos archivos tanto el cifrado y el original para observar el nivel de dificultad para el atacante al momento de buscar sacar la información en el archivo con nombre (Archivo.txt.gpg) como se muestra a continuación en la figura 5.21. Figura 5.21 - Archivo cifrado y archivo original (Elaboración Propia) 5.2.1.7. IPtables Iptables es un filtro de paquetes en la red que es parte del kernel de Linux que a su vez toma el papel del firewall por el manejo y control de los paquetes de red. En la parte práctica que se tiene como parte de la seguridad de los servidores que se encuentran en funcionamiento se implemente iptables. Para el control de qué tipo de datos que ingresan al servidor y que tipo de protocolo usa y su dirección IP, a partir de este punto de la red se empieza a utilizar reglas que determinan el ingreso o salida de paquetes hacia los servidores con el único objetivo de determinar qué acción realizar. Para el presente modelado se realizará las configuraciones necesarias para que se tengan acceso a los servicios del servidor web. En la figura 5.22 se muestra la configuración del servidor web donde se observa los servicios que están corriendo, esto se lo realiza mediante un escaneo de puertos con el nmap hacia el servidor.
- 115 - Figura 5.22 - Escaneo de los puertos en el SRV-WEB (Elaboración Propia) En la ilustración 5.23 se muestra la prueba de scanner al servidor que realiza el trabajo de bastión o conocido como equipo de pasarela donde se alojan los servicios de control como ser el proxy, dns, kerberos y el firewall. Figura 5.23 - Escaneo de los puertos debian10-DNS1 (Elaboración Propia) Con la configuración del iptables se presenta de la siguiente forma de aceptar tráfico dirigido hacia el servidor para consultas, pero no asimismo que puedan ver lo de atrás del servidor de firewall, es también que se establece nuevas cadenas donde se puede obtener las reglas que habilitan el tráfico a determinado puerto o dirección, las nuevas cadenas donde se redirigen los paquetes son una medida de seguridad debido a que la configuración del firewall es de denegar todo lo entrante y saliente y lo que atraviesa el firewall y para aceptar el tráfico aceptado por la
- 116 - creación de las cadenas nuevas, seguidamente se presenta la configuración en la figura 5.24. Figura 5.24 - Configuración de Iptables (Elaboración Propia) 5.2.1.8. Snort Snort es el sistema de detección de intrusos (IDS) con las reglas en el que se pueden definir los patrones que se utilizaran a la hora de monitorear el sistema ofreciendo una serie de reglas que se puede personalizar a medida que se observe conveniente, como se muestra en la figura 5.24 donde se ve los servicios con los que cuenta actualmente para este tipo el servidor donde se implementara las nuevas reglas para un monitoreo de las actividades que realicen o sean extrañas de los mismos usuarios o posibles ataques.
- 117 - Figura 5.25 - Reglas de Configuración para el IDS (Snort) (Elaboración Propia) Con la configuración previa del firewall se tendrá como fin el resguardar de ataques que se realicen de forma remota o de forma interna al servidor para esta parte se demostrara respuesta a los protocolos que se tienen conocimiento que otras personas puedan buscar acceder de forma no autorizada como se muestra en la figura 5.25, en el que se muestra la respuesta de conexiones ftp, icmp y etc. Figura 5.26 - Alertas del IDS con los paquetes de ICM, FTP (Elaboración Propia) 5.2.1.9. Mod securiy El MOD_Security es un firewall de aplicaciones web embebido que ejecuta como módulo del servidor web apache, provee protección contra diversos ataques hacia aplicaciones web y permite monitorizar trafico HTTP, así como realizar análisis en tiempo real sin necesidad de hacer de cambios a la infraestructura existente, esta herramienta es para detección y prevención de intrusos para aplicaciones WEB.
- 118 - En la ilustración 5.26 se muestra como se ingresa al servidor web con el uso de la dirección IP y código para inyección SQL 192.168.x.49/?id=40 or ´1´=´1, en la página para obtener la respuesta del servidor que esta junto con el WAF (modsecurity). Figura 5.27 - Inyección SQL a la página WEB (Elaboración Propia) En la siguiente figura 5.27 se muestra es la respuesta de modsecurity al hacer la inyección de SQL desde el mismo navegador del equipo donde se encuentra instalado el servidor web. Figura 5.28 - Respuesta del WAF (Elaboración Propia) 5.2.2. Servicios instalados en el servidor (SRV-WEB-MAIL) Los servicios que se implementan los siguientes servicios como el servidor de la página web, el servidor mail y la base de datos que interactúan para la transmisión y recepción de los datos de los usuarios, que se encuentran en la máquina con nombre SRV-WEB-MAIL como se muestra en la tabla 5.2.
- 119 - Tabla 5.2 - Servicios Instalados en la maquina (SRV-WEB-MAIL) NOMBRE PUERTO PROTOCOLO FUNCIÓN MEDIDA DE SEGURIDAD NIVEL DE TRABAJO Apache (servidor Web) 80;443 TCP/UDP Es un software de servidor web gratuito con el cual se ejecutan las aplicaciones web Con el uso de Https tiene con como fin la comunicación segura entre cliente servidor con el protocolo SSL Aplicación / transporte Postgresql 5432 TCP Es la base de datos relacional de código abierto de clase empresarial que admite consultas SQL Es un sistema estable, ofrece integridad y corrección, donde se hace uso de la anónimo de los datos Aplicación Postfix 25, 143, 110 Tcp/Udp Es un servidor que se encarga de ,a administración del correo electrónico Limitar el uso de la Shell cuando ingresan los usuarios habilitados para el uso del correo Aplicación, transporte Fuente. Elaboración Propia 5.2.2.1. Servidor WEB apache El servidor apache es un medio donde se realizan las aplicaciones que son orientadas hacia los usuarios finales y a los diferentes servicios o aplicación que se encuentran hasta que el usuario final haga uso adecuado, como se muestra en la figura 5.29 donde se asegura el servidor mediante el uso de páginas con certificación https que hace uso del SSL para permitir una conexión segura del servidor y el usuario. Figura 5.29 - Servidor WEB con protección de SSL, (Elaboración Propia)
- 120 - 5.2.3. Postgresql Postgresql es una base de datos relacional que admite código SQL (relacional) y JSON (no relacionado), permite las bases de datos, que ofrece estabilidad, integridad y corrección este a su vez es utilizado como almacén de datos primarios para muchas aplicaciones. Las medidas de seguridad tienen como fin el uso del  k-anonimity: Es una propiedad característica de los datos anonimizados.  ACID (Atomicity Consistency Isolation and Durabilidad Atomicidad): Es la propiedad que asegura que una operación se ha realizado o no, y por lo tanto ante un fallo del sistema no puede quedar a medias. Se dice que una operación es imposible para otra parte de un sistema encontrar pasos intermedios. 5.2.4. Postfix Postfix es un servidor de correo de software libre /código abierto un programa informático para el enrutamiento y envió de correo electrónico creado con la intención de que sea una alternativa más rápida fácil de administrar y segura al ampliamente utilizado Sendmail. Postfix es el agente de transporte por omisión en diversas distribuciones de Linux y en las últimas versiones. Una medida de seguridad recomendada es eliminar los permisos de acceso de Shell como se muestra en la figura 5.30 y cambio de usuario dueño y el grupo en el archivo, que se recomienda al momento de crear usuarios para el correo electrónico. Figura 5.30 - Se cambia el permiso para acceso a la SHELL (Elaboración Propia) Con lo anterior mostrado se tiene la siguiente configuración y distribución de los servicios que están alojados en los servidores en cada uno de ellos como se muestra en la ilustración 5.31.
- 121 - Figura 5.31 - Modelo de la Configuración Práctica (Elaboración Propia) La figura 5.31 nos muestra la configuración y reconocimiento de los equipos haciendo uso el aplicativo de zabbix que es el encargado de monitorear de manera constante los equipos conectados a la red. Figura 5.32 - Maqueta de equipos virtuales (Elaboración Propia)
- 122 - CAPITULO SEXTO CONCLUSIONES Y RECOMENDACIONES 6 . EPILOGO 6.1 EPILOGO Se realizó el relevamiento de todos y los requerimientos, así mismo previo a esto se efectuó un diagnóstico mediante un cuestionario al personal encargado de la institución donde se evidenció el desconocimiento de normas y estándares. Se definieron las especificaciones de los requerimientos de la seguridad que están interiormente comprendidas en la Legislación Boliviana donde estableció, los lineamientos que consideran el uso adecuado o resguardo de la información ya el uso inadecuado puede generar sanciones, perdidas económicas y de imagen personal o colectivo como se desmenuza a continuación. 6.2 CONCLUSIONES Se definieron las especificaciones de los requerimientos de la seguridad que están interiormente comprendidas en la Legislación Boliviana donde estableció, los lineamientos que consideran el uso adecuado o resguardo de la información ya el uso inadecuado puede generar castigo, pérdida económica ya se personal o colectivo como se desmenuza a continuación:  El test realizado a la UPEA donde se pudo ver una cantidad de respuestas negativas que corresponden a la seguridad de la información y la falta de control que se tiene con respecto a los incidentes de seguridad, y la falta de uso de un modelo de seguridad.  De esta forma, se evidencia que la institución no cuenta con las medidas necesarias de seguridad tanto en el análisis de tráfico o de alerta en cuanto a incidentes de seguridad, se tuvo que ofrecer contramedidas que
- 123 - acompañen a dichas tareas mediante la instalación de software libre que colabore con el monitoreo de incidentes de seguridad. Así mismo se compara la con la normativa boliviana que como lo exige y se detalla a continuación.  La Constitución Política del Estado Plurinacional de Bolivia establece como derecho a la privacidad e intimidad y corrección de la información del individuo ya sea en estatal o privado, en sus artículos 21, 130.  La ley de código penal, esta ley tiene como objeto penar a los delitos que se consideran en sus artículos 363 bis, 362 ter. que establecen que toda manipulación o acceso no autorizado a la información contenida en medios magnéticos haciendo uso de ellos para fines personales o de terceros.  La ley N°164 establece los derechos de los usuarios, obligaciones tanto para los operadores y proveedores de servicios de telecomunicación, establece el secreto en la comunicación y manejo de por separado de las cuentas de correo electrónico personal y laboral.  El decreto 1793 que es la reglamentación de la ley N° 164 donde estable: A quien deben cumplir toda entidad pública o privada que realice uso certificaciones o firmas digitales y que estés presten servicio o formen parte de la institución pública. Es así que promueve el desarrollo de software libre y estándares abiertos con fin de promover el mecanismo de cooperación internacional en materia de software libre. También establece la implementación del gobierno electrónico con lo cual se busca transparentar la gestión púbica mediante el uso de las tecnologías de la comunicación. La firma digital es la que establece sus principios de autenticación, integridad, no repudio, clave privada y pública donde el objetivo mayor es la creación de una infraestructura nación de certificación digital. En el inciso e) tratamiento de los datos personales, tanto del sector público como del privado, deberá adoptar las medidas de índole técnica y organizativa necesarias que
- 124 - garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento no autorizado.  Decreto supremo N° 3251 plan de implementación de gobierno electrónico plante como medida a tomar por las diferentes instituciones el desarrollar software libre con el uso de estándares abiertos que se apliquen en la interoperabilidad y ser financiado como prioridad en el presupuesto de cada institución, estableciendo que cada que en el sector público la Máxima autoridad ejecutiva en llevar y promover la implementación del gobierno electrónico. Se procedió al levantamiento de datos y cotejaron la información obtenida con la normativa vigente en Bolivia. Se definió la especificación y lineamientos que coordinan con los decretos supremos N° 3251, 1793 así mismo la tecnología que prevé el uso de estándares abiertos y el uso de software libre, y después equipos que sean compatibles en el desempeño de las funciones. Se definieron las especificación y lineamientos que coordinan, con los decretos supremos N° 3251, 1793 así mismo la tecnología que prevé el uso de estándares abiertos y el uso de software libre, y después equipos que sean compatibles en el desempeño de las funciones.  Desarrollo de aplicaciones con estándares abierto, logrando así la interoperabilidad entre las tecnologías como los protocolos de comunicación TCP/IP etc.  El crear una posición de mejora constante con la presentación de códigos abiertos tanto en las configuraciones usando software libre.  La mejora continua con la posibilidad de auditar mediante el uso de logs en donde se almacenan los eventos suscitados, así también los servicios prestados hacia la población estudiantil con la programación de tareas y plan
- 125 - de contingencias que lo establecen en los requerimientos de los decretos N° 3251, 1793 en los incidentes de seguridad de la información. Se procede al diseño de seguridad para las redes informáticas mediante la aplicación de los conceptos obtenidos tanto en seguridad por niveles, niveles de seguridad, Zero Trust y Software-Defined Perimeter que con los conceptos obtenidos se tiene el modelo y el diseño lógico. La propuesta del diseño como base de la seguridad por niveles, está con la mediación de los protocolos que se interconectan mediante los principios del documento de niveles de seguridad del departamento de defensa de estados unidos a continuación se presenta los resultados obtenidos.  La Universidad Pública de El Alto al someterse al cuestionario de seguridad de la información se pudo evidenciar que esta fuera de la normativa boliviana en cuanto a la implementación de seguridad de la información esto a razón que no cuentan con las políticas de seguridad para la institución y tampoco cuenta con el oficial de seguridad.  Para el diseño se revisó los niveles de seguridad en los que se encuentra la UPEA, mismo mostraron un índice de riesgo alto, ya que no cumplía el control necesario sobre los mecanismos y que no contaban con planes de contingencias.  En la evaluación del lugar donde se encuentra el centro de datos está situado en la ciudad de El Alto en la Zona Villa Esperanza en el parqueo del edificio Emblemático, donde cuenta un ambiente con ventilación y aire acondicionado, pero los cuales no son supervisados por nadie.  Para el diseño se tomó los criterios que aseguren las inmediaciones esto basado en los pilares de “Confianza Cero” donde se desglosa las diferencias entre usuario es resguardar la seguridad de la identidad con la implementación en el diseño el servidor AAA, confiabilidad del dispositivo que se conectan sean registrados, una red segura con implementación de
- 126 - protecciones perimetrales donde se pueda segmentar y aislar controlar la red, aplicaciones seguras mediante el adecuado control de identificar la tecnología, el uso de herramientas automatizadas para la información de la seguridad y la gestión seguida con el análisis del comportamiento de los usuarios, eventos cibert-relacionados que puedan ayudar a desarrollar medidas de seguridad proactivas. Se procede a la selección de la tecnología y que a su vez cumpla los requerimientos en el uso de software libre y que ponga en marcha todo el modelo que se planteó en el diseño. Se realiza la selección de la tecnología con lo cual se responde los principios planteados por la normativa boliviana en las leyes y decretos de seguridad y privacidad de la información de usuarios y el uso indebido de los mismos continuación se detalla todo lo anterior ya anteriormente mencionado.  La selección de tecnologías responde la seguridad por niveles donde se contempla la parte física con los respectivos controles de seguridad ya sea la autenticación de equipos que se conectan, la parte de enlace hace el uso del protocolo de smnp con lo cual se monitorea las actividades que realiza tanto los router, switch y otros equipos de comunicación, la parte de red se usa administradores de red y monitoreo, en la parte de transporte y aplicación se hace uso la conexión segura y cifrado de conexiones.  La tecnología que se recomienda postgresql con respecto a base de datos, squid como un proxy para el controlar que páginas visita y un mejor uso de recursos y el uso adecuado, el uso de kerberos se lo utiliza como el factor de doble autenticación al realizar la conexión por medio de ssh, snort es el encargado monitorear la red y las actividades de la red, zabbix es el encargado de monitorear los servidores y servicios. Se presenta el prototipo del diseño que necesita ser probado antes de ser puesto en marcha mismo que se expone con las diferentes tecnologías y aplicaciones que coadyuvan al mejoramiento de la seguridad que es implementado con el modelo de
- 127 - software defined perimeter. Se presenta la maqueta del prototipo con las mejoras y con el diseño donde cuenta el principio de “confianza Cero” donde el desarrollo se hizo mediante la mejora con el control y monitoreo de todos los sucesos como desgloso con anterioridad a continuación se detalla los eventos y logros conseguidos.  El SDP controler está formado por él con los principios de confianza cero por lo que mediante el uso de agentes que se encargan de verificar como ser el servicio de KERVEROS el PROXY, IDS y WAF pasan a ser parte de la forma de manejar que ingresa o sale.  El SDP Gateway es el encargado de ser el guardia de seguridad junto con el FIREWALL, IDS, que con las reglas adecuadas mitigan los posibles riesgos.  El SDP cliente es usuario que tiene conexión a servicios modulares que se tienen dentro el centro de datos, el cliente tiene como principio el que su dispositivo sea conocido por el sistema y además sea posible que pueda autenticarse y ser autorizado por el SDP controler, y monitorear toda la actividad que realice antes y después de hacer cambios. 6.3 . RECOMENDACIONES Se recomienda con la automatización de los controles de monitoreo y seguimiento se tiene datos que solos no podemos interpretar o sacar un uso adecuado, pero con el uso adecuado de algoritmos y lenguajes de programación se podría predecir o sacar perfiles de posibles atacantes en la red interna y o externa. Por lo anterior mencionado se recomienda que se podría hacer uso de Maquine Learning para un manejo adecuado de los datos que se tiene para el estudio de ataques o perfiles de ataques a la infraestructura red informática. Se recomienda que para un mejor estudio de la seguridad corporativa se pueda lograr la implementación del modelo en ambientes de producción y ser
- 128 - monitoreados constantemente y registrar los eventos que acontezcan durante el funcionamiento, con la finalidad de mejorar las reglas del firewall, Software de Detección de Intrusos y Firewall de Aplicaciones Web para que se pueda registrar la mayor cantidad de información y pueda aprender más directrices y realizar mejor control. Se recomienda la instalación de software que respete la libertad de los usuarios y la comunidad, también los usuarios puedan ejecutarlo, copiar, distribuir, estudiar modificar y mejorar el software en los equipos de los usuarios finales con la finalidad de tener mayor control al momento de cifrar los discos duros y la información compartida entre usuarios mediante la creación de firmas digitales y llaves públicas y privadas con la ayuda de GNU Privacy Guard (GPG). Se recomienda la creación de políticas de seguridad que se adecuen y coordine con el Plan Institucional de Seguridad de la Información que esta cargo del Gobierno Central y de sus dependencias, que deben ser cumplidas por cada uno de los usuarios al momento de firmar el contrato que lo vincule con la institución hasta su salida y entrega de toda la información concerniente al trabajo realizado, como parte de la política la difusión de buenas prácticas de seguridad de la información como el cambiar las contraseñas de acceso cada determinado tiempo y otros que se vea conveniente. 6.4 . SUGERENCIAS PARA FUTURAS INVESTIGACIONES Se sugiere que con la acumulación de datos o información referente a eventos ya sea de tráfico o de sucesos en los sistemas encargados de monitorear o controlar, se pueda hacer uso de un aprendizaje supervisado o no supervisado y así poder contrarrestar los posibles ataques o anomalías en la red corporativa, ya que con el aprendizaje podrán predecir posibles patrones o actividades sospechosas. El uso de inteligencia artificial y Machine Learnig en los puntos de monitoreo y control de procesamiento de datos como ser el cortafuegos, el sistema de detección de
- 129 - intrusos y cortafuegos de aplicación web que darán los datos necesarios para las mejoras continuas en el aprendizaje de fenómenos suscitados y que se pueda tomar medidas correctivas basándonos en el modelo de control en el software defined perimeter controller y software defined perimeter gateway que son los que funcionan en la red corporativa y brindando mejoras en la protección de la información.
- 130 - BIBLIOGRAFIA ©, W. (s.f.). WWW.ISO27000.ES ©. Obtenido de Sistema de Gestión de la Seguridad de la Informacion: http://www.iso27000.es/download/doc_sgsi_all.pdf A. Devincenzi, J. (2011). Técnicas y herramientas forenses para la detección de Botnets. Cohorte: Maestría en Seguridad Informática - Tesis. accenit.com. (s.f.). accenit.com. Obtenido de Seguridad perimetral informática: Información necesaria: https://www.accensit.com/blog/seguridad-perimetral-informatica-informacion- necesaria/ ACT-IAC Advancing Government. (2019). Zero Trust Cybersecurity Current Trends. American Council for Technology-Industry Advisory Council (ACT-IAC), 32. AGETIC. (2017). Resultados Finales de la Encuesta Nacional de Opinion sobre Tecnologias de Informacion y Comunicacion. Obtenido de https://agetic.gob.bo/pdf/estadotic/AGETIC- Estado-TICencuestaFinal-v4.pdf AGETIC. (2018). Estado TIC, Estado de las Tecnologías de Información y Comunicación en el Estado Plurinacional de Bolivia. La Paz: AGETIC. Arellano L., A. H. (2011). LA GESTIÓN DEL CAMBIO TECNOLÓGICO DE LA SEGURIDAD INFORMÁTICA EN EL IPN LA DIRECCIÓN DE CÓMPUTO Y COMUNICACIONES (DCYC) COMO CASO DE ESTUDIO. Mexico: Instituto Politecnico Nacional - Secretaria de Investigacion y Posgrado. Asamblea Constituyente de Bolivia. (2009). Constitucionn Politica del estado Plurinacional de Bolivia. El Alto: Asamblea Constituyente de Bolivia. Asamblea Legislativa Plurinacional . (1997). Ley N° 1768 Código Penal. La Paz : Asamblea Legislativa Plurinacional. Asamblea Legislativa Plurinacional. (2011). LEY Nº 164 LEY GENERAL DE TELECOMUNICACIONES, TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN. (Estado Plurinacional de Bolivia, Ed.) La Paz, Murillo, Bolivia: Asamblea Legislativa Plurinacional. Bembibre, V. (enero de 2009). Definición ABC. Obtenido de Definición ABC: https://www.definicionabc.com/ciencia/analisis.php BID, B. I. (2020). CIBERSEGURIDAD RIESGO, AVANCES Y EL CAMINO A SEGUIR EN AMERICA LATINA Y EL CARIBE. EE.UU.: CREATIVE COMMONS.
- 131 - Bortnik, S. (24 de mayo de 2010). welivesecurity by eset. Obtenido de Defensa en Profundidad: https://www.welivesecurity.com/la-es/2010/05/24/defensa-en-profundidad/ c3comunicaciones.es. (14 de febrero de 2014). Grupo cofitel. Obtenido de Data Center: El Estándar TIA 942: https://www.c3comunicaciones.es/data-center-el-estandar-tia-942/ Camacho Contreras, A. F., & Lopez Rodriguez, J. S. (2017). DISEÑO DE UN SISTEMA DE SEGURIDAD PERIMETRAL E INTERNA PARA LA EMPRESA AMERICAS BUSINESS PROCESS SERVICES. Bogota, D.C.: UNIVERSIDAD DISTRITAL FRANCISICO JOSE DE CALDAS - ESPECIALIZACION EN GESTION DE PROYECTOS DE INGENIERIA. Cazau, P. (Marzo de 2006). Introduccion a la investigacion en ciencias sociales. Obtenido de www.academia.ed: https://www.academia.edu/8000535/Pablo_Cazau_INTRODUCCI%C3%93N_A_LA_INVESTI GACI%C3%93N_EN_CIENCIAS_SOCIALES?auto=download Chancusig, E. F. (2015). "ESQUEMA DE SEGURIDAD PERIMETRAL Y CONTROL DE INCIDENCIAS DE LA RED DE DATOS PARA LA UNIVERSIDAD TECNICA DE COTOPAXI". AMBATO - ECUADOR : UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES "UNIANDES". Consejo Superior de Administración Electrónica de España. (2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid: © Ministerio de Hacienda y Administraciones Públicas Secretaria General Tecnica. Corletti E., A. (2011). Seguridad de Niveles. Madrid: DarFe Learning Consulting S.L. Corletti Estrada, A. (2011). Seguridad por Niveles. Madrid: Creative Commons Reconocimiento- NoComercial-SinObraDerivada. CTIC. (2017). Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de la Información de las entidades del sector público. La Paz: Depósito Legal: 4- 1-273-17 P.O. DEPARTMENT OF DEFENSE UU.EE. (1985). Department of Defense Trusted Computer System Evaluation Criteria. Office of the Secretary of Defense (ASD): Library No. S225,7ll. Devincenzi, J. A. (2009). Tecnicas y herramientas forenses para la deteccion de Botnets. Cohorte: Universidad de Buenos Aires, Facultad de Ciencias Economicas Cs. Exactas y Naturales e Ingenieria. Dueñas G., J. L. (2003). METODOLOGIA PARA ESTABLECER POLITICAS, NORMAS Y PROCEDIMIENTOS SOBRE SEGURIDAD INFORMATICA EN UNIDADES DE LA ADMINISTRACION PUBLICA. Mexico: Instituto Politecnico Nacional - Coordinacion General de Posgrado e Investigacion.
- 132 - Erb, M. (Octubre de 2008). Gestión de Riesgo en la Seguridad Informática. Obtenido de Gestión de Riesgo en la Seguridad Informática: https://protejete.wordpress.com/gdr_principal/definicion_si/ Gordon R., D. S. (2017). ANÁLISIS DE ESTRATEGIAS DE GESTIÓN DE SEGURIDAD INFORMÁTICA CON BASE EN LA METODOLOGÍA OPEN SOURCE SECURITY TESTING METHODOLOGY MANUAL (OSSTNM) PARA LA INTRANET DE UNA INSTITUCIÓN DE EDUCACIÓN SUPERIOR. Samborondon - Ecuador: Universidad Espiritu Santo - Maestria en Auditoria de Tecnologias de la Informacion. Gutierrez Amaya, C. (22 de 10 de 2012). welivesecurity eset. Obtenido de Los 10 pilares básicos de la norma ISO 27001: https://www.welivesecurity.com/la-es/2012/10/22/10-pilares- basicos-norma-iso27001/ Gutierrez Q., H. (2018). METODOLOGIA BASADA EN ESTANDARES DE PENTESTING PARA LA DETECCION DE VULNERABILIDADES PARA LA DIRECCION NACIONAL DE INFORMATICA DE LA EMI. LA PAZ - BOLIVIA : ESCUELA MILITAR DE INGENIERIA "MCal. Antonio Jose de Sucre" - Maestria de Seguridad de Tecnologias de la Informacion. Hernandez Sampieri, C. R. (1997). METODOLOGÍA DE LA INVESTIGACIÓN. MÉXICO: McGRAW - HILL INTERAMERICANA DE MÉXICO, S.A. de C.V. J.M., H. (1991). Sistemas de telecomunicación (2ª ed. edición). Madrid: E.T.S.I. Telecomunicación. Latham, D. (1985). DEPARTMENT OF DEFENSE STANDARD DEPARTMENT OF DEFENSE TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA. Secretary of Defense. Mieres, J. (2009). Ataques informáticos Debilidades de seguridad comunmente explatadas. (W. paper, Ed.) evil finger. NCSI, N. C. (2020). National Cyber Security Index. Obtenido de Indice de Bolivia, NCSI, National Cyber Security Index: NCSI, National Cyber Security Index ODIB. (12 de 10 de 2020). Estado de las amenazas ciberneticas en Bolivia. Obtenido de Observatorio de Delitos Informaticos Bolivia, ODIB: https://www.odibolivia.org/2020/04/23/estado-de-las-amenazas-ciberneticas-en-bolivia/ ODIB. (10 de Abril de 2020). Obseratorio de Delitos Informaticos Bolivia. Obtenido de Bolivia ocupa el puesto 79 en el ranking mundial de ciberseguridad: https://www.odibolivia.org/2018/11/09/bolivia-ocupa-el-puesto-79-en-el-ranking- mundial-de-ciberseguridad/ Paredes, G. J. (2015). SISTEMA DE SEGURIDAD PERIMETRAL PARA LA RED DE DATOS DE LA INDUSTRIA FLORALP S.A EN LA CIUDAD DE IBARRA, BASADO EN LA PLATAFORMA DE SOFTWARE LIBRE. Ibarra- Ecuador: Universidad Tecnica del Norte.
- 133 - Plurinacional, A. L. (08 de 08 de 2011). LEY Nº 164 LEY DE 8 DE AGOSTO DE 2011. LEY GENERAL DE TELECOMUNICACIONES, TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN. La Paz, Bolivia. Pulse Secure. (21 de Mayo de 2018). Never Trust, Always Verify Mitigate risk through adaptive authentication and enforcement. Obtenido de Redefining Secure Access in a Zero Trust World: https://www.pulsesecure.net/resource/pulse-secure-software-defined-perimeter/ Rodao, J. d. (2006). Piratas Ciberneticos: Cyberwars, Seguridad Informatica E Internet. Madrid - España: Editorial Alfaomega. Rodriguez Garcia, C. (2011). Seminario de Investigación. Elaboracion de instrumentos, 11. Rosado, G. A. (2015). FORTALECIMIENTO DE SEGURIDAD DEL CENTRO DE DATOSDE LA CARRERA DE INGENIERIA EN SISITEMAS COMPUTACIONALES, ANALISIS DE POLITICAS DE SEGURIDAD INFORMATICA PROPUESTA DE PROTECCION ENDPOINT Y CONTROL DE ACCESO A LA RED. GUAYAQUIL- ECUADOR: UNIVERSIDAD DE GUAYAQUIL "FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES". Rytoft, Claes;. (2013). Centro de Datos. Zurich, Suiza: Editorial y copyright © 2013 ABB Technology Ltd. Saldaño, O. H. (02 de 03 de 2009). mailxmail.com. Obtenido de Tesis degrado. Metodologia de la Investigacion: http://www.mailxmail.com/curso-tesis-investigacion/variables-concepto Seguridad Informatica. (s.f.). Obtenido de TEMA 1- SEGURIDAD IFORMÁTICA: https://seguridadinformaticasmr.wikispaces.com/TEMA+1- +SEGURIDAD+IFORM%C3%81TICA Sorell Slaymaker. (2018). Zero Trust Networking. TechVision RESEARCH, 48. Stevens, S. S. (1946). SCIENCE. En S. S. Stevens, SCIENCE (pág. 680). Asociación Estadounidense para el Avance de la Ciencia. Unidad de Planificacion UPEA. (2017). DATOS ESTADISTICOS 2016. El Alto: Artes Multigraf. Universidad Internacional de Valencia, V. (21 de 03 de 2018). TRES TIPOS DE SEGURIDAD INFORMATICA QUE DEBES CONOCER. Obtenido de VIU | UNIVERSIDAD CAMPUS VIRTUAL: https://www.universidadviu.com/tres-tipos-seguridad-informatica-debes-conocer/ UptimeInstitute. (2013). Certificación Tier. Obtenido de Descripción general de la Certificación Tier: https://es.uptimeinstitute.com/tier-certification Vicuña P., J. (2009). Diseño del Proceso Administrativo de la Seguridad Informatica en la "Empresa Municipal de Servicio de Cementerios, Salas de Velacion y Exequias", EMUCE - Cuenca".
- 134 - Cuenca: UNIVERSIDAD DE CUENCA FACULTAD DE INGENIERIA MAESTRIA EN GERENCIA DE SISTEMAS DE INFORMACION. Viveros S., J. (2015). Defensa en Profundidad para Proteger la Informacion de la Red Corporativa. Colombia: Universidad Piloto de Colombia. Obtenido de http://repository.unipiloto.edu.co/handle/20.500.12277/2930 Viveros Saravia, J. (s.f.). Defensa en profundidad para proteger la informacion de la red corporativa. Especializacion en Seguridad Informatica - Universidad Piloto de Colombia, 8. Wikipedia. (01 de 06 de 2018). Wikipedia. Obtenido de Seguridad de la Informacion: https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n X. Diebold, F. (2008). Elements of Forecasting. University of Pennsylvania: SOUTH-WESTERN CENGACE Learning.
- 135 - ANEXOS
- 136 - ANEXO A - Instalación de los servicios en la aplicación en el servidor con nombre SRV-WEB-MAIL Para la seguridad en la parte física en la instalación del servidor se realiza con las siguientes puntualizaciones en su característica de instalación que son el espejeado RAID 1 para tener una redundancia en el almacenamiento de la información y guardado esto con la finalidad de que si un disco es dañado o extraído se podrá contar con la redundancia el segundo que contiene la misma información y configuración, seguidamente se cifrara el disco en su totalidad para que si es extraído no puedan leer la información a continuación se usara la gestión de volúmenes lógicos (LVM) este es un modelo de localización del espacio disco duro en volúmenes lógicos que pueden ser fácilmente redimensionados en vez de particiones. Instalación en modo avanzado Particiones cifradas y haciendo uso de LVM para todas las particiones menos la boot.
- 137 - A continuación, se presenta la configuración de los discos que utiliza en este caso en específico dos discos de 20 Gb que son particionados configurados con la seguridad de espejeado y encriptado que usan la metodología de LVM. Servidor de apache Previo a la instalación del servidor web se debe realizar las actualizaciones con: # apt-get update ; apt-get upgrade # apt-get install apache2 # /etc/init.d/apache2 restart Instlacion de SSL #sudo a2ensite default-ssl # /etc/init.d/apache2 restart
- 138 - # sudo a2enmod ssl; /etc/init.d/apache2 restart # mkdir /etc/apache2/ssl (Donde creamos los certificados) # cd /etc/apache2/ssl/ (previa instalación de openssl) # openssl req –x509 -nodes –days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt Instalación de mod-security #apt-get install libxml2 libxml2-dev libxml2-utils #apt-get install libaprutil1 libaprutil1-dev (Opcional ) #apt-get install libapache2-mod-security2 Paquete necesario para descargar las reglas de mod-security #apt-get install wget Descargamos los las reglas siguientes para las reglas que te ofrece la owasp #wget https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/master.zip #unzip master.zip #cp –R owasp-modsecurity-crs-master/* /etc/modsecurity/ #mv /etc/modsecurity/modsecurity_crs_10_setup.conf.example /etc/modsecurity/modsecurity_crs_10_setup.conf #cd /etc/modsecurity # for f in *; do ln –s /etc/modsecurity/base_rules/$f /etc/modsecurity/active_rules/$f; done # for f in *; do ln –s /etc/modsecurity/optional_rules/$f /etc/modsecurity/activated_rules/$f ; done # sudo a2enmod headers # nano /etc/apache2/mods-available/security2.conf <IfModule security2_module> SecDataDir /var/cache/modsecurity Includeoptional /etc/modsecurity/*.conf
- 139 - IncludeOptional /etc/modsecurity/base_rules/*.conf </IfModule> # /etc/init.d/apache2 restart; tail –f /var/log/apache2/error.log # tail –f /var/log/apache2/modsec_audit.log Aquí se prueba con la inyección de SQL Instalacion de Postgresql #nano /etc/apt/sources.list deb http://security.debian.org/debian-security debian10/updates main contrib restricted non-free deb- http://security.debian.org/debian-security debian10/updates main contrib restricted non-free deb http://deb.debian.org/debian/ debian10-updates main contrib restricted non- free deb http://deb.debian.org/debian/ debian10 main contrib restricted non-free Creamos un nuevo archivo #nano /etc/apt/sources.list.d/pgdg.list deb http://apt.postgresql.org/pub/respos/apt/ debian10-pgdg main Instalación de ser de paquete #apt-get install wget #wget --quiet -O - https://www.postgresql.org/media/keys/ACCC4CF8.asc | sudo apt-key add - #apt-get update ; apt-get update #apt-get install postgresql-11 #nano /etc/postgresql/11/main/postgresql.conf (Archivo de configuración de postgresql) Servidor correo electrónico POSTFIX #apt-get postfix dovecot-imapd dovecot.pop3d dovecot.common
- 140 - Ingresamos al archivo de configuración postfix #nano /etc/postfix/main.cf (Agregamos al final del texto pero esto debe antes de las ultimas desconmentadas) #information on enabling SSL in the scrip Client .myhostname = localhost.servidores.com alias_maps = hash:/etc/aliases alias_database =hash:/etc/aliases myorigin = $mydomain mydestination = $mydomain, $mydomain.$hostname, servidores.com, localhost, localhost.locadomain, localhost inet_protocols = all #sudo service postfix restart #nano /etc/dovecot/conf.d/10-auth.conf (Des comentar la línea siguiente) mail_location = maildir;~/Maildir #sudo service dovecot restart, sudo service postfix restart Creamos una carpeta donde estarán los usuarios #mkdir /home/usuarios # sudo useradd -m -d /home/usuarios/cliente2 cliente2 Deshabilitamos la Shell del usuario donde vemos /etc/passwd #usermod -s /bin/cliente2 cliente2 Seguidamente habilitamos contraseñas añ Usuario #sudo passwd cliente2 (Después de esto reiniciar) ANEXO B – Instalación de los servicios en la aplicación en el servidor con nombre debían10-DNS1 Realizar las actualizaciones con apt-get update, apt-get upgrade #apt-get install bind9
- 141 - #apt-get install dnsutils bind9 Verificamos la firma digital con #cat /etc/bind/rndc.key (por defecto de viene con 128bits) Se aumenta la seguridad en la llave a 512 bits # rndc-confgen –a –r /dev/urandom –b 512 /etc/bind/rndc.key Configuración del dns #nano /etc/bind/named.conf.local (se colocan las siguientes líneas) Nota: El dominio eligido es www.servidores.com; la dirección ip del servidor DNS es 192.168.171.110 y el del servidor WEB IP 192.168.171.100. zone “servidores.com” { type master; file “/var/lib/bind/servidores.com.zone”; }; zone “171.168.192.in-addr.arpa” { type master; file “/var/lib/bind/171.168.192.zone”; }; Configuración la zona directa # nano /var/lib/servidores.zone $TTL 86400 @ IN SOA debian-DNS1.servidores.com. ( 2019051700 1H 30M
- 142 - 1W 86400 ) @ IN NS debian-DNS1.servidores.com. debian10.servidores.com. IN A 192.168.171.110 SRV-WEB-MAIL.servidores.com. IN A 192.168.171.100 www IN CNAME debian-DNS1.servidores.com. Configuración de la zona inversa #nano /var/lib/bind/171.168.192.zone $TTL 86400 @ IN SOA debían-DNS1.servidores.com. ( 2019051700 1H 30M 1W 86400 ) @ IN NS debían-DNS1.servidores.com. 110 IN PTR debían-DNS1.servidores.com. 100 IN PTR SRV-WEB-MAIL.servidores.com. Nota: se configura el archivo de resolución de nombres. #nano /etc/resolv.conf Instalación de ssh #apt-get install ssh Archivo de configuración de puertos, ip y que Usuario de Windows #nano /etc/ssh/sshd_config
- 143 - Creación de llaves en Publica y Privada $ssh-keygen -t rsa $ ssh-copy-id -i .ssh/id_rsa.pub NombreUsuario@IP_servidorSSH Instalación del servidor SNMP # apt-get install snmp libsnmp-dev Archivo de configuración del snmp . #nano /etc/snmp.conf Instalación de SQUID “Proxy” #apt-get install squid El archivo de configuración de squid #nano /etc/squid/squid.conf
- 144 - Para revisar el comportamiento de la acl se puede acceder al siguiente archivo. # tail –f /var/log/squid/Access.log Instalacion del servidor de openvpn #apt-get install openvpn #ls -l /etc/openvpn/ #apt-get install wget #wget -P /etc/openvpnn/easy-rsa https://github.com/OpenVPN/easy- rsa/releases/dowload/v3.0.6/EasyRSA-unix-v3.0.6.tgz #cd /etc/openvpn/easy-rsa Se ingresa a la carpeta y se descomprime # tar –xvf EasyRSA-3.0.4.tgz # cp vars.example vars Cambiamos sus permisos # chmod +x vars # nano vars (Se configura los parámetros de país, provincia, ciudad, organización, mail. #./easyrsa init-pki # ./easyrsa build-rsa nopass
- 145 - Anexo B: Presentación de los Datos A continuación, se desmenuzará cada una de las partes por las que están compuestas el diseño de la seguridad por niveles; la primera se contara con los servicios implementados en el centro de datos de la Universidad Pública de El Alto, la segunda que es el núcleo que donde se comparte y se transmite la información que se la llamara SDP controler, así mismo se realiza el uso de conexión a servidores que son virtualizados y utilizados con cache de los servidores originales que se encuentran en el centro de datos y este a su vez se conecta con los routres y switch que llegan a los usuarios y a red wifi con la red de micro ondas. Lo anteriormente mencionado se presentará con la presentación de los servicios que son constituidos por este capítulo mediante la implementación de equipos virtual izados que son donde se emulara En el presente acápite se tomarán en cuenta los datos obtenidos del libro de estadísticas (Unidad de Planificacion UPEA, 2017) donde se obtiene la cantidad de estudiantes matriculados de las diferentes universidades que conforman la CEUB. Al tiempo de presentar la tabla con las universidades se cuenta con los datos hasta el 2016, en cuanto el estudio se realizará la proyección hasta el 2019 como se muestra y determinando el índice de crecimiento de las distintas universidades.
- 146 - Tabla B.1 - Universidades y cantidad de estudiantes por Gestión de la CEUB GESTION UMSFXCH UMSA UMSS UATF UTO UAGRM UAJMS UABJB UNSXX UAP UPEA UCB EMI UNIPOL 2001 22979 59924 35801 10966 14745 31933 11307 5273 4077 902 4541 13436 1288 0 2002 24257 62854 45531 12135 16234 33248 11786 7207 4396 1040 6581 13031 1526 0 2003 25846 65426 49486 12919 16998 37498 12829 7660 4590 943 7673 12403 1585 0 2004 26480 68311 50943 13761 17125 39853 13503 7845 4742 933 8829 11969 1362 0 2005 27089 69481 52801 14594 17806 44116 14291 10538 4754 1012 10533 12857 1564 0 2006 28505 71490 52959 15054 18964 47708 14761 10693 5044 1288 11392 12706 1716 0 2007 31029 71642 55098 14286 19635 54310 15383 11987 6211 1779 12248 12538 2025 0 2008 33695 73109 57166 14971 20016 62334 16782 12226 6015 2077 13800 13104 2241 0 2009 36058 74044 56046 15684 20401 69322 17181 12877 4745 2226 16197 12928 2377 0 2010 39227 74838 56643 16742 21129 70176 17769 13672 4004 2283 18431 13751 2805 0 2011 42102 75503 62270 17294 22048 70755 18193 13658 3657 2374 21875 12697 2805 0 2012 43863 76745 64676 18748 22779 76842 19413 13613 9266 3546 25068 15018 5287 1145 2013 45995 77202 65834 19938 23209 80955 20064 15378 8840 4090 30938 15213 5843 3012 2014 48859 77457 68582 20596 23523 78941 21961 18323 7654 5095 32102 15294 5961 3150 2015 50052 78219 68983 21180 24377 79921 23191 19098 7648 5884 38693 15921 6380 3552 2016 51277 78228 78770 22304 25662 84619 23783 19607 7754 7565 42343 15868 5988 3954 Para la elección de la muestra de observa a todas las universidades que conforman la CEUB al tiempo de tomar como medida la cantidad de estudiantes matriculados por año estos datos de obtuvieron de (Unidad de Planificacion UPEA, 2017) donde su primera fuente para la elaboración del mismo es del CEUB. En los siguientes gráficos se muestra el crecimiento de los estudiantes durante el periodo 2001 al 2016 de todas las universidades que forman parte de la CEUB como se muestra a continuación:
- 147 - Grafico B.1 – Universidades de los departamentos La Paz, Cochabamba, Santa Cruz, (CEUB) Grafico B.2 - Universidades del departamento de Chuquisaca, Oruro, Potosi 0 10000 20000 30000 40000 50000 60000 70000 80000 90000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 UMSA UMSS UAGRM UPEA 0 10000 20000 30000 40000 50000 60000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 UMSFXCH UTO UATF UNSXX
- 148 - Grafico B.3 - Universidades de los departamentos de Beni, Pando, Tarija. Grafico B.4 – Universidades privadas y de convenio El universo para el presente trabajo se conforma por 15 universidades, donde 11 son públicas, 4 privadas y 1 que es privada pero solo brinda estudios de posgrado y todos ellos forman parte de la CEUB. 0 5000 10000 15000 20000 25000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 UABJB UAP UAJMS 0 2000 4000 6000 8000 10000 12000 14000 16000 18000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 UCB EMI UNIPOL
- 149 - Para la selección de la muestra se observa que en los cuatro gráficos anteriores el crecimiento de estudiantes durante el tiempo en el periodo del 2001 al 2016 y que la concentración es mayor de estudiantes matriculados se encuentra en los departamentos de La Paz, Cochabamba, Santa Cruz. Tabla B.2 - Nombre y sigla de las Universidades que conforman la CEUB Seguidamente se presentará el organigrama de la Estructura Organizacional del Sistema de la Universidad Boliviana, CEUB de manera general y así ver cómo está formado según la grafico 5.1, donde se divide por cuatro partes que son: SISTEMA UNIVERSITARIO:  Congreso Institucional Universitario  Honorable Consejo Universitario Su constitución, funciones y atribuciones de ambos Órganos de Gobierno están definidas en el Estatuto Orgánico de cada Universidad del Sistema. UNIVERSIDADES:  Rectorado  Vicerrectorado
- 150 - La forma de elección de estas Autoridades, sus funciones y atribuciones, están definidas en el Estatuto Orgánico de cada Universidad. FACULTADES O ÁREAS: Órganos de gobiernos facultativos o de áreas  Congreso Facultativo o de Área  Honorable Consejo Facultativo o de Área Su constitución, funciones y atribuciones de ambos Órganos de Gobierno están definidas en el Estatuto Orgánico de cada Facultad o Área, compatible con el Estatuto Orgánico de su Universidad. Órganos de ejecución facultativo o de área  Decanato  Vicedecanato La forma de elección de estas Autoridades, sus funciones y atribuciones, están definidas en el Estatuto Orgánico de cada Facultad o Área, compatible con el Estatuto Orgánico de su Universidad. UNIDADES ACADÉMICAS: Órganos de gobierno de la unidad académica  Carreras y/o Programas reconocidos en su Universidad.  Congreso de la Unidad Académica  Honorable Consejo de la Unidad Académica Su constitución, funciones y atribuciones del Órgano de Gobierno están definidas en el Estatuto Orgánico de cada Facultad o Área, compatible con el Estatuto Orgánico de su Universidad. Órgano de ejecución de la unidad académica  Las Direcciones, Jefaturas, Coordinaciones u otra denominación, reconocidas por el Estatuto Orgánico de su Universidad La forma de elección de ésta Autoridad, sus funciones y atribuciones, están definidas en el Estatuto Orgánico de cada Facultad o Área, compatible con el Estatuto Orgánico de su Universidad.
- 151 - Grafico B.5 - Organigrama de la CEUB (COMITE EJECUTIVO DE LA UNIVERSIDAD BOLIVIANA, 2011) Con el grafico B.5 se muestra la forma en la que se tiene manejo de los diferentes niveles en todo el sistema de universidades de Bolivia per cabe resaltar que en ningún punto de este se cuenta con el oficial de seguridad que es un elemento
- 152 - necesario con los decretos y recomendaciones que tiene el libro de seguridad por niveles. B.1. ESTRUCTURA LEGAL Y JURÍDICA B.1.1. Legislación Boliviana en delitos informáticos La seguridad de la información está presente por medio de la preservación de la integridad, confidencialidad e integridad de la información, en el ámbito al que se aplicará el presente trabajo será al sistema de universidad de Bolivia, donde la legislación boliviana muestra aspectos en la constitución política del estado leyes que buscan como objetivo el cuidar la información y los medios por los que se los difunden. B.1.1.1. Constitución Política del estado Plurinacional de Bolivia “Artículo 21, Inciso II): A la privacidad, intimidad, honra, honor, propia imagen y dignidad.” (CPE.), (Asamblea Constituyente de Bolivia, 2009), pagina 17. “Artículo 130, Inciso I): Toda persona individual o colectiva que crea estar indebida o ilegalmente impedida de conocer, objetar u obtener la eliminación o rectificación de los datos registrados por cualquier medio físico, electrónico, magnético o informático, en archivos o bancos de datos públicos o privados, o que afecten a su derecho fundamental a la intimidad y privacidad personal o familiar, o a su propia imagen, honra y reputación, podrá interponer la Acción de Protección de Privacidad.” (CPE.), (Asamblea Constituyente de Bolivia, 2009), pagina 47. En la Constitución Política del estado Plurinacional de Bolivia en su Art. 21, Inc. II) mantiene como un derecho la privacidad, intimidad, así mismo a la rectificación de los datos personales Art. 130. Inc. I). que toda persona individual o colectiva que crea estar indebida o ilegalmente impedida de conocer, objetar la eliminación o rectificación de los datos registrados por cualquier medio físico, electrónico, magnético o informático, en archivos o bancos de datos públicos o privados (Asamblea Constituyente de Bolivia, 2009).
- 153 - b) Ley de Código Penal Boliviano c) Capítulo XI, Delitos Informáticos “Artículo 363 bis. (Manipulación informática). - El que con la intención de obtener un beneficio indebido para sí o un tercero, manipule un procesamiento o transferencia de datos informáticos que conduzca a un resultado incorrecto o evite un proceso tal cuyo resultado habría sido correcto, ocasionando de esta manera una transferencia patrimonial en perjuicio de tercero, será sancionado con reclusión de uno a cinco años y con multa de sesenta a doscientos días.” (Asamblea Legislativa Plurinacional , 1997), pagina 159. “Artículo 363 ter. (Alteración, acceso y uso indebido de datos informáticos).- El que sin estar autorizado se apodere, acceda, utilice, modifique, suprima o inutilice, datos almacenados en una computadora o en cualquier soporte informático, ocasionando perjuicio al titular de la información, será sancionado con prestación de trabajo hasta un año o multa hasta doscientos días.” (Asamblea Legislativa Plurinacional , 1997), pagina 159. La legislación boliviana cuenta también dos artículos en la ley del código penal que tipifica como delito informático al acceso indebido a la información y la manipulación de la información en sus artículos del Código Penal. Modificado por la Ley Nº 1768, de 10 de marzo de 1997 (Artículos 363 Bis y 363 ter.). B.2. Ley N° 164 General de Telecomunicación, Tecnologías de la Información y Comunicación “Artículo 54. (DERECHOS DE LAS USUARIAS Y USUARIOS). Las usuarias o los usuarios de los servicios de telecomunicaciones y tecnologías de información y comunicación tienen derecho a: … 3). Acceder a información clara, precisa, cierta,
- 154 - completa, oportuna y gratuita acerca de los servicios de telecomunicaciones y tecnologías de información y comunicación, a ser proporcionada por los operadores o proveedores de los servicios... 5). Recibir de forma oportuna, comprensible y veraz la factura mensual desglosada de todos los cargos y servicios del cual es usuario, en la forma y por el medio en que se garantice su privacidad. 6). Exigir respeto a la privacidad e inviolabilidad de sus comunicaciones, salvo aquellos casos expresamente señalados por la Constitución Política del Estado y la Ley. 7). Conocer los indicadores de calidad de prestación de los servicios al público de los proveedores de telecomunicaciones y tecnologías de información y comunicación… 15). Ser informado oportunamente de la desconexión o corte programado de los servicios. 16). Reclamar ante los proveedores de servicios y acudir ante las autoridades competentes en aquellos casos que la usuaria o usuario considere vulnerados sus derechos, mereciendo atención oportuna. 17). Recibir protección del proveedor del servicio sobre los datos personales contra la publicidad no autorizada por la usuaria o usuario, en el marco de la Constitución Política del Estado y la presente Ley… 19). Exigir la protección de la niñez, adolescencia y juventud en la prestación de los servicios… 22). Otros que se deriven de la aplicación de la Constitución Política del Estado, Tratados Internacionales, las leyes y demás normas aplicables.”, (Asamblea Legislativa Plurinacional, 2011), paginas 32 al 34. “Artículo 56. (INVIOLABILIDAD Y SECRETO DE LAS COMUNICACIONES). En el marco de lo establecido en la Constitución Política del Estado, los operadores de redes públicas y proveedores de servicios de telecomunicaciones y tecnologías de información y comunicación, deben garantizar la inviolabilidad y secreto de las comunicaciones, al igual que la protección de los datos personales y la intimidad de usuarias o usuarios, salvo los contemplados en guías telefónicas, facturas y otros establecidos por norma.”, (Asamblea Legislativa Plurinacional, 2011), pagina 34. “Artículo 59. (OBLIGACIONES DE LOS OPERADORES Y PROVEEDORES). 1). Someterse a la jurisdicción y competencia de la Autoridad de Regulación y Fiscalización de Telecomunicaciones y Transportes. 2). Proveer en condiciones de
- 155 - igualdad, equidad, asequibilidad, calidad, de forma ininterrumpida, los servicios de telecomunicaciones y tecnologías de información y comunicación. 3). Proporcionar información clara, precisa, cierta, completa, oportuna y gratuita acerca de los servicios de telecomunicaciones y tecnologías de información y comunicación, a las usuarias o los usuarios. 4). Proporcionar información clara, precisa, cierta, completa y oportuna a la Autoridad de Regulación y Fiscalización de Telecomunicaciones y Transportes. 5). Proveer gratuitamente los servicios de telecomunicaciones y tecnologías de información y comunicación en casos de emergencia, que determine la Autoridad de Regulación y Fiscalización de Telecomunicaciones y Transportes. …11). Atender las solicitudes y las reclamaciones realizadas por las usuarias o los usuarios. 12). Informar oportunamente la desconexión o cortes programados de los servicios. 13). Brindar protección sobre los datos personales evitando la divulgación no autorizada por las usuarias o usuarios, en el marco de la Constitución Política del Estado y la presente Ley.16). Cumplir las instrucciones y planes que se emitan en casos de emergencia y seguridad del Estado. 17). Actualizar periódicamente su plataforma tecnológica y los procesos de atención a las usuarias y los usuarios.” (Asamblea Legislativa Plurinacional, 2011), pagina 35 y 36. “Artículo 84. (REGLAMENTACIÓN). El reglamento referido a firmas y certificados digitales comprenderá: 1. Los requisitos, funciones, procedimientos, convenio de partes, obligaciones, cese de la entidad certificadora autorizada, responsabilidad de las entidades certificadoras autorizadas ante terceros, sanciones, resolución de controversias y otros. 2. La publicidad, seguridad e integridad en el uso de la firma digital. 3. Las definiciones, principios y procedimientos relativos al tratamiento de los datos personales.” (Asamblea Legislativa Plurinacional, 2011), pagina 44. “Artículo 89. (CORREO ELECTRÓNICO PERSONAL). A los efectos de esta Ley el correo electrónico personal se equipará a la correspondencia postal, estando dentro del alcance de la inviolabilidad establecida en la Constitución Política del Estado. La protección del correo electrónico personal abarca su creación, transmisión, recepción y almacenamiento.” (Asamblea Legislativa Plurinacional,
- 156 - 2011), pagina 45. La Ley Nº 164, de 8 de agosto de 2011, General de Telecomunicaciones, Tecnologías de la Información y Comunicación. Norma el uso adecuado de la información y así mismo la comunicación señalan distintos aspectos en sus: Artículo 54 (derechos de los usuarios); 56 (inviolabilidad y secreto de las comunicaciones); 59 (obligaciones de los operadores y proveedores); 84 (reglamentación); 89 (correo electrónico personal); 90 (correo electrónico laboral), y 91 (comunicaciones comerciales publicitarias por correo electrónico o medios electrónicos). B.2.3. Decreto Supremo 1793 Reglamentación de la Ley Nº 164 Una vez lanzada la ley que normaría las comunicaciones y el tratamiento de la información era necesario reglamentar dicha ley es por eso que el Decreto Supremo Nº 1793, de 13 de noviembre de 2013. Reglamento de la Ley Nº 164. Artículos 3 (definiciones); 4 (principios), 40 (funciones de la Agencia de Registro); 54 (derechos del titular del certificado); 56 (Protección de datos personales), y 57 (comunicaciones comerciales publicitarias). El decreto 1793 que es la reglamentación de la ley N°164 el mismo señala en su Artículo 2 es aplicable para toda entidad pública o privada que tenga actividades o presten servicio relacionado con la certificación digital y firmas digitales en todo el estado plurinacional mismos deben cumplir lo siguiente:  Inciso I) Respecto a desarrollo de contenidos y aplicaciones, se puede transferir la información por medios electrónicos sin examinarlos ni modificarlo salvo autorización del propietario, así también el desarrollo haciendo uso de software con fines educativos productivos o de entretenimiento.
- 157 -  II) En cuanto al software libre, establece que el usuario ejercite las libertades como ser: ejecutar el software para cualquier propósito sin restricción, estudiar el funcionamiento del software y modificarlo para que cumpla un determinado propósito esto mediante el acceso del código fuente en cuanto a los estándares abiertos mismos que son técnicas o protocolos normalizados y se puedan usar sin restricciones.  III) Respecto a firmas y certificados digitales se debe instalar una infraestructura que sea capaz de certificar, generar y almacenar de los certificados digitales cumpliendo los principios de autenticación mediante el uso de las claves privada, publica.  VI) respecto a la seguridad informática establece los procedimientos y herramientas que se enfocan a la protección de la infraestructura computacional, que a su vez contiene a la información preservando su integridad, disponibilidad y confidencialidad, esto a su vez se logra mediante planes de contingencia que son realizados en circunstancias de riesgo u otras anomalías. En el Artículo 5 Plantea que los Contenidos y Aplicaciones en su prioridad está el desarrollo de plataformas virtuales de aprendizaje capacitación e investigación y servicios en todos los niveles educativos, en la salud plataformas de información atención y servicio a la población, en lo gubernamental la implementación del gobierno electrónico transparencia y garantizar la eficiencia de los sistemas implementados haciendo uso del idioma castellano sin olvidar o promover diferentes idiomas existentes en el Estado Plurinacional de Bolivia.  Entre otros aspectos que nos muestra es el promover el derecho a la privacidad de la información de los usuarios y fortalecer la seguridad informática del estado y así mismo la protección de los datos en sus sistemas
- 158 - informáticos a través de planes de contingencia desarrollados e implementados en cada entidad. Articulo 17 Plantea la Implementación del Gobierno Electrónico a través de la transparentarían de la gestión pública haciendo uso de tecnologías de la información y comunicación y otras herramientas para contribuir la participación y control social. Articulo 18 en el Lineamiento del Plan de Implementación del Gobierno Electrónico plantea el derecho a acceder, participar y relacionarse de manera transparente con las entidades públicas esto mediante el uso del internet, con el objetivo de promover la interoperabilidad de la entidad públicas y reducir la brecha entre el usuario y gobierno. Articulo 21 Lineamiento de Software Libre Plantea el Desarrollo de Software Libre y estándares abiertos en las plataformas informáticas, con lo cual se promueve el mecanismo de cooperación internacional en materia de software libre y estándares en respecto de la soberanía y seguridad informática y así mejorar el control, jerarquización para fortalecer las unidades de las entidades Públicas y Privadas con el fin de cumplir el reglamento. Articulo 22 el Repositorio Estatal de Software Libre el mismo es administrado por la ADSIB donde se tiene la obligatoriedad de registrar los sistemas y las aplicaciones libres usadas o desarrolladas de manera directa o a través de terceros en el repositorio estatal de software libre, toda adquisición deberá ser compatible con el software libre. Articulo 26 Función del certificado digital es el acreditar la identidad del titular de la firma, la legitimidad vincular un documento o mensaje electrónico y así garantizar la integridad del documento.
- 159 - Articulo 27 Característica del certificado digital deben cumplir con la emisión por una autoridad autorizada, mantener un numero único de serie, verificable, contener información necesaria para identificar al titular. Articulo 56 Protección de Datos Personales con el fin de resguardar la información detalla a continuación: datos personales en el sector público y privado en todas sus modalidades, incluyendo entre éstas las actividades de recolección, conservación, procesamiento, bloqueo, cancelación, transferencias, consultas e interconexiones, requerirá del conocimiento previo y el consentimiento expreso del titular. En su Inciso (e) demanda la responsabilidad de las entidades que manejen información de los usuarios como señala a continuación: “e) El responsable del tratamiento de los datos personales, tanto del sector público como del privado, deberá adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento no autorizado, las que deberán ajustarse de conformidad con el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”. B.2.4. Decreto Supremo Nº 3251 plan de Implementación de Gobierno Electrónico En el decreto aprobado el 12 de julio del 2017, donde estable la implementación del gobierno electrónico, implementación de la software libre y estándares abiertos son aplicables por todos los niveles de Gobierno del Estado Plurinacional de Bolivia, en su Art ° 5 los planes de implementación de Gobierno electrónico y los planes institucionales de implementación de software libre y estándares abiertos serán priorizados y financiado por cada entidad al interior de su presupuesto institucional ART º 6 (RESPONSABLES). Determina que cada MAE del sector público deberá designar a los responsables de la implementación del Gobierno Electrónico en coordinación de la AGETIC.
- 160 - “Artículo º 4 (Interoperabilidad) I. El COPLUTIC, en coordinación con la Agencia de Gobierno Electrónico y Tecnologías de Información y Comunicación – AGETIC, podrá determinar la obligatoriedad por parte de las entidades públicas para compartir información mediante interoperabilidad, en el marco de las leyes y normas vigentes, así como disposiciones específicas de sectores estratégicos.”
- 161 - GLOSARIO A AGETIC Agencia de Gobierno Electrónico y Tecnologías de Información y Comunicación, 147 B Botnets es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota, - 6 - C CISO El CISO (Chief Information Security Officer) es el director de seguridad de la información. Básicamente es un rol desempeñado a nivel ejecutivo y su función principal es la de alinear la seguridad de la información con los objetivos de negocio. De esta forma se garantiza en todo momento que la información de la empresa está protegida adecuadamente., - 45 - CRACKER El término cracker o cráquer (literalmente traducido como rompedor, del inglés to crack, que significa romper o quebrar) se utiliza para referirse a las personas que rompen o vulneran algún sistema de seguridad de forma ilícita, - 26 - CRC En informática, CRC hace referencia a cyclic redundancy check, también llamado polynomial code checksum. En español, control de redundancia cíclica o comprobación de redundancia cíclica.El CRC es una función diseñada para detectar cambios accidentales en datos de computadora y es comúnmente usada en redes digitales y dispositivos de almacenamiento (como discos duros)., - 33 -, - 34 -, - 35 - H hackers Hacker es una voz del inglés para referirse a una persona o a una comunidad que posee conocimientos en el área de informática y se dedica a acceder a sistemas informáticos para realizar modificaciones en el mismo., - 26 -, - 61 - I IDS Un sistema de detección de intrusiones (o IDS de sus siglas en inglés Intrusion Detection System) es un programa de detección de accesos no autorizados a un computador o a una red., - 30 -, - 85 -, - 87 -, - 88 -, - 89 -, - 91 -, - 94 -, - 107 -, - 108 -, - 117 - IPS Un Sistema de Prevención de Intrusos es un dispositivo de seguridad, fundamentalmente para redes, que se encarga de monitorear actividades a nivel de capa 3 (red) y/o a nivel de capa 7 (aplicación) del Modelo OSI, con el fin de identificar comportamientos maliciosos, sospechosos e indebidos, a fin de reaccionar ante ellos en tiempo real mediante una acción de contingencia., - 30 - ISDN ISDN La UIT-T (CCITT) define la Red Digital de Servicios Integrados (RDSI o ISDN en inglés) como red que procede por evolución de la Red Digital Integrada (RDI) y que facilita conexiones digitales extremo a extremo para proporcionar una amplia gama de servicios, tanto de voz como de otros tipos, y a la que los usuarios acceden a través de un conjunto de interfaces normalizados., - 35 - ISO/IEC 17799 La norma ISO 27001 facilita los requisitos que se deben adoptar para poder implementar un Sistema de Gestión de Seguridad de la Información, con lo que se podrá mantener la información de la organización de una forma
- 162 - segura ante cualquier posible amenaza. La norma NTP-ISO/IEC 17799 es una norma técnica peruana que ayuda a implementar también medidas de seguridad en las organizaciones, mejorando el rendimiento de la organización y aumenta su valor añadido ante las demás organizaciones del mismo sector., - 28 - L LAMERS Lamer (o zomber o Lamas en España) es un anglicismo propio de la jerga de Internet que hace alusión a una persona con falta de habilidades técnicas, sociabilidad o madurez e incompetente en una materia, actividad específica o dentro de una comunidad., - 26 - LAP-B LAPB (Link Access Procedure, Balanced) es un protocolo de nivel de enlace de datos dentro del conjunto de protocolos de la norma X.25. LAPB está orientado al bit y deriva de HDLC.Es un subconjunto de HDLC, en modo de clase balanceada asíncrona (BAC). HDLC trabaja con 3 tipos de estaciones, en cambio LAP-B solo con una, la Balanceada. Por lo tanto usa una clase balanceada asíncrona, los dos dispositivos pueden iniciar la transmisión, esa es una de las diferencias con HDLC., - 35 - Ll LLC Control de enlace lógico LLC ("Logical Link Control") define la forma en que los datos son transferidos sobre el medio físico, proporcionando servicio a las capas superiores., - 32 -, - 35 - M MAE Maxima Autoridad Ejecutiva, 147 P Payload En informática y telecomunicaciones la carga útil (payload en inglés) es el conjunto de datos transmitidos que es en realidad el mensaje enviado. La carga útil excluye las cabeceras o metadatos, que son enviados simplemente para facilitar la entrega del mensaje. El término está tomado prestado del transporte de mercancías, donde carga útil se refiere a la parte de la carga que se utiliza para costear el transporte., - 33 -, - 34 - R RAID RAID es un acrónimo del inglés que significa Redundant Array of Independent Disks, literalmente «matriz de discos independientes redundantes», aunque no todos los sistemas RAID proporcionan redundancia., 122 RS 232 RS-232 (Recommended Standard 232, en español "Estándar Recomendado 232"), también conocido como EIA/TIA RS-232C, es una interfaz que designa una norma para el intercambio de datos binarios serie entre un DTE (Data Terminal Equipment, "Equipo Terminal de Datos"), como por ejemplo una computadora, y un DCE (Data Communication Equipment, "Equipo de Comunicación de Datos"), por ejemplo un módem. Existen otros casos en los que también se utiliza la interfaz RS-232., - 32 - S SAP El SAP es un sistema de aplicaciones y productos en procesamientos de datos que son los que describen los hechos empíricos, sucesos y entidades que gestiona de forma integrada “on line” todas las áreas funcionales de una empresa que se identifican a una compañía de sistemas informáticos con sede en Alemania, el mercado de los sistemas informáticos con un producto que se produce en el mercado de los sistemas de información con producto denominado SAP R/2, antecesor al SAP R/3 que es el sistema integrado donde la información es almacenada., - 36 - Snort Snort es un Sistema de Detección de Intrusos (IDS) basado en red (IDSN) open source . Cuenta con un lenguaje de creación de reglas en el que se pueden definir los patrones que se utilizarán a la hora de monitorizar el sistema. Además, ofrece una serie de reglas y filtros ya predefinidos que se pueden ajustar durante su instalación y configuración para que se adapte lo máximo
- 163 - posible a lo que deseamos., - 6 -, - 26 -, - 92 -, - 94 -, - 107 -, - 108 - SOFTWARE LIBRE El software libre hace referencia a la capacidad de los usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el software que se ha puesto en sus manos, xiv SONET La Red Óptica Síncrona, también llamada SONET, es un estándar creado para la transmisión digital de grandes cantidades de información en redes de fibra óptica mediante el uso de láser o diodos emisores de luz LED., - 32 -
mineria victor.pdf

Más contenido relacionado

PDF
Diseño de SGSI basado en la norma iso 27001 Empresa Peñalosa.pdf
porOscar331243
 
PDF
seguridad en telecomunicaciones
porInez Velazquez Hernandez
 
DOCX
Tesis III Ingenieria de sistemas
porWilmer Vera Ostios
 
PDF
Cripto de redes
porMaria Cecilia Pintos
 
PDF
Ernesto Vargas_Alexis Marchan_Trabajo de Investigacion_Bachiller_2019.pdf
porHansel Rodriguez
 
PDF
A SEGURIDAD DE LA RED.pdf
porJessonReyes1
 
PDF
Tesis4
porIsrael Rodriguez
 
PDF
Tesis influyente
porFranz C C
 
Diseño de SGSI basado en la norma iso 27001 Empresa Peñalosa.pdf
porOscar331243
 
seguridad en telecomunicaciones
porInez Velazquez Hernandez
 
Tesis III Ingenieria de sistemas
porWilmer Vera Ostios
 
Cripto de redes
porMaria Cecilia Pintos
 
Ernesto Vargas_Alexis Marchan_Trabajo de Investigacion_Bachiller_2019.pdf
porHansel Rodriguez
 
A SEGURIDAD DE LA RED.pdf
porJessonReyes1
 
Tesis4
porIsrael Rodriguez
 
Tesis influyente
porFranz C C
 

Similar a mineria victor.pdf

PDF
BC-TES-4232.pdf
porJonattanCajahuaman1
 
PDF
T_0639.pdf
porHansel Rodriguez
 
PDF
Diseno e implementacion de mesa de ayuda para el area de informatica de rtvc
porRaul Treviño
 
PDF
Evaluación de la Seguridad Informática y Mitigación de Vulnerabilidades en un...
porLeonardo Duran
 
PDF
Seguridad en redes
porPatricia F
 
DOC
Mecanismos de seguridad en la red WIFI
porJose Torres
 
DOCX
Monografia completa (seguridad en redes)
porBenjamin Tapia
 
PDF
Ups ct003628 (1)
porEnrrique Romero Merlo
 
PDF
18 t00409
pordannyjhuri
 
PDF
38 t00231
porpablofernandez276
 
DOC
Plan de estudios masti 11 virtual
porJorgeConde44
 
PDF
Seguridad en organizaciones con tecnologías de información
porPochaco1
 
PDF
seguridad informatica
porRaisa Muñoz Morales
 
PDF
Tesis: Análisis, Diseño e Implementación de una aplicación para la administra...
porDennis Cohn
 
PDF
Redes privadas virtuales
porrvega2190
 
PDF
Rey manrique fernando_cctv_ip_inalambrica
porGallegos Vazquez Omar
 
PDF
“ESQUEMA DE SEGURIDAD PERIMETRAL APLICABLE A UNA.pdf
porssuser340234
 
PDF
Resguardo de Información en modo Seguro
porPablo Pellegrinet
 
PPTX
Presetacion redes ip
porJose Alberto Medina Vega
 
DOCX
Liza hernandez Diseño red local protocolos
porinvestigaciones online
 
BC-TES-4232.pdf
porJonattanCajahuaman1
 
T_0639.pdf
porHansel Rodriguez
 
Diseno e implementacion de mesa de ayuda para el area de informatica de rtvc
porRaul Treviño
 
Evaluación de la Seguridad Informática y Mitigación de Vulnerabilidades en un...
porLeonardo Duran
 
Seguridad en redes
porPatricia F
 
Mecanismos de seguridad en la red WIFI
porJose Torres
 
Monografia completa (seguridad en redes)
porBenjamin Tapia
 
Ups ct003628 (1)
porEnrrique Romero Merlo
 
18 t00409
pordannyjhuri
 
38 t00231
porpablofernandez276
 
Plan de estudios masti 11 virtual
porJorgeConde44
 
Seguridad en organizaciones con tecnologías de información
porPochaco1
 
seguridad informatica
porRaisa Muñoz Morales
 
Tesis: Análisis, Diseño e Implementación de una aplicación para la administra...
porDennis Cohn
 
Redes privadas virtuales
porrvega2190
 
Rey manrique fernando_cctv_ip_inalambrica
porGallegos Vazquez Omar
 
“ESQUEMA DE SEGURIDAD PERIMETRAL APLICABLE A UNA.pdf
porssuser340234
 
Resguardo de Información en modo Seguro
porPablo Pellegrinet
 
Presetacion redes ip
porJose Alberto Medina Vega
 
Liza hernandez Diseño red local protocolos
porinvestigaciones online
 

Más de Victor430019

PDF
Perez_TG_MarcoPractico_ (1).pdf
porVictor430019
 
PDF
PRESENTACION CALIDAD DE SOFTWARE IEEE ISO.pdf
porVictor430019
 
PDF
Vigilancia Tecnologica e Inteligencia Competitiva.pdf
porVictor430019
 
PDF
ROL DE DEFENSAS MARCO TEORICO 9N0 (2).pdf
porVictor430019
 
PDF
TTTT.pdf
porVictor430019
 
PDF
TITI3.pdf
porVictor430019
 
PDF
TITI3 (1).pdf
porVictor430019
 
PDF
mineria.pdf
porVictor430019
 
PDF
Privacidad y Proteccion de Datos Personales.pdf
porVictor430019
 
PDF
1.pdf
porVictor430019
 
PDF
3.pdf
porVictor430019
 
PDF
4° PRÁCTICA 2023.pdf
porVictor430019
 
Perez_TG_MarcoPractico_ (1).pdf
porVictor430019
 
PRESENTACION CALIDAD DE SOFTWARE IEEE ISO.pdf
porVictor430019
 
Vigilancia Tecnologica e Inteligencia Competitiva.pdf
porVictor430019
 
ROL DE DEFENSAS MARCO TEORICO 9N0 (2).pdf
porVictor430019
 
TTTT.pdf
porVictor430019
 
TITI3.pdf
porVictor430019
 
TITI3 (1).pdf
porVictor430019
 
mineria.pdf
porVictor430019
 
Privacidad y Proteccion de Datos Personales.pdf
porVictor430019
 
1.pdf
porVictor430019
 
3.pdf
porVictor430019
 
4° PRÁCTICA 2023.pdf
porVictor430019
 

Último

PDF
Las familias africanas más ricas del mundo a PPA (2026).pdf
porJC Díaz Herrera
 
PDF
Historia de la IA desde los inicios a la IA generativa
poryellowstar9
 
PPTX
Clase Repaso herramienta solver de excel.pptx
porrobert gomez
 
PDF
REPORTE DE ACCIDENTES DE TRÁNSITO DICIEMBRE 2025.pdf
porIrapuatoCmovamos
 
PDF
PPT_ACTUALIZACION LINEAMIENTOS GTGRD_GR_GL [EATL AQP].pdf
porIngrydhCF
 
PDF
Billonarios líderes por origen racial (2026).pdf
porJC Díaz Herrera
 
DOCX
IGA INFORME DE GESTION ANUAL INSTITUCIONAL
porvizneyfernandez
 
PDF
Familias y personas más ricas del mundo judío (2002-2026).pdf
porJC Díaz Herrera
 
PDF
Las familias judías más ricas del mundo a U$ PPA (2026).pdf
porJC Díaz Herrera
 
PDF
Presentación Universitaria Enfermería Ilustraciones Flat Azul (1).pdf
porestevezmia66
 
PDF
Familias más ricas de América Latina (1860-2025).pdf
porJC Díaz Herrera
 
PDF
Las familias más ricas de Occidente a PPA (2026).pdf
porJC Díaz Herrera
 
PDF
inclusion.pdf en la nueva escuela mexicana
porLauraFigueroa519558
 
PDF
Ingreso familiar por etnias a PPA (1960-2040) .pdf
porJC Díaz Herrera
 
PPTX
VIAS DE AGUA 2024.pptx informavdjdgsjsvhsvs
porvargaserlyn512
 
PPTX
3263-2 Microsoft Excel 2016 Core Lesson 2 Presentation.pptx
porPaulinoRamos3
 
PPTX
lECCION 10 transformadoooooooooooooooooooooooooooooos.pptx
poralbertoprogramas
 
PPTX
Presentación Curso Online Orgánico Azul y Blanco.pptx
porkarlaortizp26
 
PPTX
presentacion derecho laboral neyla Arroyo
porarroyoneyla771
 
PPTX
Presentación perros y mascotas ilustrada sencilla a mano morada.pptx
porpekusss07
 
Las familias africanas más ricas del mundo a PPA (2026).pdf
porJC Díaz Herrera
 
Historia de la IA desde los inicios a la IA generativa
poryellowstar9
 
Clase Repaso herramienta solver de excel.pptx
porrobert gomez
 
REPORTE DE ACCIDENTES DE TRÁNSITO DICIEMBRE 2025.pdf
porIrapuatoCmovamos
 
PPT_ACTUALIZACION LINEAMIENTOS GTGRD_GR_GL [EATL AQP].pdf
porIngrydhCF
 
Billonarios líderes por origen racial (2026).pdf
porJC Díaz Herrera
 
IGA INFORME DE GESTION ANUAL INSTITUCIONAL
porvizneyfernandez
 
Familias y personas más ricas del mundo judío (2002-2026).pdf
porJC Díaz Herrera
 
Las familias judías más ricas del mundo a U$ PPA (2026).pdf
porJC Díaz Herrera
 
Presentación Universitaria Enfermería Ilustraciones Flat Azul (1).pdf
porestevezmia66
 
Familias más ricas de América Latina (1860-2025).pdf
porJC Díaz Herrera
 
Las familias más ricas de Occidente a PPA (2026).pdf
porJC Díaz Herrera
 
inclusion.pdf en la nueva escuela mexicana
porLauraFigueroa519558
 
Ingreso familiar por etnias a PPA (1960-2040) .pdf
porJC Díaz Herrera
 
VIAS DE AGUA 2024.pptx informavdjdgsjsvhsvs
porvargaserlyn512
 
3263-2 Microsoft Excel 2016 Core Lesson 2 Presentation.pptx
porPaulinoRamos3
 
lECCION 10 transformadoooooooooooooooooooooooooooooos.pptx
poralbertoprogramas
 
Presentación Curso Online Orgánico Azul y Blanco.pptx
porkarlaortizp26
 
presentacion derecho laboral neyla Arroyo
porarroyoneyla771
 
Presentación perros y mascotas ilustrada sencilla a mano morada.pptx
porpekusss07
 

mineria victor.pdf

  • 1.
    ESCUELA MILITAR DEINGENIERÍA “MARISCAL ANTONIO JOSÉ DE SUCRE” BOLIVIA TESIS DE MAESTRÍA SISTEMA DE SEGURIDAD POR NIVELES, PARA LAS REDES INFORMÁTICAS CORPORATIVAS EN LOS CENTROS DE DATOS DEL SISTEMA DE UNIVERSIDADES DE BOLIVIA JUAN FERNANDO HUANCA ALAVI LA PAZ, 2021
  • 2.
    - i - JUANFERNANDO HUANCA ALAVI SISTEMA DE SEGURIDAD POR NIVELES, PARA LAS REDES INFORMÁTICAS CORPORATIVAS EN LOS CENTROS DE DATOS DEL SISTEMA DE UNIVERSIDADES DE BOLIVIA Modalidad: Tesis de Grado, que se presenta como requisito para optar al título de Magister Scientiarum en Seguridad de Tecnologías de la Información. TUTOR: MSC. ING. CESAR FERNANDO LOZANO LA PAZ, 2021
  • 3.
    - ii - AUTORIZOLA PRODUCCIÓN Y DIVULGACIÓN TOTAL O PARCIAL DE ESTE TRABAJO DE INVESTIGACIÓN, POR CUALQUIER MEDIO CONVENCIONAL O ELECTRÓNICO PARA FINES DE ESTUDIO E INDAGACIÓN, A PARTIR DE LA APROBACIÓN SE PUEDE REALIZAR LA RESPECTIVA CITA DE LA FUENTE DE INFORMACIÓN. Huanca Alavi, Juan Fernando Sistema de Seguridad por Niveles, para las redes informáticas corporativas en los centros de datos del Sistema de Universidades de Bolivia. -La Paz, 2021. Tesis de Maestría – Programa de Posgraduación de la Maestría en Seguridad de Tecnologías de la Información. Escuela Militar de Ingeniería. Palabras Clave: 1 Seguridad – Niveles de Seguridad – Perímetro de Seguridad. CÓDIGO______________
  • 4.
    -iii- HOJA DE APROBACIÓN Aprobadocon: Tribunal Examinador de Tesis Vocal: ____________________________________________________________ Institución: _____________________________Firma: :______________________ Oponente: _________________________________________________________ Institución: _____________________________Firma: :______________________ Relator: ___________________________________________________________ Institución: _____________________________Firma: :______________________ Tutor: _____________________________________________________________ Institución: _____________________________Firma: :______________________ Secretario: _________________________________________________________ Institución: _____________________________Firma: :______________________ Presidente: Cnl. DAEN________________________________________________ Institución: _____________________________Firma: :______________________ Juan Fernando Huanca Alavi Sistema de Seguridad por Niveles, para las redes informáticas corporativas en los centros de datos del Sistema de Universidades de Bolivia. Tesis Presentada a la Dirección Posgrado de la Escuela Militar de Ingeniería para la Obtención del título de Magister Scienciarum. Área de Concentración: Seguridad en Tecnologías de la Información.
  • 5.
    -iv- DEDICATORIA Dedico este trabajofinal a mi creador y a mi familia. Al Dios Todo poderoso quien me regala la vida y salud, agradecerle por su infinita misericordia por prestarme al ser que me brindo la vida mi mamá quien me ayudó con su paciencia y animándome para seguir estudiando, mis hermanas que me dieron su comprensión y ayuda en los momentos más dolorosos y los felices, a mis seres queridos que me brindaron comprensión y cariño durante la elaboración del presente trabajo de investigación. A mi mamá adorada Elena Alavi que me dio la vida y me brindó su apoyo mediante sus consejos, brindándome en todo momento su comprensión en las diversas situaciones. A mis hermanos que siempre me han mostrado su comprensión y apoyo incondicional. A las personas que estando fuera del círculo familiar me ayudaron de forma indirecta o directa para realizar el presente trabajo, mediante pequeños detalles o animándome para continuar y terminar el presente trabajo.
  • 6.
    - v - AGRADECIMIENTOS Alcreador de los cielos y la tierra que escuchó mi clamor cuando estaba perdido y me recibió en su regazo: “Jehová, tú eres mi Dios; te exaltaré, alabaré tu nombre, porque has hecho maravillas; tus consejos antiguos son verdad y firmeza”. (Isaías 25:1). Al M.Sc. Ing. Cesar Fernando Lozano Mantilla, quien me colaboró con sus conocimientos, experiencia en el campo practico y laboral con su guía en el desarrollo del presente documento. A mis mentores M.Sc. Ing. Cesar Fernando Lozano Mantilla, M. Sc. Ing. Edson Vallejos, M.Sc. Ing. Cesar Castellon, M.Sc. Ing. Carlos Anibarro, quienes fueron guía clave del trabajo científico, con sus conocimientos, experiencia en el campo práctico y laboral con su tutoría en el desarrollo del presente documento, muchas gracias. A la Escuela Militar de Ingeniería, por la oportunidad de lograr mi especialización a través del curso de Maestría en Seguridad de Tecnologías de la Información y permitirnos ingresar a sus laboratorios e instalaciones para obtener los datos significativos que fueron base sólida en la presente investigación.
  • 7.
    - vi - ÍNDICE CONTENIDOPaginas CUBIERTA ………………………………………………………………………………….…….. i CONTRACUBIERTA………………………………………………………………..………….... ii HOJA DE APROBACIÓN………………………………………………………….…………..... iii DEDICATORIA…………………………………………………………………….……………... iv AGRADECIMIENTOS…………………………………………………………......……………. .v ÍNDICE………………………………………………………………………..........………………vi LISTA DE TABLAS………………...………………………………………...........……………. ix LISTA DE FIGURAS…………………………………………………………..........………….. x LISTA DE FORMULAS……...……………………………….....……………. ……………… xii RESUMEN/ABSTRACT…….…..…………………………………………….........…………...xiii CAPÍTULO PRIMERO ...................................................................................................... - 1 - GENERALIDADES ........................................................................................................... - 1 - 1.1 INTRODUCCIÓN .................................................................................................. - 1 - 1.2 . ANTECEDENTES DEL PROBLEMA................................................................... - 3 - 1.3 PLANTEAMIENTO DEL PROBLEMA ................................................................. - 8 - 1.4 IDENTIFICACIÓN DEL PROBLEMA................................................................... - 9 - 1.4.1. Formulación del Problema .................................................................................. - 15 - 1.5 . OBJETIVOS DE LA INVESTIGACIÓN .............................................................. - 15 - 1.5.1. Objetivo General ................................................................................................. - 15 - 1.5.2. Objetivos Específicos.......................................................................................... - 16 - 1.6 . JUSTIFICACIÓN ................................................................................................. - 16 - 1.6.1. Justificación Teórica............................................................................................ - 16 - 1.6.2. Justificación Legal............................................................................................... - 17 - 1.6.3. Justificación Social.............................................................................................. - 18 - 1.6.4. Justificación Técnica ........................................................................................... - 18 - 1.6.5. Justificación Subjetiva......................................................................................... - 19 - 1.7 . ALCANCES......................................................................................................... - 19 - 1.7.1. Área de Investigación.......................................................................................... - 21 - 1.7.2. Seguridad ............................................................................................................ - 21 - 1.7.2.1 Seguridad de la Información ............................................................................... - 21 - 1.8 . TEMA ESPECÍFICO............................................................................................ - 22 - 1.9 . NIVEL DE INVESTIGACIÓN .............................................................................. - 22 - 1.9.1. Alcance Espacial ................................................................................................. - 23 - 1.9.2. Alcance Temporal ............................................................................................... - 23 - CAPÍTULO SEGUNDO................................................................................................... - 24 - ESTADO DEL ARTE....................................................................................................... - 24 - 2.1 . FUNDAMENTOS TEÓRICOS GENERALES .................................................... - 24 - 2.2 . FUNDAMENTOS TEÓRICOS ESPECÍFICOS................................................... - 27 - 2.2.1. Seguridad Informática ......................................................................................... - 27 - 2.3 . SEGURIDAD DE REDES INFORMÁTICAS ...................................................... - 28 - 2.3.1. Seguridad por Niveles......................................................................................... - 29 - 2.3.2. Nivel 1 (Físico)..................................................................................................... - 30 - 2.3.3. Nivel 2 (Enlace)................................................................................................... - 31 - 2.3.4. Nivel (Red)........................................................................................................... - 34 - 2.3.5. Nivel (Transporte)................................................................................................ - 34 - 2.3.6. Nivel (Aplicación)................................................................................................. - 35 - 2.3.7. Niveles de Seguridad .......................................................................................... - 36 - 2.3.8. Nivel D (el sistema entero no es confiable) ........................................................ - 36 - 2.3.9. Nivel C (Protección Discreta).............................................................................. - 37 -
  • 8.
    - vii - a)Nivel C1: Protección Discrecional.............................................................................. - 37 - b) Clase (C2): Protección de Acceso Controlado.......................................................... - 37 - 2.3.10. Nivel B ............................................................................................................... - 38 - a) Nivel B1: Seguridad Etiquetada................................................................................. - 38 - b) Nivel B2: Protección Estructurada ............................................................................. - 38 - c) Nivel B3: Dominios de Seguridad .............................................................................. - 39 - 2.3.11. Nivel A: Protección Verificada............................................................................ - 39 - a) Clase (A1): Diseño Verificado.................................................................................... - 39 - 2.3.12. Centros de Datos .............................................................................................. - 42 - 2.3.12.1. Tier.................................................................................................................... - 42 - 2.3.12.2. Tier I - Centro de Datos Básico........................................................................ - 43 - 2.3.12.3. Tier II - Centro de Datos Redundante.............................................................. - 43 - 2.3.12.4. Tier III - Centro de Datos Concurrentemente Manantenibles ......................... - 43 - 2.3.12.5. Tier IV - Centro de Datos Tolerante a Fallos.................................................. - 43 - 2.3.13. Zero Trust (Cero Confianza) ............................................................................ - 44 - 2.3.14. Los Datos ......................................................................................................... - 45 - 2.3.15. Pilar #1 - Usuarios............................................................................................ - 45 - 2.3.16. Pilar #2 - Seguridad de Dispositivos................................................................ - 46 - 2.3.17. Pilar #3 - Red de Seguridad............................................................................. - 46 - 2.3.18. Pilar #4 - Aplicación y Seguridad de la Carga de Trabajo .............................. - 47 - 2.3.19. Pilar #5 - Orquestación de Seguridad de Automatización .............................. - 47 - 2.3.20. Pilar #6 - Visibilidad y Análisis de Seguridad Analítica ................................... - 48 - 2.3.21. Software-Defined Perimeter (SDP).................................................................. - 48 - 2.4 . MÉTODO O ESTRUCTURA DE ANÁLISIS, CRITERIOS DE VALIDEZ Y CONFIABILIDAD ............................................................................................................ - 50 - 2.4.1. Método de Análisis........................................................................................... - 50 - 2.5 . DISEÑO TEÓRICO DE LA INVESTIGACIÓN ................................................ - 52 - CAPÍTULO TERCERO.................................................................................................... - 54 - ESTRATEGIAS METODOLÓGICAS ............................................................................. - 54 - 3.1 ESTRATEGIAS METODOLÓGICAS .............................................................. - 54 - 3.2 . DEFINICIÓN DE LA HIPÓTESIS .................................................................... - 57 - 3.3 . VARIABLES..................................................................................................... - 57 - 3.3.1. Identificación y Análisis de Variables............................................................... - 58 - 3.4 . CONCEPTUALIZACIÓN DE LAS VARIABLES............................................. - 58 - 3.5 . INDICADOR ..................................................................................................... - 59 - 3.5.1. Tasa de Variación de Estudiantes ................................................................... - 59 - 3.5.2. Índice de riesgo................................................................................................ - 60 - 3.5.3. Superficie de ataque ........................................................................................ - 60 - 3.6 . OPERACIONALIZACIÓN DE VARIABLES.................................................... - 62 - 3.7 . MATRIZ DE CONSISTENCIA ......................................................................... - 65 - 3.8 . UNIVERSO Y MUESTRA ................................................................................ - 66 - 3.8.1. Universo ........................................................................................................... - 66 - 3.8.2. Muestra............................................................................................................. - 66 - CAPÍTULO CUARTO...................................................................................................... - 68 - DESARROLLO PRACTICO ........................................................................................... - 68 - 4 . ESTADO INICIAL - ACTUAL DEL CENTRO DE DATOS DE LA UNIVERSIDAD PÚBLICA DE EL ALTO .................................................................................................. - 68 - 4.1 ESTADO INICIAL – ACTUAL DEL CENTRO DE DATOS DE LA UPEA ..... - 68 - 4.2 . RIESGOS DEL CENTRO DE DATOS DE LA UNIVERSIDAD PÚBLICA DE EL ALTO ............................................................................................................................... - 75 - 4.2.1. Superficie de ataque del Centro de Datos de la UPEA................................... - 79 - 4.3 PRESENTACIÓN DEL DISEÑO PARA LA SEGURIDAD CORPORATIVA. - 80 - 4.3.1. Nivel de Acceso................................................................................................ - 82 - 4.3.2. Nivel de Distribución ........................................................................................ - 85 -
  • 9.
    - viii - 4.3.3.Nivel Principal de Conexión A Internet (CORE O BACKBONE).................... - 87 - 4.3.4. Universidad de la CEUB (UPEA).................................................................... - 93 - 4.3.4.1. Centro de Datos .............................................................................................. - 93 - 4.3.4.2. Firewall´s ......................................................................................................... - 93 - 4.3.4.3. Núcleo de la entidad ....................................................................................... - 94 - 4.3.4.4. Distribución de edificio .................................................................................... - 94 - 4.3.5. Borde de la universidad .................................................................................. - 94 - 4.3.5.1. SDP CONTROLLER ....................................................................................... - 94 - 4.3.5.2. SDP Gateway (borde de controlador)............................................................. - 95 - 4.3.5.3. SDP cliente...................................................................................................... - 95 - 4.3.5.4. CLOUD............................................................................................................ - 95 - 4.3.6. Centro de Datos Sucursal............................................................................... - 95 - 4.3.6.1. Tele Operador ................................................................................................. - 96 - 4.4 . DEMOSTRACIÓN DE LA HIPÓTESIS ......................................................... - 96 - CAPÍTULO QUINTO ..................................................................................................... - 101 - PRESENTACIÓN DE RESULTADOS.......................................................................... - 101 - 5.1 ANÁLISIS Y PRESENTACIÓN DEL DISEÑO............................................ - 101 - 5.2 . PRESENTACIÓN DEL MODELO PRÁCTICO ........................................... - 101 - 5.2.1. Servicios instalados en el servidor (debían-DNS1)..................................... - 103 - 5.2.1.1. Bind9 (DNS) ................................................................................................. - 105 - 5.2.1.2. Ssh................................................................................................................ - 106 - 5.2.1.3. Snmp ............................................................................................................ - 109 - 5.2.1.4. Squid ............................................................................................................ - 110 - 5.2.1.5. Kerberos....................................................................................................... - 112 - 5.2.1.6. Gpg............................................................................................................... - 112 - 5.2.1.7. IPtables......................................................................................................... - 114 - 5.2.1.8. Snort ............................................................................................................. - 116 - 5.2.1.9. Mod securiy .................................................................................................. - 117 - 5.2.2. Servicios instalados en el servidor (SRV-WEB-MAIL)................................ - 118 - 5.2.2.1. Servidor WEB apache.................................................................................. - 119 - 5.2.3. Postgresql..................................................................................................... - 120 - 5.2.4. Postfix........................................................................................................... - 120 - CAPITULO SEXTO....................................................................................................... - 122 - CONCLUSIONES Y RECOMENDACIONES ............................................................... - 122 - 6.1 EPILOGO ..................................................................................................... - 122 - 6.2 CONCLUSIONES ........................................................................................ - 122 - 6.3 . RECOMENDACIONES................................................................................ - 127 - 6.4 . SUGERENCIAS PARA FUTURAS INVESTIGACIONES .......................... - 128 - BIBLIOGRAFIA............................................................................................................. - 130 - ANEXOS........................................................................................................................ - 130 - ANEXO A - INSTALACIÓN DE LOS SERVICIOS EN LA APLICACIÓN EN EL SERVIDOR CON NOMBRE.......................................................................................... - 130 - ANEXO B: PRESENTACIÓN DE LOS DATOS........................................................... - 130 - B.1. ESTRUCTURA LEGAL Y JURÍDICA......................................................... - 130 - B.1.1. Legislación Boliviana en delitos informáticos ............................................. - 120 - B.1.1.1. Constitución Política del estado Plurinacional de Bolivia .......................... - 120 - a) Ley de Código Penal Boliviano................................................................... - 120 - b) Capítulo XI, Delitos Informáticos ................................................................ - 120 - B.2. Ley N° 164 General de Telecomunicación, Tecnologías de la Información y Comunicación................................................................................................................ - 120 - B.2.3. Decreto Supremo 1793 Reglamentación de la Ley Nº 164 ....................... - 120 - B.2.4. Decreto Supremo Nº 3251 plan de Implementación de Gobierno Electrónico …………………………………………………………………………………….- 120 - GLOSARIO.........................................................................................................................161
  • 10.
    - ix - LISTADETABLAS Tabla 1.1 - Entidades que tienen Centro de datos por tipo de Entidad 2017 .................. - 11 - Tabla 2.1 - MODELADO DE TCP/IP .................................................................................... - 30 - Tabla 2.2 - Modelado de los modelos TCP/IP y OSI.......................................................... - 30 - Tabla 2.3 - Comparación entre la IEEE y Modelo OSI........................................................ - 31 - Tabla 3.1 - Operacionalización de Variable independiente ................................................ - 63 - Tabla 3.2 - Operacionalización de Variable dependiente ................................................... - 64 - Tabla 3.3 - Matriz de Consistencia......................................................................................... - 65 - Tabla 4.1 - Tabla de Implementación de gobierno electrónico en la UPEA................... - 74 - Tabla 4.2 – Riesgos del centro de datos para la Universidad Pública de El Alto........... - 76 - Tabla 4.3 - Servicios Web alojados en el Centro de datos de la UPEA ........................... - 79 - Tabla 4.4 - Seguridad en el nivel de acceso......................................................................... - 84 - Tabla 4.5 - Seguridad de distribución.................................................................................. - 87 - Tabla 4.6 - Seguridad de nivel de conexión a internet...................................................... - 89 - Tabla 5.1 - Servicios que se encuentran instalados en el srv-FWR................................ - 104 - Tabla 5.2 - Servicios Instalados en la maquina (SRV-WEB-MAIL)................................ - 119 -
  • 11.
    - x - LISTADE FIGURAS Figura 1.1 - Índice Nacional de Seguridad Cibernética (NCSI, 2020) ........................................... - 2 - Figura 1.2 - Defensa en Profundidad (Bortnik, S., 2010).............................................................. - 7 - Figura 1.3 – Árbol de problema, Elaboración propia ................................................................... - 10 - Figura 1.4 – Universidades de los departamentos La Paz, Cochabamba, Santa Cruz, (CEUB). - 14 - Figura 2.1 - Los Pilares de Zero Trust (ACT-IAC,2019) ............................................................. - 45 - Figura 2.2 – Arquitectura del SDP (Pulse Secure, 2018) ............................................................ - 49 - Figura 3.1 - Población que accede a la información (AGETIC, 2017)........................................ - 55 - Figura 3.2- Población que tuvo problemas de virus o hackeo de su cuenta (AGETIC, 2017).... - 56 - Figura 3.3 - Población universitaria que utiliza páginas web de universidades (AGETIC, 2017 - 57 - Figura 4.1 - Edificio emblemático Ubicación Av. Juan Pablo Segundo (www.upeaaldia.com) .... - 68 - Figura 4.2 - Centro de Datos de la UPEA (Elaboración Propia)................................................. - 69 - Figura 4.3 - Red LAN de la UPEA (Elaboración Propia) ............................................................. - 69 - Figura 4.4 - Red de Interconexión de la UPEA (Elaboración Propia).......................................... - 70 - Figura 4.5 - Diagrama lógico de la UPEA (Elaboración Propia) ................................................. - 70 - Figura 4.6 - Seguridad de la Red Corporativa de la Seguridad Física (Elaboración Propia)...... - 71 - Figura 4.7 - Seguridad en la Capa de Enlace (Elaboración Propia)........................................... - 71 - Figura 4.8 - Seguridad de la capa de red (Elaboración Propia) .................................................. - 72 - Figura 4.9 - Seguridad de la capa de transporte (Elaboración Propia)........................................ - 72 - Figura 4.10 - Seguridad en la capa de aplicación (Elaboración Propia)..................................... - 73 - Figura 4.11 - Diagrama de Flujo del diseño de seguridad corporativa (Elaboración propia) ....... - 82 - Figura 4.12 – Diseño de la Red Corporativa para la UPEA (Elaboración Propia) ...................... - 92 - Figura 4.13 - Diseño lógico de la red corporativa (Elaboración Propia) ..................................... - 96 - Figura 5.1 - Diseño Lógico de la Red Corporativa (Elaboración Propia)................................... - 101 - Figura 5.2 - Modelo práctico de la configuración (Elaboración Propia) ..................................... - 103 - Figura 5.3 - Llave de rndc.key (Sin seguridad), (Elaboración Propia) ....................................... - 105 - Figura 5.4 - Llave de rndc.key (Llave cifrada), (Elaboración Propia)......................................... - 106 - Figura 5.5 - Cambio de dueño del archivo rndc.key (Elaboración Propia) ..................... - 106 - Figura 5.6 - Configuración de que equipos pueden acceder por SSH, (Elaboración Propia)- 106 - Figura 5.7 - Acceso de cliente por SSH, (Elaboración Propia) ........................................ - 107 - Figura 5.8 - Creación de las llaves pública, privadas (Elaboración Propia) ................... - 108 - Figura 5.9 - Copia de la Llave Pública, (Elaboración Propia)........................................... - 108 - Figura 5.10 - Configuración de apertura de ventanas por ssh, (Elaboración Propia)... - 109 - Figura 5.11 - Configuración del SNMP, (Elaboración Propia).......................................... - 109 - Figura 5.12 - Información de recolección de información del router, (Elaboración Propia) . - 110 - Figura 5.13 - Advertencia al acceso por SQUID, (Elaboración Propia)......................... - 111 - Figura 5.14 - Configuración de bloqueo de Dominio (Elaboración Propia) .................... - 111 - Figura 5.15 - Identificación para Acceder al servicio de Internet (Elaboración Propia) - 111 - Figura 5.16 - Acceso a la página de prueba en el servidor WEB, (Elaboración Propia) - 112 - Figura 5.17 - Creación de Tiquete para acceso (Elaboracion Propia)............................ - 112 -
  • 12.
    - xi - Figura5.18 - Archivo cifrado (Elaboración Propia)............................................................ - 113 - Figura 5.19 - Cifrado y firmado de la un archivo (Elaboración Propia) ........................... - 113 - Figura 5.20 - Archivo encriptado (Archivo.txt.gpg) (Elaboración Propia)........................ - 113 - Figura 5.21 - Archivo cifrado y archivo original (Elaboración Propia) ............................. - 114 - Figura 5.22 - Escaneo de los puertos en el SRV-WEB (Elaboración Propia)............... - 115 - Figura 5.23 - Escaneo de los puertos debian10-DNS1 (Elaboración Propia)................ - 115 - Figura 5.24 - Configuración de Iptables (Elaboración Propia) ......................................... - 116 - Figura 5.25 - Reglas de Configuración para el IDS (Snort) (Elaboración Propia) ......... - 117 - Figura 5.26 - Alertas del IDS con los paquetes de ICM, FTP (Elaboración Propia)...... - 117 - Figura 5.27 - Inyección SQL a la página WEB (Elaboración Propia).............................. - 118 - Figura 5.28 - Respuesta del WAF (Elaboración Propia)................................................... - 118 - Figura 5.29 - Servidor WEB con protección de SSL, (Elaboración Propia).................... - 119 - Figura 5.30 - Se cambia el permiso para acceso a la SHELL (Elaboración Propia)..... - 120 - Figura 5.31 - Modelo de la Configuración Práctica (Elaboración Propia)....................... - 121 - Figura 5.32 - Maqueta de equipos virtuales (Elaboración Propia)................................... - 121 -
  • 13.
    - xii - LISTADE FÓRMULAS Ecuación 3.1 - Tasa de variación de estudiantes.............................................................. - 59 - Ecuación 3.2 - Índice de Riesgo .......................................................................................... - 60 - Ecuación 3.3 - Superficie Total de Ataque ......................................................................... - 61 -
  • 14.
    - xiii - RESUMEN Lapresente tesis de investigación aportará de gran manera en el ámbito de la seguridad de la información, en los centros de datos de las Universidades Públicas con el uso de la Seguridad por Niveles. La inseguridad que se encuentra presente en los centros de datos de las universidades públicas en Bolivia, son datos preocupantes debido a que solo se cuenta con un solo centro de datos certificado en todas las universidades públicas del territorio boliviano, de acuerdo al estudio realizado por la AGETIC. Con la presente investigación, se mejorará la seguridad en los centros de datos como lo sugiere TIA-942 EDC (Edge data center) al considerar siete áreas para las consideraciones iniciales para la seguridad de los centro de datos perimetrales que incluyen riesgo ambiental, riesgo de protección física, riesgo de suministro de energía, riesgo de cableado de telecomunicaciones, riesgo de acceso, video vigilancia, métricas de seguridad, esto mediante la implementación y división por niveles de seguridad física, enlace, red, transporte y aplicación, todo en conformidad a la Legislación Boliviana del Estado Plurinacional de Bolivia y en su normativa: Ley N° 164, el Decreto N° 1743 y el Decreto Supremo N° 3251 las cuales regulan el uso y resguardo de la información de los usuarios haciendo uso de software libre y la implementación de la firma digital con la finalidad de que se verifique la autoría y autenticidad de un archivo o información. La forma de controlar es mediante el monitoreo a la seguridad de la información, en un centro de datos es con la implementación de la seguridad por niveles que a su vez se puede conseguir mediante la ayuda de agentes que colaboran en los niveles de red, transporte, aplicación como son los firewalls (corta fuegos), IDS y firewall de aplicaciones web. Palabras Clave: Seguridad por niveles, Niveles de seguridad, Software Libre, Monitoreo, Perímetro.
  • 15.
    - xiv - ABSTRACT Thisresearch thesis will contribute greatly in the field of information security, in the data centers of Public Universities with the use of Security by Levels. The insecurity that is present in the data centers of public universities in Bolivia is worrying data because there is only one certified data center in all public universities in Bolivian territory, according to the study carried out by the AGETIC. With the present research, security in data centers will be improved as suggested by TIA-942 EDC (Edge data center) by considering seven areas for initial considerations for perimeter data center security including environmental risk, risk of physical protection, power supply risk, telecommunications cabling risk, access risk, video surveillance, security metrics, this through the implementation and division by levels of physical security, link, network, transport and application, all in accordance with the Bolivian Legislation of the Plurinational State of Bolivia and its regulations: Law No. 164, Decree No. 1743 and Supreme Decree No. 3251 which regulate the use and protection of user information using free software and the implementation of the digital signature in order to verify the authorship and authenticity of a file or information. The way to control is by monitoring information security, in a data center it is with the implementation of security by levels that in turn can be achieved through the help of agents that collaborate at the network, transport levels , application such as firewalls (firewalls), IDS and web application firewall. Keywords: Security by levels, Levels Security, Free Software, Monitoring, Perimeter.
  • 16.
    - 1 - CAPÍTULOPRIMERO GENERALIDADES 1 . INTRODUCCIÓN 1.1 INTRODUCCIÓN El incremento de la información contenida en diferentes plataformas en cuanto a redes sociales, correos electrónicos, páginas web y escenarios de acceso público, etc. que aglomeran la mayor cantidad de información personal de los diferentes usuarios. Se ha vuelto un instrumento indispensable para los seres humanos, los cuales van accediendo mediante los dispositivos móviles y equipos de computación. Con la información almacenada en diferentes servidores, donde se acopian datos personales de los usuarios a los cuales se acceden por medio de cuentas de correos personales, empresariales, institucionales y aplicaciones en dispositivos móviles y equipos de computación; las cuales pueden llegar a ser las cuentas de banco, calificaciones del colegio, universidad, historial clínico o una simple fotografía y que están almacenados en discos duros o dispositivos de TI. En la actualidad se han incrementado el uso indebido y manipulación de la información esto gracias a los reportes del Centro de Gestión de Incidentes Informáticos (CGII), este tipo de incidentes informáticos se los realiza con diferentes objetivos ya sea para la obtención de algún beneficio ya sea sentimental, político, socioeconómico, etc. conociendo que el acceso ilegal de datos genera pérdida económica, prestigio, tanto de los usuarios y las instituciones. Este a su vez es ocasionado por personas mal intencionadas o los mismos usuarios al no hacer un uso correcto de sus diferentes cuentas. Los delitos informáticos a nivel mundial y local se han incrementado de manera progresiva (BID, 2020). A través del tiempo y con el uso de la información de los
  • 17.
    - 2 - diferentesmedios, métodos e ingeniería social. El uso ilegal e inapropiado de la información ha generado pérdidas en las instituciones gubernamentales y privadas. El estudio proporcionado por NCSI (NCSI, 2020) se encarga de observar y medir la preparación de los países para prevenir amenazas de ciberseguridad y la gestión de incidentes. El índice midió a 117 países y Bolivia se ubicó en el puesto 95, ocupando el último lugar de América Latina, los aspectos con menor puntuación corresponden a manejo de Ciber-Crisis 0%, protección de datos personales 0%, protección de servicios digitales 0%, desarrollo de una política de Ciberseguridad 0%, Contribución a la ciberseguridad global 17% y información y análisis de amenazas cibernéticas 20%. Figura 1.1 - Índice Nacional de Seguridad Cibernética (NCSI, 2020) Se observa que los delitos informáticos en Bolivia deben ser tomados con mayor seriedad, ya que existe un arduo y necesario trabajo que se debe realizar en el país a través de las autoridades gubernamentales.
  • 18.
    - 3 - Porlo mismo se plantea resolver posibles riesgos, mediante el desglose de los niveles de seguridad, además garantizar la confiabilidad, integridad y disponibilidad de la información. 1.2 . ANTECEDENTES DEL PROBLEMA Dentro del ámbito académico que tocaron aspectos referentes a la seguridad de la información contenida en un centro de datos, se puede nombrar los siguientes trabajos de grado y trabajos de tesis en orden cronológico: "METODOLOGÍA PARA ESTABLECER POLÍTICAS, NORMAS Y PROCEDIMIENTOS SOBRE SEGURIDAD INFORMÁTICA EN UNIDADES DE LA ADMINISTRACIÓN PÚBLICA" presentado por (Dueñas G., 2003). El objetivo principal es el establecer políticas, normas y procedimientos sobre seguridad informática en la administración pública, basada en un proceso sistémico. "DISEÑO DEL PROCESO ADMINISTRATIVO DE LA SEGURIDAD INFORMÁTICA EN LA "EMPRESA MUNICIPAL DE SERVICIO DE CEMENTERIOS, SALAS DE VELACIÓN Y EXEQUIAS ", EMUCE - CUENCA" presentado por (Vicuña P., 2009). El objetivo principal es diseñar el proceso administrativo de la seguridad informática en la EMCE. Y mostrar los procedimientos y políticas de seguridad, controles y procedimientos que regulen los riesgos de seguridad informática en el acceso a la información. "LA GESTIÓN DEL CAMBIO TECNOLÓGICO DE LA SEGURIDAD INFORMÁTICA EN EL IPN LA DIRECCIÓN DE CÓMPUTO Y COMUNICACIONES (DCYC) COMO CASO DE ESTUDIO" presentado por (Arellano L., 2011). El objetivo principal se basa en establecer las responsabilidades de seguridad de la información en todas las áreas con la implementación de estándares internacionales, implementando controles para las diferentes tecnologías, analizando incidentes de seguridad y evaluando las vulnerabilidades.
  • 19.
    - 4 - "SEGURIDADPOR NIVELES" de (Corletti E., 2011). El objetivo principal de este libro es el mostrar la seguridad de los diferentes niveles: físico, enlace, red, transporte y aplicación y sus medidas de seguridad con el uso de software libre o medidas que mitiguen las amenazas presentes, en la red mediante el uso de agentes o herramientas. "ANÁLISIS DE ESTRATEGIAS DE GESTIÓN DE SEGURIDAD INFORMÁTICA CON BASE EN LA METODOLOGÍA OPEN SOURCE SECURITY TESTING METHODOLOGY MANUAL (OSSTNM) PARA LA INTRANET DE UNA INSTITUCIÓN DE EDUCACIÓN SUPERIOR" presentado (Gordon R., 2017). Este trabajo tiene la finalidad de realizar la auditoria de seguridad informática a una institución de educación superior, mediante la aplicación de la metodología OSSTMM y pruebas de hacking ético estableciendo métricas para evaluar el nivel de impacto y criticidad de las vulnerabilidades encontradas, donde se verificó que existe una seguridad media. Siendo que la institución cuenta con un sistema de seguridad implementado. “METODOLOGÍA BASADA EN ESTÁNDARES DE PENTESTING PARA LA DETECCIÓN DE VULNERABILIDADES PARA LA DIRECCIÓN NACIONAL DE INFORMÁTICA DE LA EMI” presentado por (Gutierrez Q., 2018), este trabajo que realizo fue mediante el diseño de una metodología basada en estándares internacionales para detectar las vulnerabilidades y así cuantificar los impactos para incrementar los niveles de seguridad informática dentro de la Dirección Nacional de Informática de la Escuela Militar de Ingeniería. Desde la creación de las redes de comunicación como en sus principios fueron el ARPANET y posteriormente el DARPA, que fueron los inicios del Internet. La organización Internacional de estandarización (ISO) estructuro el modelo conocido como OSI considerando los protocolos de transmisión del ya anteriormente modelo de DARPA y dividiéndolo en capa de aplicación, transporte, red, fisica.
  • 20.
    - 5 - Conel inicio de las redes de conexión como el internet, que funciona mediante múltiples protocolos que a su vez nos brindan innumerables ventajas, así también nos permite el control y monitoreo haciendo uso de diferentes herramientas, que permiten saber el estado de la red y el tráfico de datos: flujo de protocolos, estabilidad del enlace, puntos de saturación y consumo externo e interno de la red. Según (Viveros S., 2015) asevera: “La defensa en profundidad permite aislar y/o dividir en capas la infraestructura de red con el fin de proporcionar mayor dificultad de acceso no autorizado a la información a través de los recursos que la transporta y almacena” (p.1). La defensa en profundidad incorpora la necesidad de hacer una división del manejo de toda la red, disgregar los servicios por los cuales transitan tanto de ingreso hacia el centro de datos y los de afuera. Así mismo, (Vicuña P., 2009) afirma: “Es por la existencia de un número de importante de amenazas y riesgos, que la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración de riesgos”. (p.29). El autor. (Chancusig, 2015), Afirma: “…los servicios tecnológicos que la institución presta a toda la comunidad universitaria, no se le tomado con la responsabilidad del caso al crecimiento de la infraestructura tecnológica tanto física como lógica y esto ha derivado en la perdida de información, ataques externos e incluso el robo de la información, todo esto por no contar con un Esquema de seguridad
  • 21.
    - 6 - Perimetraly Control de Incidencias pues la red es vulnerable a los diferentes tipos de ataques informáticos que existen en el exterior de la misma”. (p.2). En el trabajo de Detección de Botnets del autor (Devincenzi, 2009) muestra al IDS (Snort) como un sistema para la detección de intrusos, la misma que funciona para el monitoreo de los eventos que están sucediendo en la red. Entendiendo la importancia de la información almacenada en los centros de datos de cada institución como bien a resguardar, se tiene como medida el reducir las amenazas mediante el uso de niveles de seguridad, esto para que deba atravesar el atacante informático antes de llegar a su objetivo, la medida prevé el uso autorización y posterior a eso teniendo que autenticarse antes de entrar a cada nivel hasta llegar a los datos. En el caso que se aborda, se considera a la información que se encuentra en el centro de datos de las universidades del sistema de universidades públicas de Bolivia, los cuales son vulnerables a las amenazas que llevan a perder la confiabilidad y credibilidad de cada institución en el posible caso de ser afectado. La seguridad por niveles adopta los modelos referenciales OSI y TCP los marcos que delimitan para la interconexión de sistemas de comunicación, es necesario tener en cuenta que toda implementación del nivel de seguridad es acorde al análisis de riesgos y su estudio de costo beneficio al implementar contramedidas. La Seguridad por Niveles es el planteamiento de los conocimientos del funcionamiento de las capas del modelo de Defensa en profundidad como lo muestra (Bortnik, S., 2010) en la Figura 1.1.
  • 22.
    - 7 - Figura1.2 - Defensa en Profundidad (Bortnik, S., 2010). Para la figura 1.2 se aprecia la defensa en profundidad que consta del núcleo donde se encuentra los datos es la parte a la que se tiene que resguardar debido a que es vulnerable, la defensa de aplicación es la seguridad en las aplicaciones donde se procura mantener protección de acceso y ejecución de dicho software, defensa de equipo es una evaluación constante del entorno y crear directivas que limiten las tareas a las que se tienen autorizadas, defensa red interna es la examinación del tráfico permitido en las redes existentes y bloquear el que no es necesario, defensa del perímetro lógico es el más importante para defender los ataques externos este se encarga de evaluar todo el tráfico a permitir y auditar con el fin de detectar intrusos y evitar ataques adicionalmente el acceso remoto a la red interna previo, requisitos de seguridad, defensa del perímetro físico es la parte que limita el acceso y manipulación de los equipos donde se almacenan la información, controles administrativos es la presentación de políticas de seguridad a los usuarios de la información y los que consultan al sistema. La seguridad en profundidad como se muestra en la figura 1.1 es la integración de elementos y sistemas, ya sean electrónicos o mecánicos, que su único propósito es
  • 23.
    - 8 - elde ofrecer protección de perímetro y detectar tentativas de intrusiones en las instalaciones sensibles de ser atacadas por intrusos. La idea de este modelo es estrechamente sencilla, es el proteger a un activo de la organización con más de una medida de seguridad, así que se presenta varias capas donde es posible aplicar diversos controles, con lo que dos capas de seguridad presentaran más seguridad que una sola capa. 1.3 PLANTEAMIENTO DEL PROBLEMA En los últimos años se ha visto, que una organización boliviana está siendo atacada en promedio 1417 veces por semanas en los últimos 6 meses (ODIB, 2020), por lo anterior mencionado muchas universidades se han visto enfrentados a delitos informáticos por personas ajenas o trabajadores de la misma institución, los cuales acceden a la información de forma no autorizada, destruyendo, eliminando, modificando y distribuyéndola de manera inapropiada a personas externas para beneficio personal. La carencia de sistemas de seguridad en instituciones se ha visto vulnerable a pérdidas o manipulación inapropiada, esto debido a que no se cuenta con los controles necesarios y no se tiene personal capacitado para la administración y control de los sistemas que restrinjan y monitoreen las actividades de los usuarios. La restricción que se le hace al usuario, control de sistemas de monitoreo son respuestas que plantean las leyes que defienden a la información, el desconocimiento y la falta de aplicabilidad de normas y estándares internacionales ayudan a la pérdida o fuga de datos, ya que no toda institución le brinda la importancia necesaria al aspecto de seguridad, en su gran mayoría los establecimientos no ponen eficacia a la adquisición de equipos adecuados de comunicación, insumos, capacitación de personal y así mismos a la infraestructura para el adecuado almacenamiento de la información.
  • 24.
    - 9 - Alreferirnos de una infraestructura donde se almacena la información es inevitable preguntar si tienen medidas que garanticen la integridad, confidencialidad y disponibilidad de la misma, se podría interpretar que debe existir un muro que aleja al centro de datos de la parte externa, sin embargo, si usamos la seguridad en profundidad que es simplemente colocar una capa (muro) y después otra antes de llegar a la información, se evidencia que aumenta la dificultad para que accedan a los datos. 1.4 IDENTIFICACIÓN DEL PROBLEMA En el entendido que los datos almacenados en una entidad es importante y que a su vez llegan a ser la información con el cual se genera o realiza algún tipo de trámite o consulta, este mismo llega a ser el activo a resguardar en una institución ya sea pública o privada, se evidencia según el Observatorio de Delitos Informáticos (ODIB, 2020), se ve comprometido a posibles ataques o vulnerabilidades presentes en el centro de almacenamiento de los datos, posteriormente se presenta el árbol de problema que ayudará a clarificar las ideas y comprender el problema de manera global como se muestra en la figura 1.2.
  • 25.
    - 10 - Figura1.3 – Árbol de problema, Elaboración propia Según el árbol de problemas que muestra, como problema principal la inseguridad de la información que a su vez ocasiona la carencia de políticas de seguridad necesarias en una institución en (CTIC, 2017) el cual entrega los lineamientos para la implementación de las políticas de seguridad. Hasta antes de esta publicación no se tenía un lineamiento que se responda a la seguridad de la información en cada entidad. Con la publicación “Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de la Información de las entidades del sector público” (CTIC, 2017) se evidenció la carencia de profesionales aptos para el manejo de incidentes concernientes a la seguridad. Según el estudio realizado por la AGETIC en el año 2014 se evidencia aún más la poca importancia que se tenía en cuanto al resguardo de la información. En la publicación ESTADO TIC (Estado de las Tecnologías de la Información y Comunicación en el Estado Plurinacional de Bolivia) de la AGETIC (Agencia de
  • 26.
    - 11 - GobiernoElectrónico y Tecnologías de la Información y Comunicación), mismo que muestra en la Tabla N.º 1.1, la cantidad de entidades que tienen centro de datos por tipo de entidad, se observa que a nivel nacional solo una Universidad Pública cuenta con un centro de datos, cabe aclarar que para ser reconocido como un data center debe ser certificado con la ANSI/TIA-942-A1 (c3comunicaciones.es, 2014). Tabla 1.1 - Entidades que tienen Centro de datos por tipo de Entidad 2017 Fuente. (AGETIC, 2018) Es evidente que según el estudio realizado por la AGETIC no se tiene una totalidad de universidades públicas que cuenten con un centro de datos adecuado y normado o certificado, por lo que la información contenida en el mismo se pondría a un nivel muy vulnerable a pérdidas o ataques por personas inescrupulosas. Con la necesidad de resguardar los datos se plantea la presente investigación muestra la inseguridad que se encuentra presente en los centros de datos de las 1 Data Center: El Estándar TIA 942 Data Center: El Estándar TIA 942 83173 Concebido como una guía para los diseñadores e instaladores de centros de datos (Data Centers), el estándar TIA942 (2005) proporciona una serie de recomendaciones y directrices (guidelines) para la instalación de sus infraestructuras. El estándar TIA942 probado en 2005 por ANSI-TIA (American National Standards Institute – Telecomunications Industry Association), clasifica a este tipo de centros en varios grupos, llamados TIER, indicando así su nivel de fiabilidad en función del nivel de disponibilidad.
  • 27.
    - 12 - universidadespúblicas en Bolivia, como se observa en los datos presentados, estas estadísticas son preocupantes debido a que solo se cuenta con un solo centro de datos certificado en todas las universidades públicas del Estado Plurinacional de Bolivia, de acuerdo al estudio realizado por la AGETIC. Dentro de las Universidades Públicas se presentan falencias en cuanto a la implementación de un centro de datos acorde a la normativa que establece la legislación boliviana: El inciso d) del Artículo 4 (Principios), parágrafo II, del Decreto Supremo N° 1793 de 13 de noviembre de 2013, que señala que: “Se debe implementar los controles técnicos y administrativos que se requieran para preservar la confidencialidad, integridad, disponibilidad, autenticidad, no repudio y confiabilidad de la información, brindando seguridad a los registros, evitando su falsificación, extravío, utilización y acceso no autorizado o fraudulento”, El Artículo 8 (Plan de contingencia) del Decreto Supremo N° 1793, de 13 de noviembre de 2013, que menciona que: “Las entidades públicas promoverán la seguridad informática para la protección de datos en sus sistemas informáticos, a través de planes de contingencia desarrollados e implementados en cada entidad”, esto es concerniente a Bolivia así también se debe cumplir estándares internacionales, debido a que la información almacenada en cada universidad es de vital importancia ya sea para los universitarios, como para la casa superior de estudios. La falta de importancia por parte de los administradores de las universidades, con respecto a la seguridad y resguardo de la información es preocupante, debido a que no se cuenta con políticas de seguridad ni medidas que resguarden la información de cada entidad, ya que se ven afectados por mala manipulación, fuga de información delicada por personas inescrupulosas que hacen uso de la misma con fines personales. Según la presentación de la tabla 1.1 de centro de datos en universidades públicas se evidencia que solo una universidad tiene un centro de dato reconocido, con este dato se realiza dos cuestionarios de seguridad de la información a las universidades de la ciudad de La Paz y El Alto que son públicas, donde los cuestionarios presentaron los siguientes resultados para la Universidad Mayor de San Andrés
  • 28.
    - 13 - cuentacon 21 respuestas que contemplan medidas apelativas en cuanto a la seguridad de la información, en la Universidad Pública de El Alto contempla 8 respuestas que favorecen a la seguridad de la información. Tabla 1.2 – Relevamiento de cuestionario a Universidades de La Paz CUESTIONARIO UMSA – ITIC UPEA – SIE 27 Preguntas 21 repuestas favorables 8 respuestas favorables Fuente. Elaboración propia Se tiene como universo a las 11 universidades públicas que se encuentran dentro la CEUB (Comité Ejecutivo de la Universidad Boliviana), según la publicación de la (AGETIC, 2018) donde presenta a una sola universidad con un centro de datos reconocido. Tabla 1.3 - Universidades y cantidad de estudiantes por Gestión GESTION UMSFXCH UMSA UMSS UATF UTO UAGRM UAJMS UABJB UNSXX UAP UPEA UCB EMI UNIPOL 2001 22979 59924 35801 10966 14745 31933 11307 5273 4077 902 4541 13436 1288 0 2002 24257 62854 45531 12135 16234 33248 11786 7207 4396 1040 6581 13031 1526 0 2003 25846 65426 49486 12919 16998 37498 12829 7660 4590 943 7673 12403 1585 0 2004 26480 68311 50943 13761 17125 39853 13503 7845 4742 933 8829 11969 1362 0 2005 27089 69481 52801 14594 17806 44116 14291 10538 4754 1012 10533 12857 1564 0 2006 28505 71490 52959 15054 18964 47708 14761 10693 5044 1288 11392 12706 1716 0 2007 31029 71642 55098 14286 19635 54310 15383 11987 6211 1779 12248 12538 2025 0 2008 33695 73109 57166 14971 20016 62334 16782 12226 6015 2077 13800 13104 2241 0 2009 36058 74044 56046 15684 20401 69322 17181 12877 4745 2226 16197 12928 2377 0 2010 39227 74838 56643 16742 21129 70176 17769 13672 4004 2283 18431 13751 2805 0 2011 42102 75503 62270 17294 22048 70755 18193 13658 3657 2374 21875 12697 2805 0 2012 43863 76745 64676 18748 22779 76842 19413 13613 9266 3546 25068 15018 5287 1145 2013 45995 77202 65834 19938 23209 80955 20064 15378 8840 4090 30938 15213 5843 3012 2014 48859 77457 68582 20596 23523 78941 21961 18323 7654 5095 32102 15294 5961 3150 2015 50052 78219 68983 21180 24377 79921 23191 19098 7648 5884 38693 15921 6380 3552 2016 51277 78228 78770 22304 25662 84619 23783 19607 7754 7565 42343 15868 5988 3954 Fuente. (CEUB, 2017) En el presente trabajo se muestra la inseguridad que se encuentra presente en los centros de datos de las universidades públicas en Bolivia, como se observa en los datos presentados, estas estadísticas son preocupantes debido a que solo se
  • 29.
    - 14 - cuentacon un solo centro de datos certificado en todas las universidades públicas del estado plurinacional de Bolivia, de acuerdo al estudio realizado por la AGETIC, una comparación en la figura 1.3 donde se concentra la mayor cantidad de estudiantes de las principales universidades en el eje troncal de Bolivia tenemos los siguientes resultados la UAGRM cuenta con 84.619 estudiantes, UMSS cuenta con 78.770 estudiantes, UMSA cuenta con 78.228 estudiantes y la UPEA cuenta con 42.343 estudiantes con lo expuesto con anterioridad se expuso la figura comparativa a continuación. Figura 1.4 – Universidades de los departamentos La Paz, Cochabamba, Santa Cruz, (CEUB) Hoy en día se han incrementado el uso indebido y manipulación de la información (ODIB, 2020), esta acción como tal, llega a generar pérdidas monetarias a la institución o al usuario perdiendo la credibilidad y la integridad en cuanto a la información. La presencia de amenazas a la información almacenada en una casa superior de estudios, es latente en cada institución, con la presente investigación, se plantea resolver posibles riesgos y amenazas presentes en la seguridad de la información y su almacenamiento de datos y resguardo de los mismos, mediante el desglose de niveles de seguridad que está conformado por el nivel físico este prevé aspectos a la comunicación, ingreso, planos eléctricos, cableado, ventilación etc., enlace que 0 10000 20000 30000 40000 50000 60000 70000 80000 90000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 UMSA UMSS UAGRM UPEA
  • 30.
    - 15 - abarcaotros como la ubicación de rack, análisis de topología de la red, control de direcciones de hardware, configuraciones de switch, análisis de tráfico unicast y multicast, etc., nivel de red es el encargado de las tareas de direccionar, control de contraseñas, configuraciones del router, ayudaran a colocar barreras para el atacante, nivel de transporte este se encarga de establecer y cerrar sesiones cerrar puertos, control de puertos UDP, nivel de aplicación control de servidores web, FTP, proxy, vigilando los flujos de datos y establecimiento de sesiones, control de acceso de remoto, firewall, DNS, estas recomendaciones de protección son por los cuales debe atravesar el atacante informático teniendo que autenticarse antes de entrar a cada nivel hasta llegar a los datos. Además, garantizar la confiabilidad, integridad y disponibilidad de la información de los centros de datos. 1.4.1. Formulación del Problema ¿Cuál es la influencia del desarrollo de un Sistema de Seguridad por Niveles en las redes informáticas Corporativas del Sistema Universitario de Bolivia? 1.5 . OBJETIVOS DE LA INVESTIGACIÓN 1.5.1. Objetivo General Diseñar el sistema de seguridad por Niveles para las redes informáticas corporativas, en Universidades Públicas y los Centros de datos del Sistema de Universidades de Bolivia de acuerdo a la interoperabilidad2 y sujeto a la ley N° 0164, Decreto Supremo N° 1793 y el Decreto supremo 3251. 2 La interoperabilidad es la capacidad de dos o más sistemas o componentes para intercambiar información y usar la información que se ha intercambiado.
  • 31.
    - 16 - 1.5.2.Objetivos Específicos  Analizar los requerimientos para la seguridad por niveles en el sistema universitario de Bolivia en conformidad a la ley 164, D.S. 1793, D.S. 3251 y D.S. 2524.  Definir las especificaciones y lineamientos de recursos, analizando su estado actual de la Universidad, que respondan a la ley 164, D.S. 1793, D.S. 3251 D.S. 2524.  Realizar el diseño de seguridad para las redes informáticas corporativas de la Universidad.  Seleccionar la tecnología que responda al requerimiento del sistema de seguridad informática corporativa y la normativa vigente.  Presentar la implementación de un prototipo que respondan a la seguridad de la red informática corporativa. 1.6 . JUSTIFICACIÓN 1.6.1. Justificación Teórica La presente investigación se realiza con el propósito de brindar seguridad por niveles en los centros de datos de las universidades públicas, este a su vez está formada por las sapiencias desarrolladas por el autor Alejandro Corletti Estrada que publica el libro “Seguridad por Niveles” que a su vez está dividido en dos partes: la Primera parte consta de conceptos y protocolos por nivel físico, enlace, red, transporte y aplicación donde se detalla de manera más específica su función que realiza, conceptos importantes, herramientas a usar, y estándares de comunicación, La Segunda parte trata de las recomendaciones de seguridad por niveles desde el nivel físico, enlace, red, transporte, aplicación este fue publicado con el nombre “Seguridad por Niveles”, su finalidad es de profundizar la seguridad de la información, presentándolo desde el modelo TCP/IP. Y así aportar al conocimiento de la protección perimetral en los servidores con el criterio de “no confiar en nadie”
  • 32.
    - 17 - (Zerotrust) con este criterio se pretende proteger todo acceso a los niveles de información antes de acceder a los datos. 1.6.2. Justificación Legal El Parágrafo I del Artículo 72 de la Ley N° 164 de 28 de julio de 2011, Ley General de Telecomunicaciones, que establece que: “El Estado en todos sus niveles, fomentará el acceso, uso y apropiación social de las tecnologías de información y comunicación, el despliegue y uso de infraestructura, el desarrollo de contenidos y aplicaciones, la protección de las usuarias y usuarios, la seguridad informática y de redes, como mecanismos de democratización de oportunidades para todos los sectores de la sociedad y especialmente para aquellos con menores ingresos y con necesidades especiales”. El inciso d) del Artículo 4 (Principios), parágrafo II, del Decreto Supremo N° 1793 de 13 de noviembre de 2013, que señala que: “Se debe implementar los controles técnicos y administrativos que se requieran para preservar la confidencialidad, integridad, disponibilidad, autenticidad, no repudio y confiabilidad de la información, brindando seguridad a los registros, evitando su falsificación, extravío, utilización y acceso no autorizado o fraudulento”. El Artículo 8 (Plan de contingencia) del Decreto Supremo N° 1793, de 13 de noviembre de 2013, que menciona que: “Las entidades públicas promoverán la seguridad informática para la protección de datos en sus sistemas informáticos, a través de planes de contingencia desarrollados e implementados en cada entidad”. El Decreto Supremo N° 2514 de 9 de septiembre de 2015, en los siguientes artículos, incisos o disposiciones transitorias: Inciso, i) del Artículo 7, que establece entre las funciones de la AGETIC, “Elaborar, proponer, promover, gestionar, articular y actualizar el Plan de Implementación de Gobierno Electrónico y el Plan de Implementación de Software Libre y Estándares Abiertos para las entidades del
  • 33.
    - 18 - sectorpúblico; y otros planes relacionados con el ámbito de gobierno electrónico y seguridad informática” Parágrafo I del Artículo 8, de creación del “Centro de Gestión de Incidentes Informáticos – CGII como parte de la estructura técnico operativa de la AGETIC”. Inciso c) del Parágrafo II del Artículo 8, que menciona como una de las funciones del Centro de Gestión de Incidentes Informáticos – CGII, “Establecer los lineamientos para la elaboración de Planes de Seguridad de Información de las entidades del sector público”. Parágrafo III del Artículo 17, que establece que “Las entidades del sector público deberán desarrollar el Plan Institucional de Seguridad de la Información acorde a los lineamientos establecidos por el CGII”. 1.6.3. Justificación Social La información que se tiene almacenada en los centros de datos de las Universidades Públicas en particular contienen una gran cantidad de información, en consecuencia, es muy importante resguardar la información personal de universitarios, docentes y administrativos. En cuanto a la información de la Universidad sea confiable, la institución mantendrá el prestigio ante la población y confianza con las personas que estudian y trabajan en la misma, así que cada universidad debe velar la integridad, disponibilidad de datos. 1.6.4. Justificación Técnica Para empezar el incremento anual de estudiantes nuevos que ingresan a las diferentes Universidades Públicas y el crecimiento vegetativo de los mismos va en constante aumento como lo refleja la tabla 1.3, con respecto a la necesidad de resguardar mayor cantidad bits en el centro de almacenamiento esto con referencia a los datos que se ingresan al sistema académico de cada casa superior de estudios, en consecuencia de se sugiere la mejora continua de las medidas de
  • 34.
    - 19 - seguridady controles para evitar pérdidas en los datos acumulados en los centros de datos. 1.6.5. Justificación Subjetiva La seguridad de la información es de vital importancia, porque con ello se resguarda la base de datos que sirve para el manejo adecuado de una institución, especialmente cuando se trata de una Universidad Pública, además que su razón de ser es el formar profesionales competentes ante la sociedad, esto se logra con un seguimiento académico de cada uno de los universitarios hasta antes de su titulación; conociendo este aspecto no se puede dejar a la deriva la información de cada uno de los ellos, ya que dicha información se debe manipular de manera confidencial. 1.7 . ALCANCES Con el presente documento se aborda la Seguridad por Niveles (Corletti E., 2011) en Redes Informáticas corporativas que a su vez cuentan con un centro de almacenamiento de datos, este puede o no estar en ambientes que cumplan estándares internacionales de calidad, así mismo según la norma nacional donde se prevé los aspectos relacionados con la seguridad e integridad de información según lo establece la ley 164, D.S. 1793, D.S. 3251, D.S. 2524, como lo establece con mayor claridad el Artículo 8 (Plan de contingencia) del Decreto Supremo N° 1793, de 13 de noviembre de 2013, que menciona que: “Las entidades públicas promoverán la seguridad informática para la protección de datos en sus sistemas informáticos, a través de planes de contingencia desarrollados e implementados en cada entidad”. Para empezar el presente trabajo de investigación se tiene como universo a las universidades públicas y estas a su vez forman parte del Comité Ejecutivo de la Universidad Boliviana (CEUB), que a su vez suman un total de 11 casas de estudio
  • 35.
    - 20 - superiorque están dispersas por el territorio de Bolivia, para seleccionar la muestra debemos empezar por definir la unidad de análisis, que no es otra cosa, sino dónde y con quién se realizará la recolección de los datos, para el universo se observa solo a universidades públicas que son 11 de estas son, la UMSA y la UPEA se encuentran en el departamento de La Paz, la UTO que se encuentra en el departamento de Oruro, la UABJB de Trinidad, la USFX de Sucre, la UMSS de Cochabamba, la UAP de Pando, la UAGRM de Santa Cruz, la UATF y UNXX de Potosí, la UAJMS de Tarija, al observar el universo amplio se debe elegir una muestra del tipo de probabilístico o no probabilístico. Según la proyección del Instituto de estadística de Bolivia INE los departamentos con mayor cantidad de población hasta el año 2020 se tiene en La Paz con 2.926.996, Cochabamba con 2.028.639, Santa Cruz con 3.370.059 habitantes. En cuanto a la muestra es no probabilística, y se realiza a través de procesos donde se elige a un determinado elemento que sea realizable para el modelado del sistema de seguridad informática corporativa, haciendo notar que el departamento de La Paz es seleccionado debido a que es el segundo departamento con más población y también tiene dos universidades donde aglutina a la mayor cantidad de universitarios, de las dos universidades que se encuentran en el departamento de La Paz son la UMSA, UPEA y una de ellas presenta un mayor número de respuestas negativas al cuestionario de seguridad de la información que se realizó a la Universidad Mayor de San Andrés y la Universidad Pública de El Alto esta última es la que no presenta los conocimientos necesarios para responder satisfactoriamente el cuestionario, así mismo esta casa superior es la más joven a comparación de las otras once universidades públicas, que a su vez percibe dinero del TGN, Coparticipación y IDH que son destinados para su funcionamiento, en consecuencia por su particularidad y juventud presenta diferentes conflictos que no siempre son respondidos o resueltos de manera oportuna o coherente y esto presenta riesgo en sus asistentes, infraestructura y bienes materiales por lo que puede perderse información de vital importancia para la misma institución.
  • 36.
    - 21 - Conrespecto a la protección de la información almacenada en el centro de datos de la Universidad Pública de El Alto, es el tema de estudio para el presente trabajo de investigación, el cual tiene como objetivo mejorar las medidas defensivas con la división por niveles de seguridad. De modo que con el análisis de riesgos del Data center se prevé brindar un diseño que responda las vulnerabilidades que se tiene, mediante el diseño del modelado, la implementación de la defensa en profundidad y seguridad por niveles para los centros de procesamiento datos. 1.7.1. Área de Investigación 1.7.2. Seguridad El área de investigación del presente trabajo, es la seguridad informática corporativa que a su vez se relaciona estrechamente con los centros de procesamientos de datos, pero para este caso es la Universidad Pública de El Alto. La seguridad es la ausencia del peligro o riesgo, esto ayuda a brindar un conjunto de medidas preventivas y reactivas de organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información con la finalidad de mantener la confidencialidad, disponibilidad e integridad. Según (Erb, 2008) la seguridad informática se refiere a las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad. 1.7.2.1. Seguridad de la Información La seguridad informática consiste en asegurar los recursos del sistema de información de una organización mediante, el control de acceso a la información contenida en el centro de datos, la modificación solo será posible por las personas que se encuentren acreditadas dentro de los límites de su autorización (Viveros S., 2015).
  • 37.
    - 22 - Parael análisis en la seguridad de la información se debe identificar las vulnerabilidades, ya que estos pasan a ser riesgos potenciales que presentan los centros datos ante sucesos, actividades internas o externas. La gestión de riesgo en la seguridad de la información es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlar incidentes. En esta investigación se pretende mostrar los diferentes riesgos, al no contemplar con una correcta implementación de las políticas (CTIC, 2017), así como lo establecen la Ley General de Telecomunicaciones Tecnologías de Información Nº 164 y los Decretos Supremos 1793 del 13 de noviembre del 203 y el Decreto Supremo 3251 del 12 de julio 2017 de la seguridad en las tecnologías de la información. 1.8 . TEMA ESPECÍFICO Los niveles de seguridad es el estándar más utilizando internacionalmente es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo, estos niveles han sido desarrollados por estándares europeos (ITSEC/ITSEM) y con posterioridad internacionalmente con la (ISO/IEC). 1.9 . NIVEL DE INVESTIGACIÓN El nivel de investigación es aplicado al presente trabajo, ya que requiere realizar tareas por medio de la programación en los diferentes niveles de seguridad, que
  • 38.
    - 23 - mitiguenlos riesgos de pérdidas de datos o mala manipulación de los mismos por la ruptura del servicio con los usuarios. 1.9.1. Alcance Espacial El sistema de seguridad por niveles se realizará basándose en la formulación del modelo, el mismo sugiere los aspectos y el desarrollo para la implementación de los centros de datos en las universidades públicas que formen parte de la CEUB. Para el estudio de caso se consideró como muestra a la Universidad Pública de El Alto, que se encuentra ubicada en la ciudad de El Alto, Zona Villa Esperanza S/N entre la Av. Sucre “A” y “B”. 1.9.2. Alcance Temporal La presente investigación se desarrolló en el segundo semestre de la gestión 2018 y la gestión 2019 concluyendo en el primer trimestre de la gestión 2021. El presente trabajo de investigación tiene como vigencia de máximo dos años y un mínimo de 1 año dependiendo de los siguientes aspectos que se deben considerar:  Crecimiento de los datos y el modo de almacenarlos de forma local o en la nube.  Actualizaciones de versiones en los softwares de control o administración del sistema de seguridad por niveles.  Cambio de equipos o personal asignado en tareas de administración y control y monitoreo del sistema de seguridad por niveles.  Actualización constate del personal encargado en cursos que formen nuevos y mejores conocimientos de una seguridad por niveles.  Uso inadecuado del sistema o negligencias de los usuarios o administradores.
  • 39.
    - 24 - CAPÍTULOSEGUNDO ESTADO DEL ARTE 2 . FUNDAMENTOS TEÓRICOS GENERALES 2.1 . FUNDAMENTOS TEÓRICOS GENERALES Para empezar, se debe hablar de la CEUB que es el organismo de programación, coordinación y ejecución de las Universidades Públicas y Universidades de Convenio, sus principales funciones es representar al sistema nacional de universidades de Bolivia a nivel nacional. Al mismo tiempo se debe hablar del estudio realizado por la AGETIC – ESTADO TIC a los centros de las Universidades Públicas en cuanto al resguardo de la información. Por lo que refiere a la publicación de la AGETIC – ESTADO TIC, nos muestra una cifra muy preocupante de universidades públicas que no cuentan con un adecuado manejo del centro de datos, donde se puedan almacenar de manera adecuada la información. En la actualidad la seguridad es un elemento primordial en los sistemas informáticos según lo establece la PISI3 , preservar la información en su integridad es de vital importancia para las universidades, ya que puede generar pérdidas económicas, credibilidad y de tiempo. En particular tomando en cuenta que el acceso al sistema por un usuario no autorizado podría conllevar a varios percances dentro de la institución por lo contrario los afectados suman con respecto a la cantidad de estudiantes que ingresan a las universidades. Acerca de los datos obtenidos en el texto Estadística UPEA, 2016 muestra un incremento en la población universitaria en los departamentos de La Paz, Cochabamba y Santa Cruz los cuales forman el eje troncal del País y donde existe la mayor cantidad de población con relación a otros departamentos. 3 PISI (Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de la Información de las entidades del sector público) : tiene como objetivo establecer los lineamientos para que las entidades del sector público del Estado Plurinacional de Bolivia puedan elaborar e implementar sus Planes Institucionales de Seguridad de la Información, en concordancia con la normativa vigente.
  • 40.
    - 25 - Enrelación con los distintos ataques a sistemas informáticos, perpetrados a entidades estatales, privadas por parte de los hackers, cracker y lamers que son realizadas con la finalidad de obtener algún beneficio o simplemente al superar los sistemas de seguridad, este tipo de ataques son noticia en las portadas de diarios y periódicos digitales, dado que según los reportes (ODIB, 2020) que nos muestra la cantidad de vulnerabilidades que se encuentran expuestos los sistemas de seguridad. Por ejemplo, la pérdida de información o la mala manipulación de un agente externo ajeno a la entidad son amenazas con las que se cuenta en la actualidad. Al respecto, el autor (Mieres, 2009) en el libro titulado “ATAQUES INFORMÁTICOS Y DEBILIDADES DE SEGURIDAD COMÚNMENTE EXPLOTADOS” describe los distintos ataques y vulnerabilidades que se encuentran presentes en los sistemas de producción y que se convierten en riesgos para posteriormente ser explotados por terceras personas. El autor concluye recomendando que si no conoces las maneras en las que un atacante puede perpetrar un sistema, entonces eres parte del problema y no así la solución. Así el autor de la tesis de la Maestría en Seguridad Informática de la Universidad de Buenos Aires Facultad de Ciencias Económicas Exactas y Naturales e Ingeniería (Devincenzi, 2009) en su trabajo titulado “TÉCNICAS Y HERRAMIENTAS FORENSES PARA LA DETECCIÓN DE BOTNETS” elabora una metodología integral para la detección de botnet en la red, mediante el análisis de tráfico en saliente y entrante a un host haciendo uso de herramientas que coadyuvan a dicho trabajo. Para ello emplea herramientas como ser: Snort que es una herramienta que monitorea el tráfico de la red. En el caso de la publicación titulada “DEFENSA EN PROFUNDIDAD PARA PROTEGER LA INFORMACIÓN DE LA RED CORPORATIVA” realizada por (Viveros S., 2015) donde analiza la importancia de aislar en capas la infraestructura
  • 41.
    - 26 - dered con el fin de proporcionar mayor dificultad de acceso no autorizado a la información, para ello plantea aplicar controles de seguridad para proteger los datos en diferentes capas, esto con la finalidad de que el atacante tenga que superar varias medidas de seguridad antes de llegar a su objetivo. En particular los autores de la Tesis de Especialización titulada “DISEÑO DE UN SISTEMA DE SEGURIDAD PERIMETRAL E INTERNA PARA LA EMPRESA AMERICAS BUSNESS PROCESS SERVICE” (Camacho Contreras & Lopez Rodriguez, 2017), en su trabajo realizado, el diseño que mitigue los riesgos asociados a la infraestructura crítica de la compañía, donde plantea una plataforma de seguridad robusta, escalable, y de alto rendimiento con los últimos estándares de seguridad. En la parte conclusiva de su trabajo sugiere pautas para el correcto diseño de la red que garantice la seguridad e integridad de todos los activos tecnológicos de la compañía, mitigando los riesgos, así también un correcto monitoreo del tráfico y retención de logs. A saber en el libro titulado “SEGURIDAD POR NIVELES” del autor (Corletti E., 2011), se plante la importancia del conocimiento de manera específica y disgregada del modelo TCP/IP su funcionamiento y los diferentes protocolos que hacen uso cada uno de ellos, esto basándose en el nivel físico, red, transporte, acceso y aplicación, al mismo tiempo el libro presenta de manera fácil y esquemática cada uno de los niveles donde muestra las ventajas y desventajas y las medidas a considerar a posibles fallas y posteriores contramedidas para la solución de dichos acontecimientos. Por ejemplo en el libro publicado “CRITERIOS DE EVALUACIÓN DEL SISTEMA DE CÓMPUTO DE DEFENSA, DEL DEPARTAMENTO DE DEFENSA DE ESTADOS UNIDOS” (Latham, 1985) que fue elaborado por el departamento de defensa de Estados Unidos, muestra diferentes formas y criterios que se divide en los niveles de protección mínima que sería la “D” y máxima protección “A”, así
  • 42.
    - 27 - mismoestablece subdivisiones intermedias donde muestra el cómo dar contramedidas a posibles contingencias o riesgos que se presentan. En cuanto al presente trabajo de investigación pretende mejorar los niveles de seguridad en las Universidades Públicas con base a la legislación boliviana y su marco normativo, con lineamientos por niveles de seguridad donde se proporcionará desde el nivel bajo “D” hasta el más alto el nivel “A”, se tomará el modelo TCP/IP que se contempla en el libro de seguridad por niveles. 2.2 . FUNDAMENTOS TEÓRICOS ESPECÍFICOS 2.2.1. Seguridad Informática Según el autor (Gutierrez, 2012) señala que, al momento de buscar los mejores estándares de seguridad de la información, existen varias alrededor de las normas ISO 27000, mismo que reúne los lineamientos de gestión de seguridad de la información: “…la seguridad informática como cualquier medida que implica la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan con llevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema” En otras palabras según el estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995, se define a la seguridad de la información como la preservación de su confidencialidad, su integridad y su disponibilidad, así también la ISO 7498 que fue publicado el 1983 más conocido como el modelo OSI (en inglés Open System Interconnetion) que es un referente para los protocolos de red, define la seguridad informática como “una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización”, así también se puede decir que la seguridad de la información son
  • 43.
    - 28 - lasmedidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican. Los aspectos considerados para mantener la integridad de la información como bien más preciado de la institución, según los anteriores autores ya mencionados se puede realizar mediante la formación de subdivisiones, llamados para una seguridad por niveles y niveles de seguridad, esto mediante el uso adecuado de los conocimientos en los que se manejan ambos términos que son distintos, pero manejan como único fin resguardar la información. 2.3 . SEGURIDAD DE REDES INFORMÁTICAS El término utilizado para la seguridad de redes informáticas lleva una simple idea que es la de proteger la red interna donde se conectan las computadoras, servidores, equipos que contengan información delicada que comprometa a la institución, esto se logra mediante el uso de diversos métodos o considerando diferentes aspectos todos ellos con el fin de resguardar la información como bien más preciado de la institución. Los autores de libros y artículos revistas informativas llegan a disgregar en diferentes aspectos así como lo señala la (Universidad Internacional de Valencia, 2018) Seguridad de hardware, software y red. El tema de estudio del presente trabajo es la seguridad en redes por lo que se realizara un énfasis en los aspectos que conciernen a este, así mismo se considerara otros aspectos que sean de importancia al momento de resguardar la información en la seguridad de redes La seguridad en redes muestra los diferentes tipos de protección que conlleva a este como ser:
  • 44.
    - 29 - Firewalls que optimiza el balance entre seguridad y accesibilidad con lo que llega a separar la red interna y externa.  IDS (Sistemas de Detección de intrusos) estos sistemas hacen referencia a un mecanismo de escucha del tráfico en la red, que a su vez detecta actividades anormales o sospechosas  IPS (Sistemas de prevención de intrusos) estos pueden ser tanto como equipos o software encargados en revisar el tráfico de red con fin de detectar y responder a posibles ataques o modificarlos, el IPS en comparación es proactivo, esto nos refiere que es capaz de responder con iniciativa y capacidad para anticiparse a problemas o necesidades futuras, mediante la buena programación y administración del mismo.  Las redes virtuales como ser las VPN este último va referido a la encapsulación y encriptación de los paquetes de datos a distintos puntos remotos mediante el uso de infraestructuras públicas de transporte, que viajan a la red privada por medio de “tunel”. La seguridad de redes tiene aspectos que adquieren del modelo OSI, esto debido a que responde a diferentes niveles que se comunican entre sí, para dar un servicio al usuario y el equipo. Conservando estos principios se mostrará los aspectos considerados en el libro publicado de seguridad por niveles que nutrirán al desarrollo del presente trabajo. 2.3.1. Seguridad por Niveles Es la presentación de conocimiento detallado de la arquitectura de capas, con los que pretende fundamentar las bases y así llegar hasta el techo, en este entendido se usara el modelo DARPA o TCP/IP para tener una idea principal se presenta la Tabla 2.1 que visualiza los puntos a considerar como señala (Corletti, 2011).
  • 45.
    - 30 - Tabla2.1 - MODELADO DE TCP/IP APLICACIÓN USUARIO Desde aquí hacia arriba mira el usuario TRANSPORTE Es el primer nivel que ve la conexión "de Extremo a Extremo" Desde aquí hacia abajo mira hacia la red RED Rutas ENLACE Nodo inmediatamente adyacente FÍSICO Aspectos mecánicos, físico y eléctricos (u ópticos) Fuente. (Corletti Estrada, Seguridad de Niveles, 2011) Para el desarrollo ordenado de las ideas se plantea describir cada nivel de los ya anteriormente mencionados esto en comparación al modelo OSI como se muestra en la tabla 2.2. Tabla 2.2 - Modelado de los modelos TCP/IP y OSI TCP/IP MODELO OSI Capa de aplicación Capa de aplicación Capa de presentación Capa de sesión Capa de transporte Capa de transporte Capa de internet Capa de red Capa de enlace Capa de enlace de datos Capa física Capa física Fuente. (Viveros S., 2015) 2.3.2. Nivel 1 (Físico) El nivel físico es el medio por el cual se transmite la información, en este nivel emergen las señales eléctricas, ópticas, electromagnéticas, para la comunicación con el siguiente nivel de enlace que lo realiza mediante la recepción de tramas, y las tramas a su vez las convierten en señales eléctricas u ópticas y las envía por el canal de comunicaciones. Define aspectos mecánicos, eléctricos u ópticos y procedimentales. Algunas de las especificaciones más comunes son: RS 232,
  • 46.
    - 31 - V.24/V.28,X.21, X.25, SONET, etc. Entre las Funciones y servicios de este nivel se encuentran:  Activar/desactivar la conexión física.  Transmitir las unidades de datos.  Gestión de la capa física.  Identificación de puntos extremos (Punto a punto y multipunto).  Secuencia-miento de bit (Entregar los bits en el mismo orden que los recibe).  Control de fallos físicos del canal. 2.3.3. Nivel 2 (Enlace) Este nivel comprende la conexión con la intersección inmediata vecina, lo cual en una red punto a punto es sumamente claro, pero en una red LAN, es difícil de interpretar cual es la intersección adyacente. Por esta razón como menciona en la teoría IEEE los separa en 2 subniveles: LLC y MAC (LLC: Logical Link Control, MAC: Medium Access Control), en realidad como una de las características de una LAN es el empleo de un único canal por todos los Hosts, el nodo adyacente son todos los Host. En la Figura 2.3 se presenta una comparación. Tabla 2.3 - Comparación entre la IEEE y Modelo OSI Modelado OSI (Ethernet) IEE(802,x) Enlace (nivel 2) LLC MAC Fuente. (Corletti Estrada, Seguridad por Niveles, 2011) La importancia de este nivel, es el último que encapsula todos los paquetes anteriores, por lo que, si se escucha y se sabe des encapsular se tiene acceso a toda la información que circula en una red. Para este cometido se deberá observar con más detenimiento la composición de la trama o también llamado “frame” que lleva la información respectiva como ser:
  • 47.
    - 32 - El primer campo es el preámbulo que indica el inicio de la trama y tienen el objeto de que el dispositivo que lo recibe detecte una nueva trama y se sincronice.  El delimitador de inicio de trama indica que el frame empieza a partir de él.  Los campos de MAC (o dirección) de destino y origen indican las direcciones físicas del dispositivo al que van dirigidos los datos y del dispositivo origen de los datos, respectivamente.  La etiqueta es un campo opcional que indica la pertenencia a una VLAN o prioridad en IEEE P802.1p.  Ethernetype indica con que protocolo están encapsulados los datos que contiene la Payload, en caso de que se usase un protocolo de capa superior.  La Payload es donde van todos los datos, en el caso correspondiente, cabeceras de otros protocolos de capas superiores (Según Modelo OSI, véase Protocolos en informática) que pudieran formatear a los datos que se tramiten (IP, TCP, etc.). Tiene un mínimo de 64 Bytes (o 42 si es la versión 802.1Q) hasta un máximo de 1518 Bytes. Los mensajes inferiores a 64 bytes se llaman tramas enanas (run frames) e indican mensajes dañados y parcialmente transmitidos.  La secuencia de comprobación es un campo de 4 bytes que contiene un valor de verificación CRC (control de redundancia cíclica). El emisor calcula el CRC de toda la trama, desde el campo destino al campo CRC suponiendo que vale 0. El receptor lo recalcula, si el valor calculado es 0 la trama es válida.  El gap de final de trama son 12 bytes vacíos con el objetivo de espaciado entre tramas, como se muestra en el Cuadro 2.1.
  • 48.
    - 33 - Preámbulo Delimitador deinicio de trama MAC de destino Mac de origen 802.1Q Etiqueta (opcional) Etgrtype (ethernet II) o longitud (IEEE 802.3) Payload Secuencia de Comprobación (32-bit CRC) Gap entre frame 7 Bytes 1Byte 6 Bytes 6 Bytes 4Bytes 2 Bytes De 46 o 42 hasta 1500 Bytes 4 Bytes 12 Bytes 64 - 1522 Bytes 72 - 15300 Bytes 84 - 1542 Bytes Cuadro 2.1 - Estructura de la trama de Ethernet (J.M., 1991) Las herramientas que operan a este nivel son analizadores de protocolos, y existen de varios tipos y marcas. Los que son Hardware diseñado específicamente para esta actividad como el Internet Advisor de Hewlett Packard o el Dominó de Vandell & Goltermann, poseen la gran ventaja de operar naturalmente en modo promiscuo, es decir que dejan pasar hacia el instrumental la totalidad del bit que circulan por el medio de comunicaciones. Los desarrollados como herramientas de Software dependerán del tipo de acceso físico a la red que se posea, pues justamente la mayoría de estos dispositivos asumen tareas de comunicaciones para no sobrecargar con esto a la CPU, por lo tanto, existe cierta información que no pasará al nivel superior. Aquí se desarrollará el análisis de las medidas a auditar en el enlace de datos para continuar estrictamente referido a un planteo de niveles. Básicamente efectúa el control de flujo de la información y sus funciones o servicios del nivel 2 son:  División de la conexión del enlace de datos (Divide un enlace de datos en varias conexiones físicas).  Control de flujo (Regula la velocidad a la cual la capa de enlace trabaja dinámicamente).  Proporciona parámetros de Calidad de Servicio (QoS), por ejemplo: Tiempo medio entre fallas, BER (Bit Error Rate), disponibilidad de servicio, retarde en el tránsito, etc.
  • 49.
    - 34 - Detección de errores (CRC {Control de Redundancia Cíclica} – Checksum).  Corrección de errores (ARQ {Allowed to ReQuest}, FEC {Forward Error Control}), sin eximir a capas superiores de hacerlo.  La IEEE lo subdivide en dos capas MAC (Medium Access Control) y LLC (Logical Link Control), si bien esto no es contemplado por OSI. Algunas de las especificaciones más comunes son: LAP-B {X.25}, LAP-D {ISDN}, ISO 4335 del HDLC, I 122 del Frame Relay, también se puede tener en cuenta protocolos propietarios como ODI (Open Data Interface) y NDIS (Network Drivers Interface Standard). 2.3.4. Nivel (Red) Este nivel es el responsable primario de los (enrutamientos de los paquetes hacia el nivel de transporte) a través de la red. Si se trata de la familia TCP/IP, aquí se encontrará la mayor actividad, por lo tanto, el centro de atención de la auditoría en este nivel, deberá estar puestos en los mensajes de ruta, direcciones y conmutación de paquetes. Es por esta razón que su trabajo acorde al tipo de conexión es muy variable. En una red de conmutación de paquetes puede ser implementado en detalle, en cambio al conmutar circuitos prácticamente no tiene sentido. Las Funciones y servicios del nivel de red son:  Encaminamiento y retransmisión (Define las rutas a seguir).  Conmutación de paquetes.  Multiplexación de conexiones de red.  Establecimiento de circuitos virtuales.  Direccionamiento de red. 2.3.5. Nivel (Transporte) En ese nivel dentro de la pila TCP/IP como se mencionó con anterioridad existirán dos posibilidades, operar en modo orientado a la conexión para lo cual se emplea TCP o sin conexión cuyo protocolo es UDP, es responsable de decidir a qué
  • 50.
    - 35 - protocolole entregara su mensaje es el que se emplee en el nivel superior, para lo cual existe el concepto de puerto que es el SAP (Service Acces Point) entre el nivel de transporte y el de aplicación en este nivel los dos elementos importantes a auditar son el establecimiento de sesiones y los puertos los cuales se pueden determinar con las siguientes actividades. Su tarea fundamental es la conexión de extremo a extremo (end to end), que a su vez permite al usuario elegir entre distintas calidades de servicio. Se definen cinco clases que van desde la cero (sin recuperación y eliminando paquetes dañados) hasta la cuatro (Detección y corrección de errores extendida) las funciones y servicios son:  Correspondencia entre direcciones de transporte y de red.  Supervisión de red.  Facturación de extremo a extremo. Algunos ejemplos de este nivel son: SPX, TCP, X. 224. 2.3.6. Nivel (Aplicación) El nivel de aplicación es la ventana a los procesos de aplicación del ordenador y el usuario. Tiene en cuenta el significado de los datos entre las Funciones y servicios de este nivel destacan.  Servicios de directorio (Transferencia de archivos).  Manejo de correo electrónico.  Terminal virtual.  Procesamiento de transacciones. Son algunos ejemplos de este nivel: X.400, X.500, SMTP, Telnet, FTP.
  • 51.
    - 36 - Comoel presente trabajo trata de niveles de seguridad para una red corporativa, a continuación se presenta de manera metódica los niveles de seguridad que elaboraron en el Departamento de Defensa de Estados Unidos, que realiza las recomendaciones con forme los llamados niveles de seguridad como lo muestra en su trabajo del: (DEPARTMENT OF DEFENSE UU.EE., 1985). 2.3.7. Niveles de Seguridad Los niveles de seguridad se basan en el documento conocido como libro naranja del departamento de defensa de estados unidos, con su publicación (DEPARTMENT OF DEFENSE UU.EE., 1985), DoD 5200.28-STD, "Criterios de evaluación del sistema informático de confianza del Departamento de Defensa" se emite bajo la autoridad de una de acuerdo con la Directiva 5200.28 del Departamento de Defensa, "Requisitos de seguridad para sistemas automáticos de procesamiento de datos" y en apoyo de responsabilidades asignadas por la Directiva DoD 52l5.l, "Centro de Evaluación de Seguridad Informática". Su propósito es proporcionar los criterios técnicos de seguridad de hardware / firmware / software y las metodologías de evaluación técnica asociadas en apoyo de la política general de seguridad del sistema Los niveles de seguridad son cuatro desde el nivel más bajo es el D hasta el nivel más alto que en este caso será el A. para eso se considera las medidas que deben implementarse de acuerdo a la delicadeza de la información. 2.3.8. Nivel D (el sistema entero no es confiable) Este nivel contiene solo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad. Sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y
  • 52.
    - 37 - nohay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. 2.3.9. Nivel C (Protección Discreta) Se describe como protección discreta a los usuarios que se encuentran en el mismo nivel que los datos, los datos se encuentran separados de los usuarios, así como la limitación de acceso de algún tipo. a) Nivel C1: Protección Discrecional Se requiere identificación de usuario que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administración del sistema solo pueden ser realizadas por este "súper usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. b) Clase (C2): Protección de Acceso Controlado Los sistemas de esta clase imponen un control de acceso discrecional más detallado que los sistemas (C1), lo que hace que los usuarios sean individualmente responsables de sus acciones a través de procedimientos de inicio de sesión, auditoría de eventos relevantes para la seguridad y aislamiento de recursos. Los siguientes son requisitos mínimos para los sistemas a los que se les ha asignado una clasificación de clase (C2).
  • 53.
    - 38 - 2.3.10.Nivel B Este nivel se subdivide en sub divisiones los cuales a su vez son necesarios para una mejor disgregación con respecto de los diferentes tipos de niveles que componen este mismo. a) Nivel B1: Seguridad Etiquetada Este subnivel, es el primero de los tres con que cuenta el nivel B este a su vez soporta la seguridad multinivel, como la secreta y ultra secreta es en esta parte que se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.). El usuario que accede a un objetivo debe poseer un permiso expreso para hacerlo y viceversa, es decir que cada usuario tiene sus objetivos asociados, y así también se establecen controles para limitar la propagación del derecho de acceso a los distintos objetivos. b) Nivel B2: Protección Estructurada Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior. Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
  • 54.
    - 39 - c)Nivel B3: Dominios de Seguridad Refuerza a los dominios con la instalación de hardware: por ejemplo, el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura. Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder. 2.3.11. Nivel A: Protección Verificada Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento. a) Clase (A1): Diseño Verificado Los sistemas en la clase (A1) son funcionalmente equivalentes a los de la clase (B3) en el sentido de que no se agregan características arquitectónicas o requisitos de
  • 55.
    - 40 - políticasadicionales. La característica distintiva de los sistemas en esta clase es el análisis derivado. A partir de técnicas de especificación de diseño formal y verificación y la resultante Alto grado de seguridad de la Base de computación confiable está correctamente implementada. Esta garantía es de naturaleza de desarrollo, comenzando con un modelo formal de la política de seguridad y una especificación formal de alto nivel (FTLS) del diseño. Independientemente del lenguaje de especificación particular o del sistema de verificación utilizado, existen cinco criterios importantes para la verificación de diseño de clase (A1). Un modelo formal de la política de seguridad debe estar claramente identificado y documentado, incluida una prueba matemática de que el modelo es coherente con sus axiomas y es suficiente para respaldar la política de seguridad. Se debe producir una especificación formal de nivel superior que incluya definiciones abstractas de las funciones que realiza el Base de computación confiable y de los mecanismos de hardware y / o firmware que se utilizan para admitir dominios de ejecución separados. La especificación formal de nivel superior de la Base de computación confiable debe demostrarse que es consistente con el modelo mediante técnicas formales siempre que sea posible (es decir, donde existan herramientas de verificación) y otras informales. La implementación de la Base de computación confiable (es decir, en hardware, firmware y software) debe demostrarse de manera informal que sea coherente con la especificación formal de nivel superior. Deben mostrarse los elementos de la especificación formal de nivel superior, usando Técnicas informales, que corresponden a los elementos de la Base de computación confiable. La especificación formal de nivel superior debe expresar el mecanismo de protección unificado requerido para satisfacer la política de seguridad, y son los
  • 56.
    - 41 - elementosde este mecanismo de protección los que se asignan a los elementos de la Base de computación confiable. Se deben usar técnicas de análisis formal para identificar y analizar canales encubiertos. Se pueden usar técnicas informales para identificar canales de tiempo encubiertos. La existencia continua de canales ocultos identificados en el sistema debe estar justificada. De acuerdo con el extenso análisis de diseño y desarrollo de la Base de computación confiable requerido de los sistemas en clase (A1), se requiere una administración de configuración más estricta y se establecen procedimientos para distribuir de forma segura el sistema a los sitios. Un administrador de seguridad del sistema es compatible. En la seguridad de la información es necesario un adecuado ambiente donde se resguarde el mismo esto se lo realizaba mediante manuscritos en papiros y luego guardados en jarrones y llevados a cavernas, esto con el fin de preservar las memorias para las nuevas generaciones. En la actualidad la información se lo va almacenando en los discos duros donde se acumula las cartas, hojas de cálculo, documentos, informes en equipos de computación de las empresas o instituciones. La tendencia de trabajar en comunidad para sacar más provecho al momento de compartir la información de unos con otros, lleva a conformar las redes de comunicaciones y así formar un centro donde se almacene la información y también todos puedan acceder a este mediante plataformas o páginas web. Con la generación de mayor información y más usuarios que desean acceder a los mismos se concluye a crear los centros de datos, donde se aglutina la información necesaria para cada usuario y se llega mediante distintos accesos ya sea de manera interna las redes LAN, externas WAN.
  • 57.
    - 42 - 2.3.12.Centros de Datos Un centro de datos o conocido como data center o también llamado “centro de procesamiento de datos” (CPD), en sí como lo conocen es una infraestructura donde contiene una serie de instalación de servidores en red, con la finalidad de almacenar los datos que cuentan con redundancia, recuperación y seguridad que a su permite un adecuado resguardo de la información como lo señala (Rytoft, Claes;, 2013). Las compañías grandes gestionan centros de datos que les permite almacenar datos operativos de su empresa, o bien ofrecer servicios cloud a sus clientes. Hay empresas que cuentan con sus propios servidores y así también cuentan con sus propios centros de procesamiento de datos donde deben cumplir los estándares como es TIA-942 que incluye información sobre los grados de disponibilidad (TIER). Las características principales de un DATA CENTER con TIER son los siguientes: la disponibilidad, redundancia, escalabilidad, enfriamiento y eficiencia. La clasificación de los centros de datos fue idea por el Uptime Institute (UptimeInstitute, 2013) es la institución de mayor prestigio y reconocimiento a nivel mundial en la creación de los estándares y certificaciones TIER para el diseño de Data Center, con la creación de estándares se creó la categorización o también llamada clasificación. 2.3.12.1. Tier El concepto de TIER indica el nivel de fiabilidad de un centro de datos asociados a cuatro niveles de disponibilidad definidos. A mayor número en el TIER, mayor disponibilidad y por lo tanto mayores costos asociados en su construcción, más tiempo para hacerle o mayor cargo por el servicio brindado esto fue plasmado en el estándar ANSI/TIA-942 editado en el año 2005.
  • 58.
    - 43 - 2.3.12.2.Tier I - Centro de Datos Básico Se trata del tipo más básico de centro de datos, sólo pueden garantizar la continuidad del servicio al 99,671%. Esto, aunque parezca una gran cantidad, en realidad es la más baja que existe. En una Data Center de Tier 1 se puede interrumpir el servicio sin previo aviso. No cuentan, además, con sistemas de redundancia, suministro de energía y refrigeración. Puede o no tener suelos elevados, UPS 2.3.12.3. Tier II - Centro de Datos Redundante Su disponibilidad es algo superior a la del anterior, del 99,741%. Disponen de sistemas de redundancia, generadores auxiliares de energía y suelos elevados, una única línea de distribución eléctrica y de refrigeración, entre otras ventajas. Sin embargo, aún pueden presentar interrupciones imprevistas. 2.3.12.4. Tier III - Centro de Datos Concurrentemente Manantenibles El centro de dato del tipo Tier III no se ven afectados por interrupciones no programadas tiene actividades planeadas incluyen; el mantenimiento preventivo, reparación y reemplaza miento de componentes, realización de pruebas en sistemas o subsistemas. Es decir, sólo cuando se van a llevar a cabo acciones de mantenimiento, los servidores afectados de dicho tipo de data center interrumpirán su servicio. Están conectados a diferentes redes eléctricas y cuentan con un sistema de refrigeración avanzado. Su disponibilidad es del 99,98%. 2.3.12.5. Tier IV - Centro de Datos Tolerante a Fallos Son el tipo más avanzado de centro de datos y ofrecen una disponibilidad de 99,995%. Esto significa que sólo se detienen durante 26 minutos a lo largo de todo año. Se trata del nivel más alto de disponibilidad. Cuentan con un alto nivel de
  • 59.
    - 44 - redundancia,sistemas de refrigeración de alta eficiencia. Disponen también de redes de fibra complementaria y sistemas de suministro eléctrico alternativo. 2.3.13. Zero Trust (Cero Confianza) Zero Trust que es su nombre en inglés al modelo de seguridad que divide la seguridad por niveles y que en su traducción en español es “Confianza cero”, fue introducido en 2004 como concepto de diseño de seguridad por el Jericho Forum, un grupo de Jefes de Seguridad de la Información (CISOs) después de ver la forma en que el acceso y la autorización estaban cambiando debido al uso acelerado de la nube y la computación móvil. Este grupo visionario planteó un modelo de seguridad que era adecuado para un mundo donde el perímetro tradicional se estaba disolviendo, cada vez menos pertinentes, los flujos de trabajo se desplazaban a la nube y los parámetros móviles se estaban convirtiendo en la norma para el acceso a las diferentes aplicaciones (ACT-IAC Advancing Government, 2019). Zero trust es una estrategia de seguridad para el usuario que acceden a los datos que residen en cualquier lugar, desde cualquier parte y de cualquier manera y asume la postura de “nunca confiar y verificar siempre” entre sus posturas define:  Requiere autorización continua sin importar la ubicación de la solicitud de origen.  Siempre se considera que la red es hostil.  Amenazas externas e internas existen en la red en todo momento.  La localización de la red no es suficiente para decidir la confianza en una red.  Cada dispositivo, usuario y flujo de red está autenticado y autorizado.  Las políticas deben ser dinámicas y calculadas a partir de tantas fuentes de datos como sea posible. Este se basa en seis pilares y conceptos que ayudan a la micro- segmentación esto basado en el Triángulo de Confianza Cero que a continuación se desmenuzara las
  • 60.
    - 45 - partesmás importantes esto basado en el estudio realizado por el autor (ACT-IAC Advancing Government, 2019). Seguidamente se presentará los pilares de Confianza Cero como son el usuario, los dispositivos, la red, aplicaciones, la autenticación y el análisis, como se muestra en la figura 2.1. Figura 2.1 - Los Pilares de Zero Trust (ACT-IAC,2019) 2.3.14. Los Datos Una comprensión clara de los activos de datos de una organización es crítica para una implementación exitosa de una arquitectura de confianza cero (Zero Trust). Las organizaciones deben clasificar sus activos de datos en función de la importancia de su misión y utilizar esta información para elaborar una estrategia de gestión de datos como parte de su enfoque general de confianza cero. 2.3.15. Pilar #1 - Usuarios La autenticación continua de los usuarios de confianza es primordial para confianza cero. Esto incluye el uso de tecnologías como Identidad, credencial, y Administración de Acceso (ICAM) y autenticación multi-factor y monitoreo continuo
  • 61.
    - 46 - yvalidación de confiabilidad del usuario para gobernar su acceso y privilegios. También son importantes las tecnologías para asegurar y proteger las interacciones de los usuarios, como las soluciones tradicionales de pasarela web. 2.3.16. Pilar #2 - Seguridad de Dispositivos La postura de seguridad cibernética en tiempo real y la confiabilidad de los dispositivos es un atributo fundacional de un enfoque de confianza cero. Algunas soluciones de "sistema de registro" tales como gestores de dispositivos móviles proporcionan datos que pueden ser útiles para evaluaciones de dispositivos- confianza. 2.3.17. Pilar #3 - Red de Seguridad Algunos argumentan que las protecciones perimetrales son cada vez menos importantes para redes, flujos de trabajo, herramientas y operaciones. Esto no se debe a una sola tecnología o caso-uso, sino más bien a la culminación de muchas nuevas tecnologías y servicios que permiten a los usuarios trabajar y comunicarse de nuevas maneras. Zero Trust Networks a veces se describen como "perimeterless", sin embargo, esto es un poco de un nombre erróneo. Zero Trust Networks en realidad intenta mover perímetros desde el borde de la red y segmentar y aislar datos críticos de otros datos. El perímetro sigue siendo una realidad, aunque de maneras mucho más granulares. El enfoque "castillo y foso" tradicional del cortafuego de la infraestructura no es suficiente. El perímetro debe acercarse a los datos en conjunto con la micro-segmentación para fortalecer las protecciones y controles. La seguridad de la red se está expandiendo a medida que las agencias crecen sus redes para la transición parcial o total a las redes definidas por software, redes de área amplia definida por software y tecnologías basadas en Internet.  Es fundamental (a) controlar el acceso privilegiado a la red,
  • 62.
    - 47 - Gestionar los flujos de datos internos y externos,  Impedir el movimiento lateral en la red.  Tener visibilidad para tomar decisiones políticas y de confianza dinámicas sobre el tráfico de redes y datos. La capacidad de segmentar, aislar y controlar la red sigue siendo un punto central de seguridad y esencial para una Red de Confianza Cero. 2.3.18. Pilar #4 - Aplicación y Seguridad de la Carga de Trabajo Asegurar y gestionar adecuadamente la capa de aplicación, así como los contenedores de cálculo y las máquinas virtuales es central para la adopción de confianza cero. Tener la capacidad de identificar y controlar la pila de tecnología facilita decisiones de acceso más granular y precisa. Como era de esperar, la autenticación multi-factor es una parte cada vez más crítica de proporcionar un control de acceso adecuado a las aplicaciones en entornos confianza cero. 2.3.19. Pilar #5 - Orquestación de Seguridad de Automatización Zero trust (confianza cero) es armoniosa y rentable utiliza al máximo las herramientas de respuesta de automatización de seguridad que automatizan las tareas entre los productos a través de flujos de trabajo, permitiendo al mismo tiempo la supervisión y la interacción del usuario final. Los Centros de Operaciones de Seguridad suelen utilizar otras herramientas automatizadas para la información de seguridad y la gestión de eventos y el análisis del comportamiento del usuario y la entidad. La orquestación de seguridad conecta estas herramientas de seguridad y ayuda en la gestión de sistemas de seguridad dispares. Trabajando de manera integrada, estas herramientas pueden reducir enormemente el esfuerzo manual y los tiempos de reacción de eventos y reducir los costos.
  • 63.
    - 48 - 2.3.20.Pilar #6 - Visibilidad y Análisis de Seguridad Analítica No puedes combatir una amenaza que no puedes ver o entender. Confianza cero aprovecha herramientas como gestión de información de seguridad, plataformas avanzadas de análisis de seguridad, análisis de comportamiento del usuario de seguridad, y otros sistemas analíticos para permitir a los expertos en seguridad observar en tiempo real lo que está ocurriendo y orientar las defensas de manera más inteligente. El enfoque en el análisis de datos de eventos ciber-relacionados puede ayudar a desarrollar medidas de seguridad proactivas antes de que ocurra un incidente real. 2.3.21. Software-Defined Perimeter (SDP) Según (Pulse Secure, 2018) las arquitecturas tradicionales de las redes evolucionaron para conectar a los trabajadores de las redes locales con los recursos locales. El aumento de la movilidad de la fuerza de trabajo, nube, BYOD4 , y las amenazas cada vez más creciente expuso la flexibilidad limitada del modelo de seguridad del perímetro, la seguridad y la conectividad. Además, tecnologías como la nube y la virtualización ahora permiten arquitecturas de red más flexibles que responden mejor a las necesidades de negocio y usuario rápidamente cambiantes, mientras que permiten los medios para la seguridad end-to-end adicional antes de la conexión inicial se hace aprovechando las tecnologías de nube y virtualización e integrando la autenticación y autorización directamente en la arquitectura, SDP permite una segmentación efectiva y un control de acceso granular basado en "cero confianza" o "menos privilegiado" modelos de confianza. Esto ofrece un control significativo sobre qué usuarios acceden a recursos particulares, pero sin sintaxis política compleja o uso de línea de comandos. SDP determina un enfoque de "autenticar y verificar primero" antes de conceder acceso directo y protegido a 4 Bring Your Own Device (BYOD) es una tendencia cada vez más generalizada en la que las empresas permiten a los trabajadores llevar sus dispositivos portátiles personales para llevar a cabo tareas del trabajo y conectarse a la red y recursos corporativos.
  • 64.
    - 49 - aplicacionesy recursos acceso que no depende de la arquitectura de red y añade mejoras significativas de seguridad según (Pulse Secure, 2018). Figura 2.2 – Arquitectura del SDP (Pulse Secure, 2018) En cada institución el tratamiento de la información es distinta dependiendo de la confianza pre-establecida o los requisitos de confianza, se pueden crear diferentes tipos y niveles de conexiones seguras según se autorice y/o como se requiera a lo que indican el SDP se puede basar en los siguientes principios.  Autenticación centralizada del usuario.  Comprobaciones de conformidad y autorización de acceso basadas en dispositivos.  Por aplicación Opciones de conectividad.  Soporte para aplicaciones basadas en la nube y el centro de datos.  Escenarios de usuarios internos y externos diversos.
  • 65.
    - 50 - 2.4. MÉTODO O ESTRUCTURA DE ANÁLISIS, CRITERIOS DE VALIDEZ Y CONFIABILIDAD Se define como método según el autor (Cazau, 2006) “…el método como la técnica se refieren a procedimientos para hacer o lograr algo, es decir, son medios orientados hacia un fin.”, así también definiremos antes análisis según la autora (Bembibre, 2009) “Un análisis es el acto de separar las partes de un elemento para estudiar su naturaleza, su función y/o su significado.”, según los autores anteriormente citados realizaremos el desglose de las acciones que se realiza para lograr el objetivo que es la preservación de la información, de entidades como ser las universidades. La definición de la medición usualmente utilizada indica "asignar números, símbolos o valores a las propiedades de objetos o eventos de acuerdo con reglas" según (Stevens, 1946), lo que nos quiere decir que no se cuenta la cantidad de objetos sino sus propiedades de los mismos, según la autora (Rodriguez Garcia, 2011) la medición es el proceso de vincular conceptos abstractos con indicadores empíricos. 2.4.1. Método de Análisis Ante todo, en el marco normativo que se tiene en Bolivia es la legislación la que está establecida por la Constitución Política del Estado, Leyes, Normas, Decretos y las Reglamentaciones de dichos documentos que nos indica que toda implementación deberá ser con el uso de software libre que no privatice los servicios a terceros y el acceso a la información teniendo como pilares la confidencialidad, integridad y la disponibilidad del mismo. Por lo que se refiere a la medición adecuada se hace uso de herramientas con las que se establece la comunicación entre el mundo real y el mundo conceptual, considerando la medición segura cuando el instrumento de recolección de datos en realidad representa a las variables que se tiene en mente. Entendiendo que no toda
  • 66.
    - 51 - medidaes perfecta se busca al medir la estandarización y cuantificación de los datos. La medición deberá cumplir tres requisitos como ser la confiabilidad5 , valides6 y objetividad. Así pues, el presente trabajo presentará a los favorecidos y usuarios que harán uso de un sistema informático seguro y que deberá contar cada miembro de la CEUB, esto para conocer la importancia de la seguridad en la información. El CEUB está conformada por universidades públicas y privadas de convenio que para el presente trabajo solo se considerara a las públicas, ya que son los que acogen a un número mayor de estudiantes. Es decir que para realizar la elección de la universidad que tiene o cumple o se tenga la mayor cantidad de información para así plantear el modelo el diseño que se formulara para que las otras puedan adoptar una mejor seguridad tomando como ejemplo a la UPEA como al modelo, no obstante, este modelo y diseño es una sugerencia que debe evaluar cada Universidad si desea adoptarla. A continuación, en la presente sección separaremos las acciones que se realizaran para la formación del método que se sugiere para la implementación de la seguridad de la información en redes corporativas más propiamente orientadas a las Universidades que conforman el CEUB. La primera acción que se tiene es probar la mejora de las políticas de seguridad como señala los niveles de seguridad que son cuatro desde el nivel más bajo que es el D hasta el nivel más alto que en este caso será el A. La segunda acción será la implementación de la seguridad por niveles que comprende al modelo TCP/IP al cual nos regiremos en las cinco capas que son la 5 La confiabilidad grado en el que un instrumento produce resultados consistentes y coherentes, según (Rodriguez Garcia, 2011) 6 La validez grado en el que un instrumento de verdad mide la variable que se busca medir (grado en el instrumento realmente mide la variable que pretende medir), según (Rodriguez Garcia, 2011)
  • 67.
    - 52 - capafísica, enlace, red, transporte y aplicación para tener un mejor conocimiento de los protocolos que trabajan en los mismos para tener mejor ayuda en el mejoramiento del modelo de seguridad de la información. El tercer aspecto será plantear el modelo final del cual comprenderá la mejora de los dos con el uso de los métodos conocidos como SDP (siglas en ingles “ Software Defined Perimeter”) El Perímetro Definido por Software (SDP) aprovechando el principio de Zero Trust de "nunca confiar, verificar siempre", en otras palabras al permitir el acceso seguro directamente entre el usuario y su dispositivo la aplicación al recurso cerrando el ciclo de consulta, sin importar la infraestructura inferior, pero de manera escalable y de acuerdo con política que plante cada institución. Hay que hacer notar que con los experimentos tendremos respuestas de cada uno de los ensayos que mostraran un cambio sobre nuestra variable dependiente, por lo cual se podrá probar la hipótesis, así mismo se verá en un análisis estadístico de la población universitaria que será beneficiada con una correcta implementación de la seguridad de la información. 2.5 . DISEÑO TEÓRICO DE LA INVESTIGACIÓN La palabra diseño como lo define (Hernandez S., 1997); El término diseño se refiere al plan o estrategia concebida para obtener la información que se desea con el fin de responder al planteamiento del problema. En efecto la información de una entidad es de vital importancia aún más si es una casa superior de estudios esto porque genera aún más información en el tiempo debido a que ingresan por año cifras significativas de estudiantes nuevos, es así que se formula las variables del presente trabajo de investigación que son:  Variable Independiente: El sistema de seguridad por niveles.
  • 68.
    - 53 - Variable Dependiente: Redes informáticas corporativas en los centros de datos. Así mismo la variable independiente es el centro del experimento y es aislada y manipulada por el investigador. La variable dependiente es el resultado medible de esta manipulación, los resultados del diseño experimental. Con respecto al diseño se evaluará los valores presentes del centro de datos que cuenta la institución, esto mediante la división de la seguridad por niveles como establece (Corletti E., 2011), para una mejor determinación y segmentación desde la capa física, enlace, red, transporte y aplicación.
  • 69.
    - 54 - CAPÍTULOTERCERO ESTRATEGIAS METODOLÓGICAS 3 . Estrategias Metodológicas 3.1 ESTRATEGIAS METODOLÓGICAS Para empezar la estrategia planteada y su realización en el presente trabajo de investigación es mediante el paradigma positivista, que a su vez es denominado empírico, analítico y cuantitativo, donde sus características son: En primer lugar, por medio de la hipótesis, es decir, predecir que algo va a suceder y luego comprobar o verificar que así sucedió. En segundo lugar, en el caso del método o modelo de conocimiento científico, es el experimento, el cual se apoya en la estadística, que es una manera de cuantificar, verificar y medir todo, sin contar cada uno de los elementos que componen el todo. En tercer lugar, en la relación a la teoría y práctica predomina la separación, si bien las investigaciones parten de la realidad, sin embargo, sólo contribuyen a la ampliación de conocimientos teóricos. Aspira a la predicción, a la exactitud, al rigor, al control en el estudio de los fenómenos. Además, su propósito es establecer leyes y explicaciones generales por las que se rigen el objeto de estudio. Pretende desarrollar un conocimiento “nomotético”. Considerada la vía hipotético-deductiva como válida para todas las ciencias. Está centrada sobre las semejanzas, entre la investigación y la acción existe un desligamiento, su premisa es que puede haber investigación sin acción inmediata. Previo a la presentación de la hipótesis planteada se presenta los siguientes datos que pueden ayudar a clarificar ideas; así mismo el presente estudio se prevé mostrar los “Resultados Obtenidos de la Encuesta Nacional de Opinión Sobre
  • 70.
    - 55 - Tecnologíasde la Información” realizado por la (AGETIC, 2017) donde se pudo realizar encuestas a los participantes con el fin de recabar información concerniente al porcentaje de población internauta según su nivel de instrucción y su nivel socioeconómico y que son la población que acceden a las tecnologías de la información como se muestra en la figura 3.1. Seguidamente en la gráfica podemos observar el comportamiento de la población en relación con la navegación y la importancia que tiene en su vida cotidiana, el acceso a la información. Figura 3.1 - Población que accede a la información (AGETIC, 2017) Además, se mostrará los resultados con respecto a problemas que presentaron los usuarios con virus en sus equipos de computación, tablets, teléfonos móviles y el otro nos muestra el porcentaje de personas que sufrieron un hackeo a sus cuentas, como se muestra en la figura 3.2. Al mismo tiempo esta relación de los resultados nos muestra la conflictividad en cuanto a la seguridad informática ante usuarios que pueden o no reconocer si sufren
  • 71.
    - 56 - deperdida de sus datos y la importancia de esto o el significado que tiene con respecto a la confidencialidad, integridad y disponibilidad. Figura 3.2- Población que tuvo problemas de virus o hackeo de su cuenta (AGETIC, 2017) A continuación, se muestra la importancia que va cobrando el acceso a las plataformas web de universidades, esto por parte de los usuarios, esta relación es la que muestra la importancia de resguardar la información de cada universidad desde la parte externa e interna, más aún si esta aglomera a una gran cantidad de universitarios y el estado financia su funcionamiento como se muestra en la figura 3.3.
  • 72.
    - 57 - Figura3.3 - Población universitaria que utiliza páginas web de universidades (AGETIC, 2017) 3.2 . DEFINICIÓN DE LA HIPÓTESIS La implementación del sistema de seguridad por niveles permitirá mejorar los niveles de seguridad en la red informática corporativa de universidades públicas del Sistema Universitario de Bolivia. 3.3 . VARIABLES A continuación, se mostrará el proceso de identificación de las variables como ser la variable independiente y la dependiente. El título del presente trabajo de investigación es: “SISTEMA DE SEGURIDAD POR NIVELES, PARA LAS REDES INFORMÁTICAS CORPORATIVAS EN LOS CENTROS DE DATOS DEL SISTEMA DE UNIVERSIDADES DE BOLIVIA”. En otras palabras, se conoce que por teoría la variable independiente es el centro del experimento y es aislada y manipulada por el investigador. La variable dependiente es el resultado medible de esta manipulación, los resultados del diseño experimental.
  • 73.
    - 58 - 3.3.1.Identificación y Análisis de Variables Variable Independiente: El sistema de seguridad por niveles. Variable Dependiente: Redes informáticas corporativas en los centros de datos. 3.4 . CONCEPTUALIZACIÓN DE LAS VARIABLES En la conceptualización de las variables dependiente e independiente se deberá entender el cómo van conectadas una de la otra como señala (Saldaño, 2009) "…entendemos por variable cualquier característica o cualidad de la realidad que es susceptible de asumir diferentes valores, es decir, que puede variar, aunque para un objeto determinado que se considere puede tener un valor fijo". El sistema de seguridad por niveles, es el establecimiento donde la seguridad de la información, es un proceso y por lo cual puede estudiarse e incluso implementarse por niveles, esto quiere decir que se apila uno sobre otro tomando como punto de partida el modelo TCP/IP con sus respectivos niveles que son: Nivel 1 Físico, Nivel 2 enlace, Nivel 3 Red, Nivel 4 Transporte, Nivel 5 Aplicación. Con respecto a las redes informáticas, redes de comunicaciones de datos o redes de computadoras a un número de sistemas informáticos conectados entre sí mediante una serie de dispositivos alámbricos o inalámbricos, gracias a los cuales pueden compartir información en paquetes de datos, transmitidos mediante impulsos eléctricos, ondas electromagnéticas o cualquier otro medio físico. Las redes informáticas no son distintas en su lógica de intercambio de los demás procesos de comunicación conocidos: cuentan con un emisor, un receptor y un mensaje, así como un medio a través del cual transmitirlo y una serie de códigos o protocolos para garantizar su comprensión. Claro que, en este caso, quienes envían y reciben mensajes son sistemas computacionales automatizados.
  • 74.
    - 59 - 3.5. INDICADOR Para dar continuidad es necesario primero referirnos a que es un indicador es la comparación de dos o más tipos de datos que sirve para elaborar una medida cuantitativa o una observación cualitativa, con esta comparación nos dará un valor, una magnitud o criterio que tiene significado para el caso que se analiza. En otras palabras, se tomarán a la tasa de variación de estudiantes que nos indicara el incremento en el tiempo de los estudiantes, el índice de riesgo que nos señala el nivel de seguridad de la institución de estudio y la superficie de ataque este último mostrara es la totalidad de todos los dispositivos y servicios de red que tienen acceso a un objetivo final o una aplicación en la red y por último se tomara el CVSS (Calculadora de Common Vulnerability Scoring System versión 3.0). 3.5.1. Tasa de Variación de Estudiantes Según (X. Diebold, 2008) “quite simply, good forecast help to produce good decisions. regonition and awareness of the decisión make enveriment is the key to effective disign, use and evaluation of forecast model.”, un buen pronóstico ayuda a tomar una buena decisión, reconociendo señales de alarma de la decisión asiendo en un espacio clave el uso y evaluación de un modelo pronosticado. Fórmula del tercer capítulo Ecuación 3.1 - Tasa de variación de estudiantes 𝑉(𝑡) = 𝑡(𝑓)−𝑡(𝑖) 𝑡(𝑖) ∗ 100% (3.1) V(t) = Tasa de variación t(i) = Año inicial de número de estudiantes. t(f) = Año final de número de estudiantes.
  • 75.
    - 60 - Conla Ecuación (3.1) se calcula índice de la tasa de variación, es una medida que coadyuva a identificar la variación en el tiempo si este incremento o ha tenido un decremento del número de estudiantes matriculados de las diferentes universidades que conforman el CEUB. 3.5.2. Índice de riesgo. Ecuación 3.2 - Índice de Riesgo 𝐼(𝑟) = 𝑃∗𝑆 𝐶 (3.2) I(r) = Índice de riesgo. P = Probabilidad de que ocurra. S = Severidad del Incidente. C = Control que se tiene sobre el riesgo. En la fórmula (3.2) observamos el índice de riesgo, este indicador nos muestra los niveles de seguridad aceptables o alarmantes que se calcularan con una escala de 1 a 3, donde 1 es el nivel menor y 3 el máximo. 3.5.3. Superficie de ataque Para la medición de la vulnerabilidad de la red de seguridad se usará los conceptos expresados por el autor (Sorell Slaymaker, 2018) que él expresa que la seguridad de la información compone de una buena gestión de riesgos de la identificación, controles de acceso y registro con la gestión de eventos y análisis asociados, restringir el acceso es uno de los principales objetivos de la seguridad de la red. Seguidamente se tiene los tres pasos en la pirámide informática de los cuales se habla como ser: primero el descubrimiento de lo que hay, segundo identifica y analizar lo que se descubre, por último, escoger el objetivo.
  • 76.
    - 61 - Sise minimiza la superficie de ataque de la red, los hackers encontraran difícil infiltrarse en otros dispositivos, y así detenemos el paso de descubrimiento y no pueden proceder a la identificación de los equipos. La superficie de ataque de red es la totalidad de todos los dispositivos y servicios de red que tienen acceso a un objetivo final o una aplicación en la red. Cuanto más baja la puntuación, más seguro es el objetivo final o la aplicación en la red. Ecuación 3.3 - Superficie Total de Ataque 𝑇𝑜𝑡(𝑆𝑢𝑝𝐴𝑡𝑎𝑞𝑢𝑒) = (𝑁° 𝐷𝑖𝑠𝑝𝑜𝑠𝑖𝑡. 𝑖𝑝 ) ∗ (𝑁° 𝑃𝑢𝑒𝑟𝑡. 𝑇𝐶𝑃|𝑈𝑃 𝑎𝑏𝑖𝑒𝑟. ) ∗ (𝑆𝑒𝑠𝑠𝑖𝑜𝑛 𝑑𝑒 𝐶𝑜𝑛𝑡𝑟. ) ∗ (𝐶𝑖𝑓𝑟𝑎𝑑𝑜 𝑇𝐿𝑆) (3.3) N° de dispositivos con acceso = Número de dispositivos que tienen acceso de red a dicho dispositivo o aplicación. En el WAN, son todos los dispositivos que tienen una dirección IP que puede dirigir a dicho dispositivo. N° de servicios = Número de puertos que están abiertos en dicho dispositivo de comunicación. Direccionalidad = Quién puede iniciar una sesión TCP o UDP (1 = sí, 10 = no) Aplicación Cifrado = Una sesión TLS que valida el certificado para una sesión y proporciona el cifrado AES de 256bit y una autenticación SHA-256, mitigando al hombre en los ataques medios (1 = sí, 10 = no). Grafico 3.1 - Gauging Level of Risk (Sorell Slaymaker, 2018)
  • 77.
    - 62 - 3.6. OPERACIONALIZACIÓN DE VARIABLES Para la presentación de la siguiente tabla se considera los parámetros a estudio como tanto la variable independiente y dependiente que a su vez nos llevaran a un indicador como se muestra en la tabla 3.1.
  • 78.
    - 63 - Tabla3.1 - Operacionalización de Variable independiente VARIABLE INDEPENDIENTE VARIABLE DEFINICIÓN DIMENSIÓN INDICADOR El sistema de seguridad por niveles (Variable Independie nte) Es la seguridad perimetral que segmenta por capas física, enlace, red, transporte y aplicación para la seguridad aplicada a los datos antes que accedan a los mismos. Se fundamenta en el conocimient o detallado de la seguridad que se le brinda a la arquitectura de capas del modelo TCP/IP el cual se aborda de manera independient e, así mismo se tiene como libro de referencia "Seguridad por niveles", (Corletti, 2011). Nivel físico: El nivel físico abarca desde el ingreso del personal a la institución, así mismo la ubicación del centro de almacenamiento de información y sus planos eléctricos o de refrigeración y la puesta a tierra también se considera la confianza en dispositivos, medios seguros por el cual se transmiten datos (bits, cifrado, etc.). Nivel de enlace: Regulación de la velocidad de transmisión, QoS, Control de Redundancia Cíclica, corrección de errores de cabecera, MAC e IP unificado a un equipo, identificación de los canales, ubicación de acceso a racks, planos de identificación del cableado, certificación de los medios norma TIA, documentación y control de cambios, restringir el acceso al centro de datos, mecanismos de backup, planes y medidas contra incendios, análisis de topología de la red, control de direcciones de hardware, auditaría de configuración de switches, análisis de tráfico, análisis de colisiones para evitar DoS, detección de sniffer en la red, monitoreo de puntos de acceso. . Nivel de Internet: Enrutamiento con la segmentación y confianza, conmutación de paquetes, marcado de paquetes, multiplexacion de conexiones de red, uso de Proxy, establecimiento de circuitos virtuales VLAN, dirección de red, control de contraseñas, backup de las configuraciones, lista de control de acceso, logs de eventos, seguridad de consola por consola, detección de ataques. Nivel de transporte: Conexión extremo a extremo VPN, selección de QoS, DNS, monitoreo de los equipos de comunicación con el SNMP, control de establecimientos de y cierres de sesión, cerrar puerto UDP, auditoria de troyanos. Nivel de aplicación: Cifrado de archivos GPG, Firewall de aplicaciones web, telnet, FTP, SSH, sftp, SMTP, IMAP, SNMP, HTTP,HTTPS, TLS Fuente: Elaboración Propia
  • 79.
    - 64 - Tabla3.2 - Operacionalización de Variable dependiente VARIABLE DEPENDIENTE VARIABLE DEFINICIÓN DIMENSIÓN INDICADOR Redes informáticas corporativas en los centros de datos. (Variable dependiente) Son las redes de comunicaciones de datos o redes de computadoras a un número de sistemas informáticos conectados entre sí mediante una serie de dispositivos alámbricos o inalámbricos, gracias a los cuales pueden compartir información en paquetes de datos. La red corporativa es la que permite conectar las locaciones como sedes de la entidad de estudio, asimismo la conexion debe preveer la privacidad, ser fiable y permanencia.. Servidor: Ordenador que pone sus ecursos a disposición a través de una red, en donde se instalan servicios ya sea para el despliegue de aplicaciones o de control mediante el uso de Firewall, IDS etc. Router: Es un enrutador o encaminador, este permite interconectar computadoras que funcionen en una red, asi mismo hace la tarea de control de la red mediante protocolos ya sea mediante la segmentacion o creacion de vlans, vpns, enrutamiento estatico estatico, enrutamiento dinamico, control de ancho de banda y firewalls. Switch: Este dispositivo es conocido como conmutador, este cumple la función de interconectar los equipos informáticos ya sea mediante puertos seguros o vlans. Fuente: Elaboración Propia
  • 80.
    - 65 - 3.7. MATRIZ DE CONSISTENCIA Tabla 3.3 - Matriz de Consistencia PROBLEMA OBJETIVO HIPÓTESIS ¿Cuál es la influencia de la implementación de un sistema de seguridad por niveles en la red informática corporativa del sistema de seguridad del sistema universitario de Bolivia? Diseñar el Sistema de Seguridad por Niveles para las redes corporativas, en los Centros de datos del Sistema de Universidades de Bolivia en cumplimiento con el requerimiento de interoperabilidad y sujeto a la Ley N.º 164, el Decreto N.º 1743 y el Decreto supremo N° 3251. La implementación del sistema de seguridad por niveles permitirá mejorar los niveles de seguridad en la red informática corporativa del Sistema Universitario de Bolivia. OCASIONA OBJETIVOS SECUNDARIOS PERMITIRÁ Perdida de información y así pierde la credibilidad ante la sociedad, generando dudas, y problemas administrativos por desconocer si los datos son fidedignos Analizar los requerimientos para la seguridad por niveles en el sistema universitario de Bolivia en conformidad a la ley 164, D.S. 1793, D.S. 3251 y D.S. 2524. Definir las especificaciones y lineamientos de recursos, analizando su estado actual de la Universidad, que respondan a la ley 164, D.S. 1793, D.S. 3251 D.S. 2524. Realizar el diseño de seguridad para las redes informáticas corporativas de la Universidad. Seleccionar la tecnología que responda al requerimiento del sistema de seguridad informática corporativa y la normativa vigente. Presentar la implementación de un prototipo que respondan a la seguridad de la red informática corporativa. Mejora la seguridad de la información y con eso se mitigará las amenazas y garantizará la continuidad del negocio. Fuente: Elaboración Propia
  • 81.
    - 66 - 3.8. UNIVERSO Y MUESTRA Según el autor (Hernandez Sampieri, 1997) de metodología de la investigación nos indica: “…los conceptos de muestra, población o universo, tamaño de muestra, representatividad de la muestra y procedimiento de selección. También presenta una tipología de muestras: probabilísticas y no probabilísticas. Explica cómo definir los sujetos que van a ser medidos, cómo determinar el tamaño adecuado de muestra y cómo proceder a obtener la muestra dependiendo del tipo de selección elegido” (p,175). La población o universo para el presente estudio está conformado por las 16 Universidades que estén dentro de la CEUB, que hacen uso de la información que se tiene en la institución, así mismo la unidad que se utilizara son las personas que se comprendan dentro de la población que hace uso de la información, los medios por los cuales se transmiten o almacenan todo tipo de dato. 3.8.1. UNIVERSO Universo, representa las 16 Universidades que conforman al sistema de la universidad boliviana, que se encuentran 11 Universidades Autónomas, 4 Universidades de Régimen Especial y 1 Universidad de Régimen Especial en Posgrado, según la información de la CEUB se tiene un total de estudiantes 467.722 que conforman el total hasta la gestión 2016 con lo cual su crecimiento en total es del 65.07% en 12 años, del 2005 al 2016. 3.8.2. MUESTRA El tipo de muestreo empleado para determinación de la muestra es no probabilístico, en ese entendido, la muestra corresponde a la UPEA. Los criterios bajo los que se eligió la UPEA son los siguientes:  Disponibilidad y acceso a la información
  • 82.
    - 67 - Es la Universidad con menor cantidad de años de creación.  Es una universidad que pertenece al régimen de autónoma y percibe los recursos que son de coparticipación e IDH para su funcionamiento.  Es la universidad más joven de las Universidades Públicas.  Es la que presenta una mayor cantidad de respuestas negativas o desfavorables en cuanto al cuestionario realizado a las dos del departamento de La Paz.
  • 83.
    - 68 - CAPÍTULOCUARTO DESARROLLO PRACTICO 4 . ESTADO INICIAL - ACTUAL DEL CENTRO DE DATOS DE LA UNIVERSIDAD PÚBLICA DE EL ALTO 4.1 ESTADO INICIAL – ACTUAL DEL CENTRO DE DATOS DE LA UPEA La Universidad Pública de El Alto está ubicada en el departamento de La Paz ciudad de El Alto en la zona Villa Esperanza, Avenida Juan Pablo Segundo entre las Avenidas Sucre “A” y Sucre “B”, también cabe aclarar que el centro de datos de la UPEA se encuentra alojado en el Edificio Emblemático planta baja. Figura 4.1 - Edificio emblemático Ubicación Av. Juan Pablo Segundo (www.upeaaldia.com) Actualmente el centro de datos se encuentra en funcionamiento y cuenta con acceso a internet. El centro de datos de la UPEA cuenta con un ambiente aislado de los otros donde se puede acceder mediante el uso de una tarjeta que autoriza el Jefe del SIE y así ingresar al centro de datos. La red de la Universidad Pública de El Alto está formada por tres partes que son la RED LAN figura 4.2, RED WIRELESS figura 4.3, CENTRO DE DATOS figura 4.1, como se muestra a continuación:
  • 84.
    - 69 - Figura4.2 - Centro de Datos de la UPEA (Elaboración Propia) El centro de datos está compuesto por una conexión hacia al ISP que tiene el servicio de AXS Bolivia con un ancho de banda de 120 Megabits para la distribución hacia la red interna y externa, con el Router de la marca Mikrotik RB cloud Core 10** que tiene el trabajo de enrutamiento y firewall. Figura 4.3 - Red LAN de la UPEA (Elaboración Propia) La Red LAN esta desglosada por diferentes subredes que se segmentan y una red wifi que es dedicada para la distribución de internet entre los estudiantes y los docentes.
  • 85.
    - 70 - Figura4.4 - Red de Interconexión de la UPEA (Elaboración Propia) En la red de interconexión de la UPEA es la que se encarga a conectar las sedes de Villa Ingenio, Villa Tejada Triangular y la sede de Kallutaca mediante la conexión de radio enlaces y puedan acceder a la información del centro de datos. Figura 4.5 - Diagrama lógico de la UPEA (Elaboración Propia) Para este fin de analizar el diagrama lógico como se muestra en la figura 4.4 de la red y la conformación del centro de datos desde el punto de vista y evaluación con el cumplimiento de la legislación boliviana y de seguridad por niveles que plantea el modelo TCP/IP que está conformado por:
  • 86.
    - 71 - Figura4.6 - Seguridad de la Red Corporativa de la Seguridad Física (Elaboración Propia) En el Figura 4.5 muestra la seguridad de la red corporativa y así se toma nota y evalúa que tiene como únicos factores presentes son una ubicación adecuada y un único acceso por un credencial que se prestan entre los que trabajan en el SIE quienes administra el centro de datos y el desarrollo de las aplicaciones, pero sus medidas de seguridad para acceder son bastante defectuosas debido a que no presenta un control o monitoreo del centro de datos y no contar la con documentación de los planos que son necesarios para hacer un mantenimiento posibles fallas. Figura 4.7 - Seguridad en la Capa de Enlace (Elaboración Propia)
  • 87.
    - 72 - Enla figura 4.6 se muestra la capa de enlace se tiene como los elementos que evalúan esta capa es la información y su correcto análisis de tráfico y de los equipos de conexión hacia los diferentes dispositivos. Figura 4.8 - Seguridad de la capa de red (Elaboración Propia) En la figura 4.7 de la seguridad de red se tiene como únicos puntos que se tienen en funcionamiento como se un backup siempre que el encargado del centro de datos vea conveniente, el uso de un firewall que no se sabe si cumple los parámetros de correctos en la aplicación de reglas y la adecuada distribución de los recursos. Figura 4.9 - Seguridad de la capa de transporte (Elaboración Propia) En el Figura 4.8 nos muestra la seguridad en un nivel más bajo ya que no se cuenta con sistemas operativos en los usuarios finales con software libre y solo se cuentan con software pirata que abre un agujero muy grande en el tema de seguridad y trasgrediendo el uso de software libre en entidades públicas.
  • 88.
    - 73 - Figura4.10 - Seguridad en la capa de aplicación (Elaboración Propia) En el Figura 4.9 se tiene a la última capa de del modelo de seguridad por niveles que presenta a la aplicación que a su vez está conformado por los componentes que interactúan con el usuario, desde el servidor de correo electrónico y el servidor web, al revisar la evaluación de los componentes que esta sujetos en la presente capa se tiene que no cuentan con ningún tipo de control que norme el sistema que brinda el tema de aplicaciones orientadas a los diferentes servicios. En la normativa legal que rige en el estado plurinacional de Bolivia se tiene como acciones el promover la implementación del gobierno electrónico que tiene como tarea la implementación de software libre, el desarrollo de software con el uso de protocolos y estándares libres. A continuación, se muestra de la tabla de resultado de la UPEA.
  • 89.
    - 74 - Tabla4.1 - Tabla de Implementación de gobierno electrónico en la UPEA LEGISLACIÓN BOLIVIANA APLICADA EN LA UNIVERSIDAD PÚBLICA DE EL ALTO FÍSICA ENLACE RED TRANSPORTE APLICACIÓN Decreto supremo 1793 Articuló 2 Aplicabilidad para toda entidad pública o privada que tenga actividad que presten servicio con la certificación digital y firma digital I) Desarrollo de contenidos y aplicaciones, se puede transferir la información por medios electrónicos sin examinarlos ni modificarlo salvo autorización del propietario NO NO NO NO SI II) Software libre, establece que el usuario ejercite las libertades como ser: ejecutar el software para cualquier propósito sin restricción, estudiar el funcionamiento del software y modificarlo para que cumpla un determinado propósito esto mediante el acceso del código fuente NO NO NO NO SI Seguridad informática establece los procedimientos y herramientas que se enfocan a la protección de la infraestructura computacional, preservando la integridad, disponibilidad y confidencialidad NO NO NO NO NO Articulo 5 contenido y aplicación en desarrollo de plataformas virtuales de aprendizajes en niveles educativos, salud y atención y servicio a la población Promueve el derecho a la privacidad y fortalecer la seguridad informática y así mismo la protección de los datos, con los planes de contingencia desarrollados e implementados en cada entidad NO NO NO NO NO Articulo 17 Implementación de gobierno electrónico para promover la transparencia en la gestión publica NO NO NO NO NO Articulo 18 Lineamiento de plan de implementación de gobierno electrónico, como el derecho a acceder, participar y relacionarse de manera transparente NO NO NO NO NO Articulo 21 Lineamiento de software libre plantea el desarrolla de software libre y estándares abiertos en las plataformas informáticas, y promueve el mecanismo de cooperación internacional NO NO NO NO NO Articulo 22 Repositorio estatal de software libre donde se tiene como obligación de registrar los sistemas y aplicación libres usadas o desarrolladas de manera directa o atravesó de terceros NO NO NO NO NO Articulo 26 Certificado digital es el acreditar la identidad del titular de la firma vincular un documento o mensaje y correo electrónico. NO NO NO NO NO
  • 90.
    - 75 - Articulo27 Certificado digital deben cumplir con la emisión por una autoridad NO NO NO NO NO Articulo 56 Protección de datos personales con el fin de resguardar la información el sector público como el privado y garantizando la seguridad de los datos. NO NO NO NO NO Decreto supremo 3251 Articulo 5 La Implementación de gobierno electrónico y los planes institucionales implementación de software libre y estándares abiertos como priorizado y financiado por cada entidad NO NO NO NO NO Articulo 6 La MAE tiene la obligación de designar a los responsables del gobierno electrónico NO NO NO NO NO Articulo 4 Interoperabilidad se determina por obligatoriedad por las entidades públicas para compartir información con la interoperabilidad NO NO NO NO NO Fuente. Elaboración Propia 4.2 .RIESGOSDEL CENTRODEDATOSDELAUNIVERSIDAD PÚBLICADEEL ALTO Para la presentación de la información recolectada, se expone los datos como el riesgo presente en los activos con la información de todos los estudiantes y los respectivos datos de la institución. Es así que se procederá a desmenuzar con la tabla 4.1 de riesgos existentes en el mismo centro de datos de la UPEA. Seguidamente se procede a relevar la información de donde se colecta e indaga que la Universidad Pública de El Alto no cuenta con políticas de seguridad. Así también en la clasificación se base en los criterios de seguridad por niveles que son clasificadas por la capa física, enlace red, transporte, aplicación y el sistema eléctrico con el sistema de aire acondicionado como se muestra a continuación como se muestra en la tabla 4.2.
  • 91.
    - 76 - Tabla4.2 – Riesgos del centro de datos para la Universidad Pública de El Alto RIESGO PROBABILIDAD (AMENAZA) (P)(1-3) SEVERIDAD (GRADO DE PERDIDAS ESPERADA) CONTROL (C ) (1-3) ÍNDICE DE RIESGO (P*S)/C NIVELES DE SEGURIDAD (NO) TIENE/ (NO) CUMPLE SISTEMA ELÉCTRICO *Sist. de Conexión a tierra por falta de mantenimiento 3 3 1 9 * Planos del sist. Eléctrico. *Generador con redundancia. 3 3 1 9 *Planta redundante en caso falta de alimentación eléctrica 2 3 1 6 *Combustible para 72 horas en caso de un evento prolongado de los grupos generadores 3 3 1 9 SEGURIDAD DE LA CAPA FÍSICA *Certificado de Cableado y estructurado en Telecomunicaciones 3 3 1 9 *Decretos supremos 3251 *Decretos supremos 1739 3 3 1 9 *Diseño de red con estándares internacionales ni la certificación TIER 3 3 1 9 *Planos de las trayectorias del cableado 3 3 1 9 *Planos de ubicación de Racks y Gabinetes y una buena distribución. 3 3 1 9 *Plan de inspección periódica de los equipos de comunicación. 3 3 1 9 *Auditoria de los equipos y registro de entrada y salida. 3 3 1 9 *Monitoreo y conocimietos de los equipos con acceso AP´s, switch, hubs. 3 3 1 9 *Control del acceso al centro de datos. 3 3 1 9
  • 92.
    - 77 - RIESGO PROBABILIDAD (AMENAZA) (P)(1-3) SEVERIDAD (GRADODE PERDIDAS ESPERADA) CONTROL (C ) (1-3) ÍNDICE DE RIESGO (P*S)/C NIVELES DE SEGURIDAD (NO) TIENE/ (NO) CUMPLE SEGURIDAD DE LA CAPA ENLACE *Control de los dispositivos que se conectan arbitrariamente por los usuarios. 3 3 1 9 *Historial de equipos confiables con el registro de sus direcciones físicas 3 3 1 9 *Análisis del tráfico de la red. 3 3 1 9 *Historial de configuraciones de los equipos como el Switch, hubs. 3 3 1 9 *Análisis de sniffer o protocolos. *Control de colisiones. 3 3 1 9 SEGURIDAD DE LA CAPA DE RED *Con almacenaje de la información ni análisis de los archivos logs, cuando existe sucesos. 3 3 1 9 * Tabla con valores específicos de las direcciones IP, (ARP) 3 3 1 9 *Clasificaciones de los protocolos de enrutamiento y uso adecuado 3 3 1 9 *Seguridad en la conexión acceso a modo consola. 3 3 1 9 *Configuraciones hechas según los routers (necesarias o suficientes). 3 3 1 9 *Historial de las configuraciones anteriores y actuales en los routers 3 3 1 9 *Control de los password de los routers. 3 3 1 9 SEGURIDAD DE LA CAPA DE TRANSPORTE *Cerrados todos los puertos que no son necesarios UDP. 3 3 1 9 *Filtrado dinámico de paquetes. 3 3 1 9 *Control de los encabezados y corroboración de paquetes legítimos en la red 3 3 1 9 *Software privativo en los equipos de los usuarios finales 3 3 1 9 *Prácticas de uso en las reglas de firewall. 3 3 1 9
  • 93.
    - 78 - RIESGOPROBABILIDAD (AMENAZA) (P)(1-3) SEVERIDAD (GRADO DE PERDIDAS ESPERADA) CONTROL (C ) (1-3) ÍNDICE DE RIESGO (P*S)/C NIVELES DE SEGURIDAD (NO) TIENE/ (NO) CUMPLE SEGURIDAD DE LA CAPA DE APLICACIÓN *Plan de resguardo de la DMZ 3 3 1 9 *Control de las conexiones remotas a equipos o servidores 3 3 1 9 *Seguimiento de la red o filtrado de accesos. 3 3 1 9 *Alertas en caso de ataques. 3 3 1 9 *Protección de ataques a los correos institucionales y al servidor. 3 3 1 9 *Control adecuado al acceso del servidor FTP 3 3 1 9 *Auditorías a las aplicaciones, antes de la puesta en funcionamiento 3 3 1 9 *Conocimiento del nro de puertos que están abiertos del servidor DNS. 3 3 1 9 *Monitoreo de solicitudes extrañas por servidor Proxy 3 3 1 9 SISTEMA DE AIRE CONDICIONADO *Sistema de aire acondicionado. *Diagrama de la instalación del aire acondicionado. 3 3 1 9 *Pasillos calientes, alturas de pisos plata fones. 3 3 1 9 TOTAL DE RIESGO 366 Fuente. Elaboración Propia Como se observó previamente en la tabla (4.2) se observa que la muestra el nivel de riesgo con un total de 366 como el nivel presente en el centro de datos, que a su vez se vuelve en el grado de perdida esperada debido a la ocurrencia de un suceso particular y como una función de la amenaza y la vulnerabilidad. Con lo anterior mencionado no se cumpliría la integridad de la información, la confiabilidad y aún más la disponibilidad de la información que es vital para los estudiantes, docentes y administrativos de la universidad.
  • 94.
    - 79 - 4.2.1.Superficie de ataque del Centro de Datos de la UPEA Para la presentación de la superficie de ataque se hace uso de la fórmula 3.3 que nos muestra el nivel de exposición hacia los ataques de la red corporativa con este cálculo se pretende asumir los riesgos que se tiene la información almacenada en el centro de datos de la Universidad Pública de El Alto. Tabla 4.3 - Servicios Web alojados en el Centro de datos de la UPEA N ° SERVICIOS WEB I P 186.121.2 06.248 186.121.206.239 186.121.206.239 186.121.206. 239 186.121.206.2 40 186.121.206.253 186.121.206.237 1 www.up ea.bo www.arquitectura. upea.edu.bo www.vicerrectora do.upea.bo www.rrnnii. upea.bo www.siacop. upea.bo www.inscripciones.sist emas.upea.bo www.idiomas.u pea.edu.bo 2 21/tcp open ftp 21/tcp open ftp 21/tcp open ftp 21/tcp open ftp 80/tcp open http 80/tcp open http 21/tcp open ftp 3 80/tcp open http 80/tcp open http 80/tcp open http 80/tcp open http 443/tcp open https 2000/tcp open callbook 80/tcp open http 4 443/tcp open https 111/tcp open rpcbind 111/tcp open rpcbind 111/tcp open rpcbind - 8291/tcp open unknown - 5 5989/tcp open unknown 3306/tcp open mysql 3306/tcp open mysql 3306/tcp open mysql - - - 6 - 7070/tcp open realserver 7070/tcp open realserver 7070/tcp open realserver - - - Fuente. Elaboración Propia Entendiendo que no todos los estudiantes se conectan en el mismo horario o día del total de estudiantes que cuenta la Universidad Pública de El Alto supondremos que alrededor 500 estudiantes se conectan simultáneamente, a los puertos abiertos en total son 30 y no existe control, no se cuenta con el control de secciones y tampoco existe cifrado. 𝑇𝑜𝑡(𝑆𝑢𝑝𝐴𝑡𝑎𝑞𝑢𝑒) = (500 ) ∗ (30) ∗ (10) ∗ (10) (4.1) 𝑇𝑜𝑡(𝑆𝑢𝑝𝐴𝑡𝑎𝑞𝑢𝑒) = 1500000 (4.2)
  • 95.
    - 80 - Conla formula (4.1) se observa la que la superficie de ataque es 1.500.000, esto supera por mucho siendo el límite máximo 1000 según (Sorell Slaymaker, 2018) para la superficie de ataque lo cual nos muestra que tan vulnerable es para futuros ataques. No se contempla que la cantidad de estudiantes es superior a 42 000 estudiantes hasta la gestión 2016. 4.3 PRESENTACIÓN DEL DISEÑO PARA LA SEGURIDAD CORPORATIVA Para el diseño de la red corporativa se busca primeramente hacer un diseño que será divida para un mejor entendimiento y se seguirá los siguientes puntos:  Modularidad: Los diseños de las redes que soporten el crecimiento y cambios mediante bloques constructivos.  Elasticidad: Los diseños de las redes de campo tienen que tener diseños de alta disponibilidad y su tiempo de funcionamiento debe ser de 100%.  Flexibilidad: Los cambios en los negocios es una garantía para cualquier empresa de ahí que se requiere una rápida adaptabilidad. Para la presentación del modelo se busca unificar los criterios ya usados por la seguridad por niveles y niveles de seguridad, para el modelado se hará el uso del SDP (Software Define Perimetre) este modelo es aplicado por que lleva dentro sus principios el Zero/Trust (Confianza cero) que está basado en los datos los usuarios, dispositivos, la red, aplicaciones, automatización y análisis, en la figura 2.2 se observa el diseño planteado donde nos muestra el modelado. Para el modelado del sistema y/o funcionar es necesario hacer un diagrama de flujo que muestre de forma ordenada la idea como se observar en la figura 4.10 tenemos el diagrama de flujo donde iniciamos con la contextualización de a dónde va dirigido el diseño, mediante la función del primer bucle mientras que (while) exista
  • 96.
    - 81 - solicitudesde información es el que lo conoceremos más adelante como SDP Gateway, que nos muestra si existe la solicitud de un proceso y así conectarse con la base de datos o aplicación, especifica que se encuentra en el centro de datos. Antes de ingresar a la información se muestra dos condicionales que va a procesar la solicitud y comprobar su autenticidad, autenticación y seguimiento de que acciones realiza el usuario. Por Si ingresa a la red corporativa y al servidor NAS y así ingresar al condicional y preguntar si cumple con la autenticación modular de aplicación y por esa manera conectarse la base de datos al cabo de terminar las acciones necesarias se conectarán al bucle de mientras que (while) que actúa como el “SDP controler” y controla y sigue todo el proceso desde que se inicializa hasta su culminación. Antes de presentar el diseño es necesario presentar el diagrama de flujos con el cual se hará entender el cómo debe funciona el diseño que está compuesto por 4 bloques seguidamente se presenta el diagrama de flujo la figura 4.10.
  • 97.
    - 82 - Figura4.11 - Diagrama de Flujo del diseño de seguridad corporativa (Elaboración propia) La presentación de la propuesta de diseño de para la seguridad por niveles para la Universidad Pública de El Alto, se planteará en niveles que a su vez estarán compuestas por la SEGURIDAD POR NIVELES (Corletti, 2011). 4.3.1. Nivel de Acceso La capa de acceso representa el perímetro de la red, por donde entra o sale el tráfico de la red de campus. Tradicionalmente, la función principal de los switches de capa de acceso es proporcionar acceso de red al usuario. Los switches de capa de acceso se conectan a los switches de capa de distribución, que implementan tecnologías de base de red como el routing, la calidad de servicio y la seguridad.
  • 98.
    - 83 - Parasatisfacer las demandas de las aplicaciones de red y de los usuarios finales, las plataformas de switching de última generación ahora proporcionan servicios más convergentes, integrados e inteligentes a diversos tipos de terminales en el perímetro de la red. La incorporación de inteligencia en los switches de capa de acceso permite que las aplicaciones funcionen de manera más eficaz y segura en la red con el uso del vlans o vpn y segmentación.
  • 99.
    - 84 - Tabla4.4 - Seguridad en el nivel de acceso NIVEL DE ACCESO SEGURIDAD POR NIVELES PILARES DE ZERO TRUST (CONFIANZA CERO) NORMATIVA MEDIDAS DE CONTINGENCIA SEGURIDAD FÍSICA Inspección de MAC y su ubicación de equipos conectados a la red. SEGURIDAD DE REDES La autenticación continua de los usuarios Ley 164, art. 54 derechos de los usuarios. Políticas de seguridad, registro de equipos y planos de ubicación. Análisis de tablas ARP Tecnología de Identificación, credencial y administración de acceso "autenticación multifactorial" DS. 1783 art.2 inciso i) Transferir la información por medios electrónicos, con fines educativos - vi) seguridad de la información Switch Caracterización de los canales, con la identificación clara marcada y numerada DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Switch Politicas de seguridad Identificación de tramos críticos donde se transmita información delicada o importante Monitoreo continuo y validación de confiabilidad de usuario DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados vlan, switch Planos de instalaciones eléctricas, cableado de comunicación Políticas de seguridad políticas de seguridad Control de cambios, toda modificación debe ser documentada. Tecnología que asegure la interacción de usuarios Políticas de seguridad Políticas de seguridad Guardar la información de documentos archivos DS. 1783 art. 56 protección de datos personales políticas de seguridad Control de módems y Hubs y repetidores que se conecten a la red SEGURID AD DE DISPOSI TIVOS Confiabilidad de los dispositivos switch, routers Políticas de seguridad
  • 100.
    - 85 - Análisisde la topología de red Sistemas de registros de los dispositivos DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Diseño de la red Estrategias de crecimiento lógico de la red Evaluación para cada solicitud de acceso DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Planificación de crecimiento de red, políticas de seguridad Asignación de prioridades y reservas para el acceso a la red Comprobación: estado, versión de software , estado de protección, habilitación de cifrado DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados switch, QoS Puntos de acceso de red debe existir Razón de su existencia DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados switch, aps, hubs, repetidores Fuente. Elaboración Propia 4.3.2. Nivel de Distribución En el nivel de distribución el mismo añade los armarios de alambrado utilizando conmutadores para segmentar y aislar la red de los problemas del entorno. De modo semejante este nivel adiciona las conexiones WAN a los bordes del campo y ofrece un nivel de seguridad con los corta fuegos. A menudo este nivel actúa como frontera de control y de servicios entre el nivel de acceso y el principal con la implementación de proxy que trabaja de modo transparente o sistemas de control de intrusos para presentación de aspectos que se consideran en este se presenta en la tabla 4.5.
  • 101.
    - 86 - Lacapa de distribución interactúa entre la capa de acceso y la capa de núcleo para proporcionar muchas funciones importantes, incluidas las siguientes:  Agregar redes de armario de cableado a gran escala.  Agregar dominios de difusión de capa 2 y límites de routing de capa 3.  Proporcionar funciones inteligentes de switching, de routing y de política de acceso a la red para acceder al resto de la red.  Proporcionar una alta disponibilidad al usuario final mediante los switches de capa de distribución redundantes, y rutas de igual costo al núcleo.  Proporcionar servicios diferenciados a distintas clases de aplicaciones de servicio en el perímetro de la red.
  • 102.
    - 87 - Tabla4.5 - Seguridad de distribución NIVEL DE DISTRIBUCIÓN SEGURIDAD POR NIVELES PILARES DE ZERO TRUST (CONFIANZA CERO) NORMATIVA DISPOSITIVO HARDWARE /SOFTWARE SEGURIDAD DE ENLACE Control de direcciones de hardware en el MAC SEGURIDAD DE RED Perímetros desde el borde de la red y segmentar y aislar datos críticos de otros datos DS. 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados switch, routers auditorio de configuraciones brige o switch Controlar los accesos privilegiados a la red DS. 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados control de paquetes Análisis de trafico Controlar los flujos de los datos de internos y externos DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados IDS, firewall Análisis de colisiones Tomar decisiones de políticas de confianza dinámicas sobre el tráfico de redes y datos DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados router Detección de sniffer y analizadores de protocolos tener la capacidad de segmentar y aislar y controlar la red DS. 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados IDS Evaluación de los puntos de acceso impedir el robo de credenciales DS. 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados router, hotspot Evaluación de dispositivos blutooth y otros que se conecten a la red DS. 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Políticas de seguridad Fuente. Elaboración Propia 4.3.3. NIVEL PRINCIPAL DE CONEXIÓN A INTERNET (CORE O BACKBONE) La capa de núcleo es la conexión principal hacia el internet conocido también como backbone donde se tiene la red conectada hacia los demás medios de comunicación, esta a su vez conecta varias capas de la red del campus que forma
  • 103.
    - 88 - lared corporativa de a modelar. La capa de núcleo funciona como agregado para el resto de los bloques del modelo y une con el resto de la red. El propósito principal de la capa de núcleo es proporcionar el aislamiento de fallas y la conectividad de backbone de alta velocidad. Un diseño de red de campus de tres niveles para organizaciones donde las capas de acceso, de distribución y de núcleo están separadas. Para armar un diseño de disposición de cables físicos simplificado, escalable, rentable y eficaz, se recomienda armar una topología de red física en estrella extendida desde una ubicación central en un edificio hacia el resto de los edificios en el mismo campus. En algunos casos, debido a la falta de restricciones físicas o de escalabilidad de la red, no es necesario mantener las capas de distribución y de núcleo separadas. En las ubicaciones de campus más pequeñas donde hay menos usuarios que acceden a la red, o en los sitios de campus que constan de un único edificio, puede no ser necesario que las capas de núcleo y de distribución estén separadas como se muestra en la tabla 4.6.
  • 104.
    - 89 - Tabla4.6 - Seguridad de nivel de conexión a internet NIVEL DE CONEXIÓN PRINCIPAL ASÍ EL INTERNET SEGURIDAD POR NIVELES PILARES DE ZERO TRUST (CONFIANZA CERO) NORMATIVA MEDIDAS DE CONTINGENCIA SEGURIDAD DE RED Control de contraseñas en los Routers SEGURIDAD DE RED Control de acceso privilegiado Ley 164, art. 54 derechos de los Usuarios Políticas de seguridad Configuraron innecesarias del Routers Políticas de confianza dinámica de las redes y datos DS. 1783 art.2 inciso i)transferir la información por medios electrónicos, con fines educativos - vi) seguridad de la información. Router, políticas de seguridad Realizar el resguardo de las configuraciones del Router Gestionar flujos de datos de entrada y salida DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados FIREWALL, IDS Empleo de protocolos de ruteo es crítico pues la mayor flexibilidad con el enrutamiento dinámico (RIP, IGRP, EIGRP, OSPF) Detección de virus en la red DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados ROUTER, FIREWALL,IDS Listas de control de acceso mediante el control y uso de firewall Segmentar la red y aislar datos críticos de otros datos DS. 3251 Art. 5 implementación de gobierno electrónico ROUTER, FIREWALL,IDS Permitir generar alarmas necesarias con los Archivos Logs SEGURIDAD DE CARGA DE TRABAJO El uso de datos contenidos en máquinas virtuales DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Servidor SDP control Seguridad en el acceso por consola que necesita el usuario experto puede acceder al equipo y cambiar el password Autenticación muti-factor, control de acceso adecuado a las aplicaciones de confianza cero DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados router, políticas de seguridad Planeamiento de mejores rutas al momento de enviar y recibir paquetes ICMP ANÁLISIS DE LA SEGURIDAD Aprovechamiento de herramientas como gestionar la información. DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Router
  • 105.
    - 90 - Solicitudy respuesta de eco (ping) ICMP Análisis De La Seguridad DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados FIREWALL, IDS Obtener respuesta que niega de forma rápido y obtener "respuesta de destino no alcanzable" Análisis del comportamiento del usuario de seguridad en tiempo real DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados servidor SDP control Realizar la verificación de las tablas ARP, para evitar ataques ARP Orientar defensas de manera más inteligente con el análisis de datos de manera más proactiva antes que ocurra un incidente DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Router Realizar verificación de direcciones IP, tanto estático, dinámico y su buen sub-neteo de la red DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados router seguridad en la capa de transporte Controlar y verificar los establecimientos de sección y los puertos DS. 1783 art.2 inciso i)transferir la información por medios electrónicos, con fines educativos - vi) seguridad de la información Firewall Filtrado dinámico de paquetes y Cierre de los puertos que no se utilicen mediante el Firewall DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Firewall Controlar y verificar los encabezados de puerto de origen y puerto de destino DS. 1783 art.2 inciso i)transferir la información por medios electrónicos, con fines educativos - vi) seguridad de la información IDS Control de virus (troyanos y conexiones a la inversa DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Antivirus
  • 106.
    - 91 - seguridad de aplicación Especificarlos accesos de grupos de usuarios con sus permisos correspondiente, controlar los archivos LOG´s DS. 1783 art.2 inciso vi) seguridad de la información Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados servidor SDP control Control de Accesos remotos y seguimiento, verificación DS. 1783 art. 56 protección de datos personales servidor SDP control Usos de buenas prácticas del firewall con el seguimiento, filtrar acceso no autorizados, alertar en caso de ataques o comportamiento extraño DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Firewall Revisar espacios de los discos rígidos dedicar grandes áreas de discos al almacenamiento de mensajes, y separar esta área del resto del sistema DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados firewall aplicación web Revisar puertos FTP 20 y21 con filtraciones al pasaje entrante o saliente de los bit SYN y ACK DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados Firewall Revisar la configuración y especial control de tráfico TCO puerto 53 DNS DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados WAF control de tráfico de servidores de correo electrónico de spam DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados WAF Control del servidor de almacenamiento de archivos, no permitir todo tipo de archivos que infecten al equipo o la red, que contenga información del creación. DS 1793 Art. 56 e) la organización debe garantizar la seguridad a perdidas y alteraciones o tratamientos no autorizados IDS, WAF Control de aplicaciones desarrolladas por terceros DS. 1793 art. 22 repositorio estatal de software libre registro de aplicaciones WAF Fuente. Elaboración propia
  • 107.
    - 92 - Seguidamentepara el diseño corporativo se deberá contar con el esquema que cuente en su funcionamiento el uso de seguridad de niveles con los que se pretende disminuir el nivel del riesgo, a continuación, se presenta la Figura 4.12 donde se modela el diseño de la red corporativa para la Universidad Pública de El Alto. Figura 4.12 – Diseño de la Red Corporativa para la UPEA (Elaboración Propia) Así mismo para mejor estudio se desglosará los cuatro bloques como ser Universidad de la CEUB, Borde la Universidad, Borde del proveedor y sede de la universidad, por las que está compuesto el modelo de la seguridad de una red corporativa que a continuación se desmenuza.
  • 108.
    - 93 - 4.3.4.Universidad de la CEUB (UPEA) 4.3.4.1. Centro de Datos El centro de datos es el ambiente donde se disponen los componentes que almacenan la información, comunicación con la entidad por esta razón se tiene como bien a resguardar con mayor importancia tanto en la parte de alimentación eléctrica y buena refrigeración más aun un control estricto al acceso del personal contemplando la importancia de certificación del TIER III. Este aspecto se le considera como la parte física que son los discos duros o solidos donde se almacena la información, que a su vez se comunica con el enrutador o firewall y es monitoreada por el SDP controler que a su vez monitorea y controla el SDP Gateway, SDP cliente para tener la implementación correcta de confianza Cero. 4.3.4.2. Firewall´s Un firewall puede ser hardware o software dependiente a cada requiriendo de cada entidad o su capacidad adquisitiva, pero para en esta parte está arreglada por el Firewall de aplicación de web, el sistema de detección de intrusos. WAF (firewall de aplicaciones web) este elemento tiene la tarea de monitorear de manera más específicas a todas a las aplicaciones web que tenga la entidad para disminuir las vulnerabilidades existentes. IDS (sistema de detección de intrusos) es el encargado de monitorear el tráfico y comportamiento de los usuarios dentro la red interna y que tipo de actividad realizan en el tiempo que mantienen la conexión con el centro de datos o entre la misma red interna.
  • 109.
    - 94 - 4.3.4.3.Núcleo de la entidad Está compuesto por los equipos de comunicación como ser los swichts que son los que interconectan los equipos de computación, routers los encargados de direccionar los datos y los puntos de acceso que son los que brindan la interconexión con los dispositivos móviles hacia el internet o a la misma entidad de ser necesario. 4.3.4.4. Distribución de edificio En la distribución es la encargada de la segmentación de las diferentes áreas mediante la separación de la red y de los ambientes de trabajo y así mismo delegando las tareas y funciones y marcando la parte física y lógica que permitían la comunicación para así tener mejor control de todos los elementos de la entidad. 4.3.5. Borde de la universidad Así mismo el borde de la universidad es un conjunto de servidores que trabajan como espejos de los servidores originales que se encuentran en el centro de datos y donde solo guardan información de forma volátil y no así a la información que puede comprometer a la institución. 4.3.5.1. SDP Controller El “SDP CONTROLER” que en la traducción es software definido para perímetro que es útil para el controlador las diferentes conexiones y las actividades que se realizan entre los usuarios finales y las aplicaciones en la plataforma web, a su vez es útil debido a que forma parte del plano de control y este a su vez se encarga de monitorear tanto al cliente SDP, SDP Gateway.
  • 110.
    - 95 - 4.3.5.2.SDP Gateway (borde de controlador) El SDP Gateway actúa con el “plano de datos” transmitiendo el tráfico de red a los recursos especificados por el SDP controler, sirve como punto de terminación de acceso para la mutua seguridad de la capa de transporte desde el cliente SDP y el punto final punto visible o invisible para los recursos de la aplicación, es el punto de aplicación de políticas de trayectoria de datos. 4.3.5.3. SDP cliente El “SDP CLIENTE” es el usuario que tiene una la opción de trabajar desde otro lugar que no sean los ambientes de la entidad ya sea desde su casa o diferente lugar donde se conecte con su equipo que está debidamente identificado, autenticado, autorizado y monitoreado y seguimiento por SDP CONTROLER de todas las actividades que realiza. 4.3.5.4. Cloud Cloud son tecnologías que habilita al usuario el consumo de servicios pagando solo por lo que se consume, de forma escalable, elástica, flexible y por medio de un portal de auto aprovisionamiento. Escalabilidad y Elasticidad se refiere a la capacidad de hacer crecer o decrecer las características físicas y Flexibilidad a la capacidad de ajustar y desplegar rápidamente soluciones a las necesidades particulares de la organización. Las tecnologías Cloud ofrece al usuario diversos formatos, comúnmente llamado modelos de servicios entre los cuales se encuentran: IaaS, PaaS, SaaS ISP 1, ISP2. 4.3.6. Centro de Datos Sucursal Con la gestación de datos en gran cantidad por el funcionamiento puede existir o no esto entendiendo que no todas las sedes pueden requerir un centro de datos.
  • 111.
    - 96 - 4.3.6.1.Tele Operador El Tele operador es la persona que tiene acceso a plataformas donde se ingresa a los servicios de páginas web y a la base de datos de la institución y así realizar consultas o modificar datos de tener la autorización, también esto se lo realiza de forma remota desde la sede hacia la central, esto con el objetivo de realizar consultas o insertar datos de ser necesario debido a que toda la información se centralizan en el centro de datos de la Universidad y de esta manera es autorizado y autenticado por el SDP CONTROLER. Seguidamente se mostrará el diagrama lógico en la figura 4.12 del diseño que estará separada por la parte que se le mostro anteriormente en la figura 4.11. Figura 4.13 - Diseño lógico de la red corporativa (Elaboración Propia) 4.4 . DEMOSTRACIÓN DE LA HIPÓTESIS En la demostración de la hipótesis se tiene como fin el resguardo de la información debido a esto se contempla la necesidad de hacer mejoras continuas, con el diseño de la red corporativa se reduce el índice de riesgo debido a que el SPD entre uno
  • 112.
    - 97 - desus principales estados es el control del flujo de la información y así como el uso del mismo como se lo muestra en la tabla 4.7. En la tabla 4.7 se muestra los niveles de riesgos donde se muestra los riesgos con la ayuda de la seguridad por niveles que contempla la seguridad física, red, enlace, transporte y aplicación. Se añade la probabilidad de la amenaza, severidad con el grado de perdidas, el nivel de control que se tiene sobre el nivel de seguridad y así lograr un índice de riesgo que como máximo nivel es tres por cada seguridad. Tabla 4.7 - Índice de riesgos con el diseño de la Red Corporativa RIESGO PROBABILIDAD SEVERIDAD CONTROL ÍNDICE DE RIESGO (C) (P*S)/C (AMENAZA) (GRADO DE PERDIDAS ESPERADA) (1-3) (P) (S) (1-3) (1-3) SISTEMA ELÉCTRICO Sistema de Conexión a tierra Si operable por falta de mantenimiento 1 3 3 1 Sistema Eléctrico Si cuenta con los planos y Si tiene el generador con redundancia. 3 3 3 3 Si cuenta Planta redundante en caso falta de alimentación eléctrica 1 3 3 1 Si cuenta con combustible para 72 horas en caso de un evento prolongado para utilización de los grupos generadores 1 3 3 1 SEGURIDAD DE LA CAPA FÍSICA Si se encuentra certificado el Cableado y estructurado de Telecomunicaciones 1 3 3 1 Si se cumple con los decretos supremos 3251 1739 1 1 3 0,33333333 Si se tiene diseño de la red con estándares internacionales ni cumplimiento de la certificación TIER 1 3 3 1
  • 113.
    - 98 - Sicuenta con planos de las trayectorias del cableado 1 3 1 3 Si se cuenta con planos de ubicación de Racks y Gabinetes y su buena distribución 2 3 3 2 Si cuenta con plan de inspección periódica de los equipos de comunicación 1 3 3 1 Si cuenta con auditoria de los equipos y registro de entrada y salida. 2 3 3 2 Si se tiene conocimiento y monitoreo de equipos de acceso AP´s, switch, hubs. 1 3 3 1 Si se tiene control sobre acceso al centro de datos, acceso con préstamo de credencial para ingreso. 1 3 3 1 SEGURIDAD DE LA CAPA ENLACE Si se tiene control de los dispositivos que se conectan arbitrariamente por los usuarios 2 3 3 2 Si existe historial de equipos confiables con el registro de sus direcciones físicas 2 3 2 3 Si existe análisis del tráfico de la red. 2 3 3 2 Si se tiene Historial de las configuración de los equipos como se Switch, hubs. 2 3 3 2 Si se tiene análisis de sniffer o protocolos, ni control de colisiones. 2 3 3 2 SEGURIDAD DE LA CAPA DE RED Si se guarda y analiza los archivos logs, cuando existe sucesos 2 3 3 2 Si cuenta con una Tabla con valores específicos de las direcciones IP, (ARP) 1 3 3 1
  • 114.
    - 99 - Sise tiene la clasificaciones de los protocolos de enrutamiento y uso adecuado 2 3 3 2 Si se tiene seguridad en la conexión acceso a modo consola 1 3 3 1 Si se conoce si las configuraciones hechas en los routers son necesarias o suficientes 3 3 3 3 Si se tiene guardada las configuraciones anteriores y actuales en los routers 2 3 3 2 Si se tiene control de los password de los routers. 2 3 3 2 SEGURIDAD DE LA CAPA DE TRANSPORTE Si se tienen cerrados todos los puertos que Si son necesarios UDP, 2 3 3 2 Si existe filtrado dinámico de paquetes 2 3 3 2 Si se tiene control de los encabezados y corroboración de paquetes legítimos en la red 3 3 3 3 Se cuenta con Software privativo en los equipos de los usuarios finales 3 3 3 3 Si se tiene buenas prácticas de uso de reglas de firewall 2 3 3 2 SEGURIDAD DE LA CAPA DE APLICACIÓN Si se cuenta con un plan de resguardo de la DMZ 2 3 3 2 Si se tiene control de las conexiones remotas a equipos o servidores 2 3 3 2 Si se tiene seguimiento de la red o filtrado de accesos 2 3 3 2 Si se tiene alertas en caso de ataques 2 3 3 2 Si se tiene protección de ataques a los correos institucionales y al servidor como tal 2 3 3 2
  • 115.
    - 100 - Sise controla adecuadamente si acceden al servidor FTP 2 3 3 2 Si se audita las aplicaciones antes de la puesta en funcionamiento 2 3 3 2 Si se sabe que puertos están abiertos del servidor DNS 1 3 3 1 Si se monitorea solicitudes extrañas por servidor Proxy (Si se tiene) 2 3 3 2 SISTEMA DE AIRE A CONDICIONADO Sistema de aire acondicionado, diagrama de la instalación del aire acondicionado 1 3 3 1 Pasillos calientes, alturas de pisos plata fones 1 3 3 1 TOTAL DE RIESGO 73,3333333 Fuente. Elaboración Propia En la tabla 4.3 entrega un índice de riesgo inferior 73.33 a la inicial de 366 con lo que nos da una clara muestra que se redujo el índice de riesgo. Por lo tanto, queda demostrado que el nivel de riesgo a reducido y la seguridad en la red corporativa ha mejorado.
  • 116.
    - 101 - CAPÍTULOQUINTO PRESENTACIÓN DE RESULTADOS 5 . ANÁLISIS Y PRESENTACIÓN DEL DISEÑO DE ALTO NIVEL 5.1 ANÁLISIS Y PRESENTACIÓN DEL DISEÑO Una vez presentada el diseño en el capítulo cuarto se tiene como fin el llevar a cabo el prototipo que a su vez responda el diseño que cumplirá con los criterios de confianza cero y la legislación boliviana que norma el uso adecuado de las tecnologías con la implementación de software libre y así lograr la interoperabilidad de entre entidades públicas y privadas como se muestra en la figura 5.1. Figura 5.1 - Diseño Lógico de la Red Corporativa (Elaboración Propia) 5.2 . PRESENTACIÓN DEL MODELO PRÁCTICO Seguidamente para la presentación de la parte práctica y la implementación se lo realiza en un entorno virtualizado y controlado donde se observará los diferentes servicios que componen un entorno de seguridad que responda al diseño anteriormente mencionado.
  • 117.
    - 102 - Paraesto se compondrá de la siguiente manera; el centro de datos donde estarán implementados los servicios como ser:  Apache, es el servidor de página WEB.  Postgresql, es la base de datos que utilizan los diferentes servicios.  Postfix, es el servidor de correo electrónico corporativo. En el núcleo donde se transfiere del centro de datos a la red constara con los siguientes servicios:  Bind9, es el servidor de DNS de la red corporativa.  Ssh; es el protocolo de administración remota que sirve para controlar o modificar los servidores.  Snmp; es un protocolo de administración que facilita el intercambio de información entre los dispositivos conectados a la red (router, switches, máquinas de los usuarios, servidores).  Squid; es un servidor proxy para la web con cache.  Kerberos; es un protocolo de autenticación de redes internas o externas.  Gpg; es una herramienta de cifrado y firmas digitales.  Iptables; es el firewall que viene de forma nativa en las distribuciones de Linux.  Openvpn; es una herramienta de conectividad basada en SSL que permite conectividad punto a punto.  Snort; este es un sistema de detección de intrusos en la red.  Mod_security; este es el firewall de aplicación a la web.  Zabbix: este se encarga del monitoreo constante de los equipos y su comunicación, estado.  Bacula: sistema de backups para la red de servidores. Se mostrará a continuación el esquema lógico de la red con los servicios anteriormente mencionados, donde se observa que está compuesto por dos servidores que tienen alojado los servicios que se mencionaron con anterioridad, estos dos servidores cumplen, el primero su función es resguardar la información, monitorear los accesos, aplicar tablas de filtrado a nivel de paquetes y denegar
  • 118.
    - 103 - accesosde ser necesarios, el segundo servidor tiene la función principal de entregar los servicios tanto como ser consultas a la web o direccionar los correos electrónicos, todo con el fin de brindar los servicios a los usuarios como se muestra en la figura 5.2 Figura 5.2 - Modelo práctico de la configuración (Elaboración Propia) 5.2.1. Servicios instalados en el servidor (debían-DNS1) En la figura 5.2 se tiene los siguientes servicios en las máquinas virtuales como se detalla donde se muestra la cantidad de servicios y puerto usan y su respectiva función y que medida de seguridad que se implementa para robustecer el grado de complejidad para atacantes o intrusos que deseen acceder a los mismos, como ser la tabla 5.1 a continuación.
  • 119.
    - 104 - Tabla5.1 - Servicios que se encuentran instalados en el srv-FWR NOMBRE PUERTO PROTOCOLO FUNCIÓN MEDIDA DE SEGURIDAD NIVEL DE TRABAJO bind9 (DNS) 53 TCP/UDP La función es de resolver los nombres a una dirección IP Cambiar los permisos de bind9 para que , se aumenta el nivel de cifrado en el archivo de la llave TCP/UDP= TRANSPORTE Ssh (Secure Shell) 22 TCP Es un protocolo de administración remota Cifrado de información y autenticación SSH= APLICACIÓN Snmp (simple Network management los protocol) 161 TCP/UDP Establecer una buena administración en los equipos de comunicación en la red Se debe cambiar el nombre de la comunidad para que otros usuarios no puedan acceder al servicio. UDP= TRANSPORTE TCP/IP= APLICACIÓN Squid (Proxy) 3128 TCP Es un servicio que cachea la el contenido de las paginas weby trabaja con los siguientes protocolos hhtp, ftp, tls, ssl https El control utilizado es mediante listas de acceso o denegación de servicios APLICACIÓN Kerberos 750:88 TCP/UDP es el tercero de confianza denominado por tener un centro de distribuciones de claves “KDC” Para que tenga funcionamiento antes debe estar en funcionamiento un DNS APLICACIÓN Gpg (Gnu Privacy Guard) ------- ------- Cifrar y firmar digitalmente los archivos Cifrar y firmar digitalmente de los archivos a copiar APLICACIÓN Iptables ------- TCP/IP, UDP, ICMP Su tarea es el realizar el filtrado de paquetes Es la primera defensa ante un posible escenario de un ataque hacia nuestra red, haciendo uso de reglas RED Snort ------- TCP, UDP, ICMP, IP,DNS, FTP,SNMP Es un sistemas dirigido a la detección de intrusos (IDS) Este sistema de control que cuenta con un lenguaje de creación de reglas en el que se puede definir los patrones para monitorizar el sistema RED Mod_Security (WAF) ------ HTTP, HTTPS Es un firewall de aplicaciones web Este se encarga de proteger de posibles ataques realizados al servidor web APLICACIÓN
  • 120.
    - 105 - NOMBREPUERTO PROTOCOLO FUNCIÓN MEDIDA DE SEGURIDAD NIVEL DE TRABAJO Bacula 9101 9102 TCP/IP UDP Copia de seguridad Solución empresarial de copias de seguridad (Backups) orientado a recuperar archivos e información critica APLICACIÓN Zabbix 10050 10051 TCP/IP, UDP Monitorear parámetros de una red Es un software que cumple la función de monitorear a los servidores o dispositivos conectados a la red APLICACIÓN Fuente. Elaboración Propia 5.2.1.1. Bind9 (DNS) El servicio de bind9 es el que cumple la función de DNS donde es el primero en ser objeto de consultas mal intencionadas (transferencia de zonas) con el fin de conseguir información de la infraestructura debido a que en su configuración guarda las direcciones internas del servidor web, correo electrónico y el dominio al que pertenece. En la ilustración 5.3 se muestra la llave con la que viene por defecto al momento de instalar el bind9 que es baja como se muestra en la figura 5.3 se tiene en un principio la información sin al realizar la trasferencia de zona en texto plano por lo cual el atacante logra el objetivo que es conseguir la información más delicada. Figura 5.3 - Llave de rndc.key (Sin seguridad), (Elaboración Propia) En la figura 5.4 se puede conseguir una nueva firma que es de 512 bits de longitud y aumentado así la seguridad al aumentar el nivel de cifrado y lograr mitigar en primera instancia consultas mal intencionadas al servidor DNS.
  • 121.
    - 106 - Figura5.4 - Llave de rndc.key (Llave cifrada), (Elaboración Propia) Se cambia el usuario dueño del archivo rndc.key, siendo que este archivo es donde se guarda la llave para el nivel de cifrado esto con el fin de que puedan otros usuarios cambiar o modificar como se muestra en la figura 5.5. Figura 5.5 - Cambio de dueño del archivo rndc.key (Elaboración Propia) 5.2.1.2. Ssh El servicio de ssh es el encargado de crear la credencial para que puedan acceder de forma remota los usuarios a quienes tendrán la responsabilidad de no permitir el acceso libre de cualquier persona ajena a la institución. En la parte de seguridad se puede designar al usuario que acceda y desde que IP accederá de al servidor de forma remota como se muestra en la figura 5.6. Figura 5.6 - Configuración de que equipos pueden acceder por SSH, (Elaboración Propia) En la siguiente conexión se muestra cómo se puede designar desde que IP y por lo que debe ingresar siendo que solo esa IP y el usuario asociado a esta puede tener acceso al mismo, una máquina tiene acceso con el usuario Javier y con IP amigo dentro de la lista de autorización como lo muestra la figura 5.7, con esta seguridad
  • 122.
    - 107 - noes suficiente, ya que otra persona que tenga conocimiento puede suplantar al usuario y la IP. Figura 5.7 - Acceso de cliente por SSH, (Elaboración Propia) La seguridad que se tiene es una sola medida el que se asocie la IP y al usuario, conociendo que la información de este tipo se puede burlar y debido a que haciendo un estudio o conociendo algunas de estas operaciones se podría pensar que el atacante puede hacer una suplantación de la dirección IP y usar el usuario asociado a este, es así que se realiza la creación de las llaves pública y privada que ayuda a crear un nivel más de seguridad. La seguridad es mejorada con la creación de las llaves pública y privada con las que se identificara como equipo autorizado para autenticarse como se muestra en la ilustración 5.8, se observa la creación con el rsa.
  • 123.
    - 108 - Figura5.8 - Creación de las llaves pública, privadas (Elaboración Propia) Seguidamente se copiará la llave pública al equipo autorizado como lo muestra en la siguiente figura 5.9 Figura 5.9 - Copia de la Llave Pública, (Elaboración Propia) Y así tenemos la comunicación de forma que se comprueba y autoriza si el usuario es verdadero como se muestra en la ilustración 5.10. Al mismo tiempo que accede a una máquina se puede acceder a las aplicaciones que se tiene instaladas en el servidor, pero esto se puede negar que se abran otras ventanas con el cambio en el archivo /etc/ssh/sshd_config la línea de yes por no “X11Forwarding No”.
  • 124.
    - 109 - Figura5.10 - Configuración de apertura de ventanas por ssh, (Elaboración Propia) 5.2.1.3. SNMP Snmp (simple network management protocol) es el protocolo que se encarga de administrar los equipos de comunicación de la red desde cuantos puertos hasta el funcionamiento en sus interfaces. Para lo cual se debe realizar una configuración en el archivo de configuración como se muestra a continuación en la ilustración 5.11. Figura 5.11 - Configuración del SNMP, (Elaboración Propia)
  • 125.
    - 110 - Seguidamentese buscará la información necesaria para el monitoreo y estado del equipo configurado con para que brinde información al servidor snmp para el ejemplo se usó un router Mikrotik de donde se obtiene la información de las interfaces para y el estado de los mismos, así como la memoria de total y la frecuencia con la que trabaja el microprocesador, como se muestra en la figura 5.12. Figura 5.12 - Información de recolección de información del router, (Elaboración Propia) 5.2.1.4. Squid El servidor squid se encarga de formar las listas de acceso o de negar acceso a internet o hacia otros dominios o direcciones a las cuales se les pueda restringir esto en cumplimiento de las políticas de seguridad de cada institución, para el tema de seguridad se lo configura realizando un proxy transparente que será el ente encargado de verificar a donde es el destino al cual se quiere enviar la solicitud de información o de donde proviene y a que páginas accede, se realiza la siguiente
  • 126.
    - 111 - configuraciónadecuada de autenticación con un usuario contraseña antes de acceder al servicio como una medida de seguridad que si bien se le da al momento de navegar por la red corporativa como se muestra en la figura 5.13. Figura 5.13 - Advertencia al acceso por SQUID, (Elaboración Propia) Así mismo se configura el bloqueo de dominios para que no accedan los usuarios a dominios no permitidos como se muestra en la figura 5.14. Figura 5.14 - Configuración de bloqueo de Dominio (Elaboración Propia) Con la configuración realizada se puede observar cómo se brinda la seguridad de la autenticación al momento de que el usuario desea entrar a navegar le pide primero que se legitime y muestra el siguiente mensaje como se observa en la figura 5.15. Figura 5.15 - Identificación para Acceder al servicio de Internet (Elaboración Propia) Con la autenticación se accede a la página que se encuentra alojado en el servidor web esto con previa autenticación hacia el servidor Squid que trabaja como proxy, como se muestra la figura 5.16.
  • 127.
    - 112 - Figura5.16 - Acceso a la página de prueba en el servidor WEB, (Elaboración Propia) 5.2.1.5. Kerberos Kerberos es un protocolo de autenticación en una red que hace uso de creación de tickets con el cual se controla el tiempo del cual cuenta al momento de autenticarse hacia un servicio, el mismo coadyuva para acceder a la red el cual hace uso de tickets (kdc “key distribution center”), kerberos mantiene una base de datos de claves secretas y que se encripta como se muestra en la figura 5.17. Figura 5.17 - Creación de Tiquete para acceso (Elaboracion Propia) 5.2.1.6. Gpg El (gnu privacy guard) es un programa que ayuda el cifrado y firmado digital de los archivos con lo cual se puede transferir o copiar de forma segura con la clave pública para quien lo recibe tiene dos tipos de cifrado simétrico y asimétrico esto son el fin de compartir o almacenar información de forma segura en el equipo del usuario o al momento de compartir con otros usuarios pues se puede verificar su procedencia con la firma digital que cuenta el mismo al momento de cifrar el archivo. Así mismo se puede calcular el hash que solamente es la función matemática que crea caracteres.  Cifrado simétrico: el cifrado asimétrico es cuando tanto el receptor y el transmisor tiene la misma llave.
  • 128.
    - 113 - Cifrado asimétrico: es cuando se genera dos tipos de llaves tanto la llave pública y privada. Para lo que se crea un archivo de prueba con el cual se utilizará como se muestra en la figura 5.18. Figura 5.18 - Archivo cifrado (Elaboración Propia) Seguidamente, se realiza la creación de la llave asimétrica con lo cual se cifrará el contenido y se compartirá a otro usuario, previo a esto se hace la creación del tipo de cifrado para poner el nivel deseado al momento de cifrar la información y así la creación de la firma digital que muestra quien realmente es el autor y cuando creo para tener mayor confianza en el archivo, como se muestra en la siguiente figura 5.19. Figura 5.19 - Cifrado y firmado de la un archivo (Elaboración Propia) Seguido esta creación de la firma y el tipo de cifrado a manejar para la correspondiente creación de archivos, que serán cifrados se utilizó el identificador del usuario creado con su correo como se muestra en la figura 5.20. Figura 5.20 - Archivo encriptado (Archivo.txt.gpg) (Elaboración Propia)
  • 129.
    - 114 - Unavez creado el archivo cifrado se compara ambos archivos tanto el cifrado y el original para observar el nivel de dificultad para el atacante al momento de buscar sacar la información en el archivo con nombre (Archivo.txt.gpg) como se muestra a continuación en la figura 5.21. Figura 5.21 - Archivo cifrado y archivo original (Elaboración Propia) 5.2.1.7. IPtables Iptables es un filtro de paquetes en la red que es parte del kernel de Linux que a su vez toma el papel del firewall por el manejo y control de los paquetes de red. En la parte práctica que se tiene como parte de la seguridad de los servidores que se encuentran en funcionamiento se implemente iptables. Para el control de qué tipo de datos que ingresan al servidor y que tipo de protocolo usa y su dirección IP, a partir de este punto de la red se empieza a utilizar reglas que determinan el ingreso o salida de paquetes hacia los servidores con el único objetivo de determinar qué acción realizar. Para el presente modelado se realizará las configuraciones necesarias para que se tengan acceso a los servicios del servidor web. En la figura 5.22 se muestra la configuración del servidor web donde se observa los servicios que están corriendo, esto se lo realiza mediante un escaneo de puertos con el nmap hacia el servidor.
  • 130.
    - 115 - Figura5.22 - Escaneo de los puertos en el SRV-WEB (Elaboración Propia) En la ilustración 5.23 se muestra la prueba de scanner al servidor que realiza el trabajo de bastión o conocido como equipo de pasarela donde se alojan los servicios de control como ser el proxy, dns, kerberos y el firewall. Figura 5.23 - Escaneo de los puertos debian10-DNS1 (Elaboración Propia) Con la configuración del iptables se presenta de la siguiente forma de aceptar tráfico dirigido hacia el servidor para consultas, pero no asimismo que puedan ver lo de atrás del servidor de firewall, es también que se establece nuevas cadenas donde se puede obtener las reglas que habilitan el tráfico a determinado puerto o dirección, las nuevas cadenas donde se redirigen los paquetes son una medida de seguridad debido a que la configuración del firewall es de denegar todo lo entrante y saliente y lo que atraviesa el firewall y para aceptar el tráfico aceptado por la
  • 131.
    - 116 - creaciónde las cadenas nuevas, seguidamente se presenta la configuración en la figura 5.24. Figura 5.24 - Configuración de Iptables (Elaboración Propia) 5.2.1.8. Snort Snort es el sistema de detección de intrusos (IDS) con las reglas en el que se pueden definir los patrones que se utilizaran a la hora de monitorear el sistema ofreciendo una serie de reglas que se puede personalizar a medida que se observe conveniente, como se muestra en la figura 5.24 donde se ve los servicios con los que cuenta actualmente para este tipo el servidor donde se implementara las nuevas reglas para un monitoreo de las actividades que realicen o sean extrañas de los mismos usuarios o posibles ataques.
  • 132.
    - 117 - Figura5.25 - Reglas de Configuración para el IDS (Snort) (Elaboración Propia) Con la configuración previa del firewall se tendrá como fin el resguardar de ataques que se realicen de forma remota o de forma interna al servidor para esta parte se demostrara respuesta a los protocolos que se tienen conocimiento que otras personas puedan buscar acceder de forma no autorizada como se muestra en la figura 5.25, en el que se muestra la respuesta de conexiones ftp, icmp y etc. Figura 5.26 - Alertas del IDS con los paquetes de ICM, FTP (Elaboración Propia) 5.2.1.9. Mod securiy El MOD_Security es un firewall de aplicaciones web embebido que ejecuta como módulo del servidor web apache, provee protección contra diversos ataques hacia aplicaciones web y permite monitorizar trafico HTTP, así como realizar análisis en tiempo real sin necesidad de hacer de cambios a la infraestructura existente, esta herramienta es para detección y prevención de intrusos para aplicaciones WEB.
  • 133.
    - 118 - Enla ilustración 5.26 se muestra como se ingresa al servidor web con el uso de la dirección IP y código para inyección SQL 192.168.x.49/?id=40 or ´1´=´1, en la página para obtener la respuesta del servidor que esta junto con el WAF (modsecurity). Figura 5.27 - Inyección SQL a la página WEB (Elaboración Propia) En la siguiente figura 5.27 se muestra es la respuesta de modsecurity al hacer la inyección de SQL desde el mismo navegador del equipo donde se encuentra instalado el servidor web. Figura 5.28 - Respuesta del WAF (Elaboración Propia) 5.2.2. Servicios instalados en el servidor (SRV-WEB-MAIL) Los servicios que se implementan los siguientes servicios como el servidor de la página web, el servidor mail y la base de datos que interactúan para la transmisión y recepción de los datos de los usuarios, que se encuentran en la máquina con nombre SRV-WEB-MAIL como se muestra en la tabla 5.2.
  • 134.
    - 119 - Tabla5.2 - Servicios Instalados en la maquina (SRV-WEB-MAIL) NOMBRE PUERTO PROTOCOLO FUNCIÓN MEDIDA DE SEGURIDAD NIVEL DE TRABAJO Apache (servidor Web) 80;443 TCP/UDP Es un software de servidor web gratuito con el cual se ejecutan las aplicaciones web Con el uso de Https tiene con como fin la comunicación segura entre cliente servidor con el protocolo SSL Aplicación / transporte Postgresql 5432 TCP Es la base de datos relacional de código abierto de clase empresarial que admite consultas SQL Es un sistema estable, ofrece integridad y corrección, donde se hace uso de la anónimo de los datos Aplicación Postfix 25, 143, 110 Tcp/Udp Es un servidor que se encarga de ,a administración del correo electrónico Limitar el uso de la Shell cuando ingresan los usuarios habilitados para el uso del correo Aplicación, transporte Fuente. Elaboración Propia 5.2.2.1. Servidor WEB apache El servidor apache es un medio donde se realizan las aplicaciones que son orientadas hacia los usuarios finales y a los diferentes servicios o aplicación que se encuentran hasta que el usuario final haga uso adecuado, como se muestra en la figura 5.29 donde se asegura el servidor mediante el uso de páginas con certificación https que hace uso del SSL para permitir una conexión segura del servidor y el usuario. Figura 5.29 - Servidor WEB con protección de SSL, (Elaboración Propia)
  • 135.
    - 120 - 5.2.3.Postgresql Postgresql es una base de datos relacional que admite código SQL (relacional) y JSON (no relacionado), permite las bases de datos, que ofrece estabilidad, integridad y corrección este a su vez es utilizado como almacén de datos primarios para muchas aplicaciones. Las medidas de seguridad tienen como fin el uso del  k-anonimity: Es una propiedad característica de los datos anonimizados.  ACID (Atomicity Consistency Isolation and Durabilidad Atomicidad): Es la propiedad que asegura que una operación se ha realizado o no, y por lo tanto ante un fallo del sistema no puede quedar a medias. Se dice que una operación es imposible para otra parte de un sistema encontrar pasos intermedios. 5.2.4. Postfix Postfix es un servidor de correo de software libre /código abierto un programa informático para el enrutamiento y envió de correo electrónico creado con la intención de que sea una alternativa más rápida fácil de administrar y segura al ampliamente utilizado Sendmail. Postfix es el agente de transporte por omisión en diversas distribuciones de Linux y en las últimas versiones. Una medida de seguridad recomendada es eliminar los permisos de acceso de Shell como se muestra en la figura 5.30 y cambio de usuario dueño y el grupo en el archivo, que se recomienda al momento de crear usuarios para el correo electrónico. Figura 5.30 - Se cambia el permiso para acceso a la SHELL (Elaboración Propia) Con lo anterior mostrado se tiene la siguiente configuración y distribución de los servicios que están alojados en los servidores en cada uno de ellos como se muestra en la ilustración 5.31.
  • 136.
    - 121 - Figura5.31 - Modelo de la Configuración Práctica (Elaboración Propia) La figura 5.31 nos muestra la configuración y reconocimiento de los equipos haciendo uso el aplicativo de zabbix que es el encargado de monitorear de manera constante los equipos conectados a la red. Figura 5.32 - Maqueta de equipos virtuales (Elaboración Propia)
  • 137.
    - 122 - CAPITULOSEXTO CONCLUSIONES Y RECOMENDACIONES 6 . EPILOGO 6.1 EPILOGO Se realizó el relevamiento de todos y los requerimientos, así mismo previo a esto se efectuó un diagnóstico mediante un cuestionario al personal encargado de la institución donde se evidenció el desconocimiento de normas y estándares. Se definieron las especificaciones de los requerimientos de la seguridad que están interiormente comprendidas en la Legislación Boliviana donde estableció, los lineamientos que consideran el uso adecuado o resguardo de la información ya el uso inadecuado puede generar sanciones, perdidas económicas y de imagen personal o colectivo como se desmenuza a continuación. 6.2 CONCLUSIONES Se definieron las especificaciones de los requerimientos de la seguridad que están interiormente comprendidas en la Legislación Boliviana donde estableció, los lineamientos que consideran el uso adecuado o resguardo de la información ya el uso inadecuado puede generar castigo, pérdida económica ya se personal o colectivo como se desmenuza a continuación:  El test realizado a la UPEA donde se pudo ver una cantidad de respuestas negativas que corresponden a la seguridad de la información y la falta de control que se tiene con respecto a los incidentes de seguridad, y la falta de uso de un modelo de seguridad.  De esta forma, se evidencia que la institución no cuenta con las medidas necesarias de seguridad tanto en el análisis de tráfico o de alerta en cuanto a incidentes de seguridad, se tuvo que ofrecer contramedidas que
  • 138.
    - 123 - acompañena dichas tareas mediante la instalación de software libre que colabore con el monitoreo de incidentes de seguridad. Así mismo se compara la con la normativa boliviana que como lo exige y se detalla a continuación.  La Constitución Política del Estado Plurinacional de Bolivia establece como derecho a la privacidad e intimidad y corrección de la información del individuo ya sea en estatal o privado, en sus artículos 21, 130.  La ley de código penal, esta ley tiene como objeto penar a los delitos que se consideran en sus artículos 363 bis, 362 ter. que establecen que toda manipulación o acceso no autorizado a la información contenida en medios magnéticos haciendo uso de ellos para fines personales o de terceros.  La ley N°164 establece los derechos de los usuarios, obligaciones tanto para los operadores y proveedores de servicios de telecomunicación, establece el secreto en la comunicación y manejo de por separado de las cuentas de correo electrónico personal y laboral.  El decreto 1793 que es la reglamentación de la ley N° 164 donde estable: A quien deben cumplir toda entidad pública o privada que realice uso certificaciones o firmas digitales y que estés presten servicio o formen parte de la institución pública. Es así que promueve el desarrollo de software libre y estándares abiertos con fin de promover el mecanismo de cooperación internacional en materia de software libre. También establece la implementación del gobierno electrónico con lo cual se busca transparentar la gestión púbica mediante el uso de las tecnologías de la comunicación. La firma digital es la que establece sus principios de autenticación, integridad, no repudio, clave privada y pública donde el objetivo mayor es la creación de una infraestructura nación de certificación digital. En el inciso e) tratamiento de los datos personales, tanto del sector público como del privado, deberá adoptar las medidas de índole técnica y organizativa necesarias que
  • 139.
    - 124 - garanticenla seguridad de los datos personales y eviten su alteración, pérdida, tratamiento no autorizado.  Decreto supremo N° 3251 plan de implementación de gobierno electrónico plante como medida a tomar por las diferentes instituciones el desarrollar software libre con el uso de estándares abiertos que se apliquen en la interoperabilidad y ser financiado como prioridad en el presupuesto de cada institución, estableciendo que cada que en el sector público la Máxima autoridad ejecutiva en llevar y promover la implementación del gobierno electrónico. Se procedió al levantamiento de datos y cotejaron la información obtenida con la normativa vigente en Bolivia. Se definió la especificación y lineamientos que coordinan con los decretos supremos N° 3251, 1793 así mismo la tecnología que prevé el uso de estándares abiertos y el uso de software libre, y después equipos que sean compatibles en el desempeño de las funciones. Se definieron las especificación y lineamientos que coordinan, con los decretos supremos N° 3251, 1793 así mismo la tecnología que prevé el uso de estándares abiertos y el uso de software libre, y después equipos que sean compatibles en el desempeño de las funciones.  Desarrollo de aplicaciones con estándares abierto, logrando así la interoperabilidad entre las tecnologías como los protocolos de comunicación TCP/IP etc.  El crear una posición de mejora constante con la presentación de códigos abiertos tanto en las configuraciones usando software libre.  La mejora continua con la posibilidad de auditar mediante el uso de logs en donde se almacenan los eventos suscitados, así también los servicios prestados hacia la población estudiantil con la programación de tareas y plan
  • 140.
    - 125 - decontingencias que lo establecen en los requerimientos de los decretos N° 3251, 1793 en los incidentes de seguridad de la información. Se procede al diseño de seguridad para las redes informáticas mediante la aplicación de los conceptos obtenidos tanto en seguridad por niveles, niveles de seguridad, Zero Trust y Software-Defined Perimeter que con los conceptos obtenidos se tiene el modelo y el diseño lógico. La propuesta del diseño como base de la seguridad por niveles, está con la mediación de los protocolos que se interconectan mediante los principios del documento de niveles de seguridad del departamento de defensa de estados unidos a continuación se presenta los resultados obtenidos.  La Universidad Pública de El Alto al someterse al cuestionario de seguridad de la información se pudo evidenciar que esta fuera de la normativa boliviana en cuanto a la implementación de seguridad de la información esto a razón que no cuentan con las políticas de seguridad para la institución y tampoco cuenta con el oficial de seguridad.  Para el diseño se revisó los niveles de seguridad en los que se encuentra la UPEA, mismo mostraron un índice de riesgo alto, ya que no cumplía el control necesario sobre los mecanismos y que no contaban con planes de contingencias.  En la evaluación del lugar donde se encuentra el centro de datos está situado en la ciudad de El Alto en la Zona Villa Esperanza en el parqueo del edificio Emblemático, donde cuenta un ambiente con ventilación y aire acondicionado, pero los cuales no son supervisados por nadie.  Para el diseño se tomó los criterios que aseguren las inmediaciones esto basado en los pilares de “Confianza Cero” donde se desglosa las diferencias entre usuario es resguardar la seguridad de la identidad con la implementación en el diseño el servidor AAA, confiabilidad del dispositivo que se conectan sean registrados, una red segura con implementación de
  • 141.
    - 126 - proteccionesperimetrales donde se pueda segmentar y aislar controlar la red, aplicaciones seguras mediante el adecuado control de identificar la tecnología, el uso de herramientas automatizadas para la información de la seguridad y la gestión seguida con el análisis del comportamiento de los usuarios, eventos cibert-relacionados que puedan ayudar a desarrollar medidas de seguridad proactivas. Se procede a la selección de la tecnología y que a su vez cumpla los requerimientos en el uso de software libre y que ponga en marcha todo el modelo que se planteó en el diseño. Se realiza la selección de la tecnología con lo cual se responde los principios planteados por la normativa boliviana en las leyes y decretos de seguridad y privacidad de la información de usuarios y el uso indebido de los mismos continuación se detalla todo lo anterior ya anteriormente mencionado.  La selección de tecnologías responde la seguridad por niveles donde se contempla la parte física con los respectivos controles de seguridad ya sea la autenticación de equipos que se conectan, la parte de enlace hace el uso del protocolo de smnp con lo cual se monitorea las actividades que realiza tanto los router, switch y otros equipos de comunicación, la parte de red se usa administradores de red y monitoreo, en la parte de transporte y aplicación se hace uso la conexión segura y cifrado de conexiones.  La tecnología que se recomienda postgresql con respecto a base de datos, squid como un proxy para el controlar que páginas visita y un mejor uso de recursos y el uso adecuado, el uso de kerberos se lo utiliza como el factor de doble autenticación al realizar la conexión por medio de ssh, snort es el encargado monitorear la red y las actividades de la red, zabbix es el encargado de monitorear los servidores y servicios. Se presenta el prototipo del diseño que necesita ser probado antes de ser puesto en marcha mismo que se expone con las diferentes tecnologías y aplicaciones que coadyuvan al mejoramiento de la seguridad que es implementado con el modelo de
  • 142.
    - 127 - softwaredefined perimeter. Se presenta la maqueta del prototipo con las mejoras y con el diseño donde cuenta el principio de “confianza Cero” donde el desarrollo se hizo mediante la mejora con el control y monitoreo de todos los sucesos como desgloso con anterioridad a continuación se detalla los eventos y logros conseguidos.  El SDP controler está formado por él con los principios de confianza cero por lo que mediante el uso de agentes que se encargan de verificar como ser el servicio de KERVEROS el PROXY, IDS y WAF pasan a ser parte de la forma de manejar que ingresa o sale.  El SDP Gateway es el encargado de ser el guardia de seguridad junto con el FIREWALL, IDS, que con las reglas adecuadas mitigan los posibles riesgos.  El SDP cliente es usuario que tiene conexión a servicios modulares que se tienen dentro el centro de datos, el cliente tiene como principio el que su dispositivo sea conocido por el sistema y además sea posible que pueda autenticarse y ser autorizado por el SDP controler, y monitorear toda la actividad que realice antes y después de hacer cambios. 6.3 . RECOMENDACIONES Se recomienda con la automatización de los controles de monitoreo y seguimiento se tiene datos que solos no podemos interpretar o sacar un uso adecuado, pero con el uso adecuado de algoritmos y lenguajes de programación se podría predecir o sacar perfiles de posibles atacantes en la red interna y o externa. Por lo anterior mencionado se recomienda que se podría hacer uso de Maquine Learning para un manejo adecuado de los datos que se tiene para el estudio de ataques o perfiles de ataques a la infraestructura red informática. Se recomienda que para un mejor estudio de la seguridad corporativa se pueda lograr la implementación del modelo en ambientes de producción y ser
  • 143.
    - 128 - monitoreadosconstantemente y registrar los eventos que acontezcan durante el funcionamiento, con la finalidad de mejorar las reglas del firewall, Software de Detección de Intrusos y Firewall de Aplicaciones Web para que se pueda registrar la mayor cantidad de información y pueda aprender más directrices y realizar mejor control. Se recomienda la instalación de software que respete la libertad de los usuarios y la comunidad, también los usuarios puedan ejecutarlo, copiar, distribuir, estudiar modificar y mejorar el software en los equipos de los usuarios finales con la finalidad de tener mayor control al momento de cifrar los discos duros y la información compartida entre usuarios mediante la creación de firmas digitales y llaves públicas y privadas con la ayuda de GNU Privacy Guard (GPG). Se recomienda la creación de políticas de seguridad que se adecuen y coordine con el Plan Institucional de Seguridad de la Información que esta cargo del Gobierno Central y de sus dependencias, que deben ser cumplidas por cada uno de los usuarios al momento de firmar el contrato que lo vincule con la institución hasta su salida y entrega de toda la información concerniente al trabajo realizado, como parte de la política la difusión de buenas prácticas de seguridad de la información como el cambiar las contraseñas de acceso cada determinado tiempo y otros que se vea conveniente. 6.4 . SUGERENCIAS PARA FUTURAS INVESTIGACIONES Se sugiere que con la acumulación de datos o información referente a eventos ya sea de tráfico o de sucesos en los sistemas encargados de monitorear o controlar, se pueda hacer uso de un aprendizaje supervisado o no supervisado y así poder contrarrestar los posibles ataques o anomalías en la red corporativa, ya que con el aprendizaje podrán predecir posibles patrones o actividades sospechosas. El uso de inteligencia artificial y Machine Learnig en los puntos de monitoreo y control de procesamiento de datos como ser el cortafuegos, el sistema de detección de
  • 144.
    - 129 - intrusosy cortafuegos de aplicación web que darán los datos necesarios para las mejoras continuas en el aprendizaje de fenómenos suscitados y que se pueda tomar medidas correctivas basándonos en el modelo de control en el software defined perimeter controller y software defined perimeter gateway que son los que funcionan en la red corporativa y brindando mejoras en la protección de la información.
  • 145.
    - 130 - BIBLIOGRAFIA ©,W. (s.f.). WWW.ISO27000.ES ©. Obtenido de Sistema de Gestión de la Seguridad de la Informacion: http://www.iso27000.es/download/doc_sgsi_all.pdf A. Devincenzi, J. (2011). Técnicas y herramientas forenses para la detección de Botnets. Cohorte: Maestría en Seguridad Informática - Tesis. accenit.com. (s.f.). accenit.com. Obtenido de Seguridad perimetral informática: Información necesaria: https://www.accensit.com/blog/seguridad-perimetral-informatica-informacion- necesaria/ ACT-IAC Advancing Government. (2019). Zero Trust Cybersecurity Current Trends. American Council for Technology-Industry Advisory Council (ACT-IAC), 32. AGETIC. (2017). Resultados Finales de la Encuesta Nacional de Opinion sobre Tecnologias de Informacion y Comunicacion. Obtenido de https://agetic.gob.bo/pdf/estadotic/AGETIC- Estado-TICencuestaFinal-v4.pdf AGETIC. (2018). Estado TIC, Estado de las Tecnologías de Información y Comunicación en el Estado Plurinacional de Bolivia. La Paz: AGETIC. Arellano L., A. H. (2011). LA GESTIÓN DEL CAMBIO TECNOLÓGICO DE LA SEGURIDAD INFORMÁTICA EN EL IPN LA DIRECCIÓN DE CÓMPUTO Y COMUNICACIONES (DCYC) COMO CASO DE ESTUDIO. Mexico: Instituto Politecnico Nacional - Secretaria de Investigacion y Posgrado. Asamblea Constituyente de Bolivia. (2009). Constitucionn Politica del estado Plurinacional de Bolivia. El Alto: Asamblea Constituyente de Bolivia. Asamblea Legislativa Plurinacional . (1997). Ley N° 1768 Código Penal. La Paz : Asamblea Legislativa Plurinacional. Asamblea Legislativa Plurinacional. (2011). LEY Nº 164 LEY GENERAL DE TELECOMUNICACIONES, TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN. (Estado Plurinacional de Bolivia, Ed.) La Paz, Murillo, Bolivia: Asamblea Legislativa Plurinacional. Bembibre, V. (enero de 2009). Definición ABC. Obtenido de Definición ABC: https://www.definicionabc.com/ciencia/analisis.php BID, B. I. (2020). CIBERSEGURIDAD RIESGO, AVANCES Y EL CAMINO A SEGUIR EN AMERICA LATINA Y EL CARIBE. EE.UU.: CREATIVE COMMONS.
  • 146.
    - 131 - Bortnik,S. (24 de mayo de 2010). welivesecurity by eset. Obtenido de Defensa en Profundidad: https://www.welivesecurity.com/la-es/2010/05/24/defensa-en-profundidad/ c3comunicaciones.es. (14 de febrero de 2014). Grupo cofitel. Obtenido de Data Center: El Estándar TIA 942: https://www.c3comunicaciones.es/data-center-el-estandar-tia-942/ Camacho Contreras, A. F., & Lopez Rodriguez, J. S. (2017). DISEÑO DE UN SISTEMA DE SEGURIDAD PERIMETRAL E INTERNA PARA LA EMPRESA AMERICAS BUSINESS PROCESS SERVICES. Bogota, D.C.: UNIVERSIDAD DISTRITAL FRANCISICO JOSE DE CALDAS - ESPECIALIZACION EN GESTION DE PROYECTOS DE INGENIERIA. Cazau, P. (Marzo de 2006). Introduccion a la investigacion en ciencias sociales. Obtenido de www.academia.ed: https://www.academia.edu/8000535/Pablo_Cazau_INTRODUCCI%C3%93N_A_LA_INVESTI GACI%C3%93N_EN_CIENCIAS_SOCIALES?auto=download Chancusig, E. F. (2015). "ESQUEMA DE SEGURIDAD PERIMETRAL Y CONTROL DE INCIDENCIAS DE LA RED DE DATOS PARA LA UNIVERSIDAD TECNICA DE COTOPAXI". AMBATO - ECUADOR : UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES "UNIANDES". Consejo Superior de Administración Electrónica de España. (2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid: © Ministerio de Hacienda y Administraciones Públicas Secretaria General Tecnica. Corletti E., A. (2011). Seguridad de Niveles. Madrid: DarFe Learning Consulting S.L. Corletti Estrada, A. (2011). Seguridad por Niveles. Madrid: Creative Commons Reconocimiento- NoComercial-SinObraDerivada. CTIC. (2017). Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de la Información de las entidades del sector público. La Paz: Depósito Legal: 4- 1-273-17 P.O. DEPARTMENT OF DEFENSE UU.EE. (1985). Department of Defense Trusted Computer System Evaluation Criteria. Office of the Secretary of Defense (ASD): Library No. S225,7ll. Devincenzi, J. A. (2009). Tecnicas y herramientas forenses para la deteccion de Botnets. Cohorte: Universidad de Buenos Aires, Facultad de Ciencias Economicas Cs. Exactas y Naturales e Ingenieria. Dueñas G., J. L. (2003). METODOLOGIA PARA ESTABLECER POLITICAS, NORMAS Y PROCEDIMIENTOS SOBRE SEGURIDAD INFORMATICA EN UNIDADES DE LA ADMINISTRACION PUBLICA. Mexico: Instituto Politecnico Nacional - Coordinacion General de Posgrado e Investigacion.
  • 147.
    - 132 - Erb,M. (Octubre de 2008). Gestión de Riesgo en la Seguridad Informática. Obtenido de Gestión de Riesgo en la Seguridad Informática: https://protejete.wordpress.com/gdr_principal/definicion_si/ Gordon R., D. S. (2017). ANÁLISIS DE ESTRATEGIAS DE GESTIÓN DE SEGURIDAD INFORMÁTICA CON BASE EN LA METODOLOGÍA OPEN SOURCE SECURITY TESTING METHODOLOGY MANUAL (OSSTNM) PARA LA INTRANET DE UNA INSTITUCIÓN DE EDUCACIÓN SUPERIOR. Samborondon - Ecuador: Universidad Espiritu Santo - Maestria en Auditoria de Tecnologias de la Informacion. Gutierrez Amaya, C. (22 de 10 de 2012). welivesecurity eset. Obtenido de Los 10 pilares básicos de la norma ISO 27001: https://www.welivesecurity.com/la-es/2012/10/22/10-pilares- basicos-norma-iso27001/ Gutierrez Q., H. (2018). METODOLOGIA BASADA EN ESTANDARES DE PENTESTING PARA LA DETECCION DE VULNERABILIDADES PARA LA DIRECCION NACIONAL DE INFORMATICA DE LA EMI. LA PAZ - BOLIVIA : ESCUELA MILITAR DE INGENIERIA "MCal. Antonio Jose de Sucre" - Maestria de Seguridad de Tecnologias de la Informacion. Hernandez Sampieri, C. R. (1997). METODOLOGÍA DE LA INVESTIGACIÓN. MÉXICO: McGRAW - HILL INTERAMERICANA DE MÉXICO, S.A. de C.V. J.M., H. (1991). Sistemas de telecomunicación (2ª ed. edición). Madrid: E.T.S.I. Telecomunicación. Latham, D. (1985). DEPARTMENT OF DEFENSE STANDARD DEPARTMENT OF DEFENSE TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA. Secretary of Defense. Mieres, J. (2009). Ataques informáticos Debilidades de seguridad comunmente explatadas. (W. paper, Ed.) evil finger. NCSI, N. C. (2020). National Cyber Security Index. Obtenido de Indice de Bolivia, NCSI, National Cyber Security Index: NCSI, National Cyber Security Index ODIB. (12 de 10 de 2020). Estado de las amenazas ciberneticas en Bolivia. Obtenido de Observatorio de Delitos Informaticos Bolivia, ODIB: https://www.odibolivia.org/2020/04/23/estado-de-las-amenazas-ciberneticas-en-bolivia/ ODIB. (10 de Abril de 2020). Obseratorio de Delitos Informaticos Bolivia. Obtenido de Bolivia ocupa el puesto 79 en el ranking mundial de ciberseguridad: https://www.odibolivia.org/2018/11/09/bolivia-ocupa-el-puesto-79-en-el-ranking- mundial-de-ciberseguridad/ Paredes, G. J. (2015). SISTEMA DE SEGURIDAD PERIMETRAL PARA LA RED DE DATOS DE LA INDUSTRIA FLORALP S.A EN LA CIUDAD DE IBARRA, BASADO EN LA PLATAFORMA DE SOFTWARE LIBRE. Ibarra- Ecuador: Universidad Tecnica del Norte.
  • 148.
    - 133 - Plurinacional,A. L. (08 de 08 de 2011). LEY Nº 164 LEY DE 8 DE AGOSTO DE 2011. LEY GENERAL DE TELECOMUNICACIONES, TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN. La Paz, Bolivia. Pulse Secure. (21 de Mayo de 2018). Never Trust, Always Verify Mitigate risk through adaptive authentication and enforcement. Obtenido de Redefining Secure Access in a Zero Trust World: https://www.pulsesecure.net/resource/pulse-secure-software-defined-perimeter/ Rodao, J. d. (2006). Piratas Ciberneticos: Cyberwars, Seguridad Informatica E Internet. Madrid - España: Editorial Alfaomega. Rodriguez Garcia, C. (2011). Seminario de Investigación. Elaboracion de instrumentos, 11. Rosado, G. A. (2015). FORTALECIMIENTO DE SEGURIDAD DEL CENTRO DE DATOSDE LA CARRERA DE INGENIERIA EN SISITEMAS COMPUTACIONALES, ANALISIS DE POLITICAS DE SEGURIDAD INFORMATICA PROPUESTA DE PROTECCION ENDPOINT Y CONTROL DE ACCESO A LA RED. GUAYAQUIL- ECUADOR: UNIVERSIDAD DE GUAYAQUIL "FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES". Rytoft, Claes;. (2013). Centro de Datos. Zurich, Suiza: Editorial y copyright © 2013 ABB Technology Ltd. Saldaño, O. H. (02 de 03 de 2009). mailxmail.com. Obtenido de Tesis degrado. Metodologia de la Investigacion: http://www.mailxmail.com/curso-tesis-investigacion/variables-concepto Seguridad Informatica. (s.f.). Obtenido de TEMA 1- SEGURIDAD IFORMÁTICA: https://seguridadinformaticasmr.wikispaces.com/TEMA+1- +SEGURIDAD+IFORM%C3%81TICA Sorell Slaymaker. (2018). Zero Trust Networking. TechVision RESEARCH, 48. Stevens, S. S. (1946). SCIENCE. En S. S. Stevens, SCIENCE (pág. 680). Asociación Estadounidense para el Avance de la Ciencia. Unidad de Planificacion UPEA. (2017). DATOS ESTADISTICOS 2016. El Alto: Artes Multigraf. Universidad Internacional de Valencia, V. (21 de 03 de 2018). TRES TIPOS DE SEGURIDAD INFORMATICA QUE DEBES CONOCER. Obtenido de VIU | UNIVERSIDAD CAMPUS VIRTUAL: https://www.universidadviu.com/tres-tipos-seguridad-informatica-debes-conocer/ UptimeInstitute. (2013). Certificación Tier. Obtenido de Descripción general de la Certificación Tier: https://es.uptimeinstitute.com/tier-certification Vicuña P., J. (2009). Diseño del Proceso Administrativo de la Seguridad Informatica en la "Empresa Municipal de Servicio de Cementerios, Salas de Velacion y Exequias", EMUCE - Cuenca".
  • 149.
    - 134 - Cuenca:UNIVERSIDAD DE CUENCA FACULTAD DE INGENIERIA MAESTRIA EN GERENCIA DE SISTEMAS DE INFORMACION. Viveros S., J. (2015). Defensa en Profundidad para Proteger la Informacion de la Red Corporativa. Colombia: Universidad Piloto de Colombia. Obtenido de http://repository.unipiloto.edu.co/handle/20.500.12277/2930 Viveros Saravia, J. (s.f.). Defensa en profundidad para proteger la informacion de la red corporativa. Especializacion en Seguridad Informatica - Universidad Piloto de Colombia, 8. Wikipedia. (01 de 06 de 2018). Wikipedia. Obtenido de Seguridad de la Informacion: https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n X. Diebold, F. (2008). Elements of Forecasting. University of Pennsylvania: SOUTH-WESTERN CENGACE Learning.
  • 150.
  • 151.
    - 136 - ANEXOA - Instalación de los servicios en la aplicación en el servidor con nombre SRV-WEB-MAIL Para la seguridad en la parte física en la instalación del servidor se realiza con las siguientes puntualizaciones en su característica de instalación que son el espejeado RAID 1 para tener una redundancia en el almacenamiento de la información y guardado esto con la finalidad de que si un disco es dañado o extraído se podrá contar con la redundancia el segundo que contiene la misma información y configuración, seguidamente se cifrara el disco en su totalidad para que si es extraído no puedan leer la información a continuación se usara la gestión de volúmenes lógicos (LVM) este es un modelo de localización del espacio disco duro en volúmenes lógicos que pueden ser fácilmente redimensionados en vez de particiones. Instalación en modo avanzado Particiones cifradas y haciendo uso de LVM para todas las particiones menos la boot.
  • 152.
    - 137 - Acontinuación, se presenta la configuración de los discos que utiliza en este caso en específico dos discos de 20 Gb que son particionados configurados con la seguridad de espejeado y encriptado que usan la metodología de LVM. Servidor de apache Previo a la instalación del servidor web se debe realizar las actualizaciones con: # apt-get update ; apt-get upgrade # apt-get install apache2 # /etc/init.d/apache2 restart Instlacion de SSL #sudo a2ensite default-ssl # /etc/init.d/apache2 restart
  • 153.
    - 138 - #sudo a2enmod ssl; /etc/init.d/apache2 restart # mkdir /etc/apache2/ssl (Donde creamos los certificados) # cd /etc/apache2/ssl/ (previa instalación de openssl) # openssl req –x509 -nodes –days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt Instalación de mod-security #apt-get install libxml2 libxml2-dev libxml2-utils #apt-get install libaprutil1 libaprutil1-dev (Opcional ) #apt-get install libapache2-mod-security2 Paquete necesario para descargar las reglas de mod-security #apt-get install wget Descargamos los las reglas siguientes para las reglas que te ofrece la owasp #wget https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/master.zip #unzip master.zip #cp –R owasp-modsecurity-crs-master/* /etc/modsecurity/ #mv /etc/modsecurity/modsecurity_crs_10_setup.conf.example /etc/modsecurity/modsecurity_crs_10_setup.conf #cd /etc/modsecurity # for f in *; do ln –s /etc/modsecurity/base_rules/$f /etc/modsecurity/active_rules/$f; done # for f in *; do ln –s /etc/modsecurity/optional_rules/$f /etc/modsecurity/activated_rules/$f ; done # sudo a2enmod headers # nano /etc/apache2/mods-available/security2.conf <IfModule security2_module> SecDataDir /var/cache/modsecurity Includeoptional /etc/modsecurity/*.conf
  • 154.
    - 139 - IncludeOptional/etc/modsecurity/base_rules/*.conf </IfModule> # /etc/init.d/apache2 restart; tail –f /var/log/apache2/error.log # tail –f /var/log/apache2/modsec_audit.log Aquí se prueba con la inyección de SQL Instalacion de Postgresql #nano /etc/apt/sources.list deb http://security.debian.org/debian-security debian10/updates main contrib restricted non-free deb- http://security.debian.org/debian-security debian10/updates main contrib restricted non-free deb http://deb.debian.org/debian/ debian10-updates main contrib restricted non- free deb http://deb.debian.org/debian/ debian10 main contrib restricted non-free Creamos un nuevo archivo #nano /etc/apt/sources.list.d/pgdg.list deb http://apt.postgresql.org/pub/respos/apt/ debian10-pgdg main Instalación de ser de paquete #apt-get install wget #wget --quiet -O - https://www.postgresql.org/media/keys/ACCC4CF8.asc | sudo apt-key add - #apt-get update ; apt-get update #apt-get install postgresql-11 #nano /etc/postgresql/11/main/postgresql.conf (Archivo de configuración de postgresql) Servidor correo electrónico POSTFIX #apt-get postfix dovecot-imapd dovecot.pop3d dovecot.common
  • 155.
    - 140 - Ingresamosal archivo de configuración postfix #nano /etc/postfix/main.cf (Agregamos al final del texto pero esto debe antes de las ultimas desconmentadas) #information on enabling SSL in the scrip Client .myhostname = localhost.servidores.com alias_maps = hash:/etc/aliases alias_database =hash:/etc/aliases myorigin = $mydomain mydestination = $mydomain, $mydomain.$hostname, servidores.com, localhost, localhost.locadomain, localhost inet_protocols = all #sudo service postfix restart #nano /etc/dovecot/conf.d/10-auth.conf (Des comentar la línea siguiente) mail_location = maildir;~/Maildir #sudo service dovecot restart, sudo service postfix restart Creamos una carpeta donde estarán los usuarios #mkdir /home/usuarios # sudo useradd -m -d /home/usuarios/cliente2 cliente2 Deshabilitamos la Shell del usuario donde vemos /etc/passwd #usermod -s /bin/cliente2 cliente2 Seguidamente habilitamos contraseñas añ Usuario #sudo passwd cliente2 (Después de esto reiniciar) ANEXO B – Instalación de los servicios en la aplicación en el servidor con nombre debían10-DNS1 Realizar las actualizaciones con apt-get update, apt-get upgrade #apt-get install bind9
  • 156.
    - 141 - #apt-getinstall dnsutils bind9 Verificamos la firma digital con #cat /etc/bind/rndc.key (por defecto de viene con 128bits) Se aumenta la seguridad en la llave a 512 bits # rndc-confgen –a –r /dev/urandom –b 512 /etc/bind/rndc.key Configuración del dns #nano /etc/bind/named.conf.local (se colocan las siguientes líneas) Nota: El dominio eligido es www.servidores.com; la dirección ip del servidor DNS es 192.168.171.110 y el del servidor WEB IP 192.168.171.100. zone “servidores.com” { type master; file “/var/lib/bind/servidores.com.zone”; }; zone “171.168.192.in-addr.arpa” { type master; file “/var/lib/bind/171.168.192.zone”; }; Configuración la zona directa # nano /var/lib/servidores.zone $TTL 86400 @ IN SOA debian-DNS1.servidores.com. ( 2019051700 1H 30M
  • 157.
    - 142 - 1W 86400 ) @IN NS debian-DNS1.servidores.com. debian10.servidores.com. IN A 192.168.171.110 SRV-WEB-MAIL.servidores.com. IN A 192.168.171.100 www IN CNAME debian-DNS1.servidores.com. Configuración de la zona inversa #nano /var/lib/bind/171.168.192.zone $TTL 86400 @ IN SOA debían-DNS1.servidores.com. ( 2019051700 1H 30M 1W 86400 ) @ IN NS debían-DNS1.servidores.com. 110 IN PTR debían-DNS1.servidores.com. 100 IN PTR SRV-WEB-MAIL.servidores.com. Nota: se configura el archivo de resolución de nombres. #nano /etc/resolv.conf Instalación de ssh #apt-get install ssh Archivo de configuración de puertos, ip y que Usuario de Windows #nano /etc/ssh/sshd_config
  • 158.
    - 143 - Creaciónde llaves en Publica y Privada $ssh-keygen -t rsa $ ssh-copy-id -i .ssh/id_rsa.pub NombreUsuario@IP_servidorSSH Instalación del servidor SNMP # apt-get install snmp libsnmp-dev Archivo de configuración del snmp . #nano /etc/snmp.conf Instalación de SQUID “Proxy” #apt-get install squid El archivo de configuración de squid #nano /etc/squid/squid.conf
  • 159.
    - 144 - Pararevisar el comportamiento de la acl se puede acceder al siguiente archivo. # tail –f /var/log/squid/Access.log Instalacion del servidor de openvpn #apt-get install openvpn #ls -l /etc/openvpn/ #apt-get install wget #wget -P /etc/openvpnn/easy-rsa https://github.com/OpenVPN/easy- rsa/releases/dowload/v3.0.6/EasyRSA-unix-v3.0.6.tgz #cd /etc/openvpn/easy-rsa Se ingresa a la carpeta y se descomprime # tar –xvf EasyRSA-3.0.4.tgz # cp vars.example vars Cambiamos sus permisos # chmod +x vars # nano vars (Se configura los parámetros de país, provincia, ciudad, organización, mail. #./easyrsa init-pki # ./easyrsa build-rsa nopass
  • 160.
    - 145 - AnexoB: Presentación de los Datos A continuación, se desmenuzará cada una de las partes por las que están compuestas el diseño de la seguridad por niveles; la primera se contara con los servicios implementados en el centro de datos de la Universidad Pública de El Alto, la segunda que es el núcleo que donde se comparte y se transmite la información que se la llamara SDP controler, así mismo se realiza el uso de conexión a servidores que son virtualizados y utilizados con cache de los servidores originales que se encuentran en el centro de datos y este a su vez se conecta con los routres y switch que llegan a los usuarios y a red wifi con la red de micro ondas. Lo anteriormente mencionado se presentará con la presentación de los servicios que son constituidos por este capítulo mediante la implementación de equipos virtual izados que son donde se emulara En el presente acápite se tomarán en cuenta los datos obtenidos del libro de estadísticas (Unidad de Planificacion UPEA, 2017) donde se obtiene la cantidad de estudiantes matriculados de las diferentes universidades que conforman la CEUB. Al tiempo de presentar la tabla con las universidades se cuenta con los datos hasta el 2016, en cuanto el estudio se realizará la proyección hasta el 2019 como se muestra y determinando el índice de crecimiento de las distintas universidades.
  • 161.
    - 146 - TablaB.1 - Universidades y cantidad de estudiantes por Gestión de la CEUB GESTION UMSFXCH UMSA UMSS UATF UTO UAGRM UAJMS UABJB UNSXX UAP UPEA UCB EMI UNIPOL 2001 22979 59924 35801 10966 14745 31933 11307 5273 4077 902 4541 13436 1288 0 2002 24257 62854 45531 12135 16234 33248 11786 7207 4396 1040 6581 13031 1526 0 2003 25846 65426 49486 12919 16998 37498 12829 7660 4590 943 7673 12403 1585 0 2004 26480 68311 50943 13761 17125 39853 13503 7845 4742 933 8829 11969 1362 0 2005 27089 69481 52801 14594 17806 44116 14291 10538 4754 1012 10533 12857 1564 0 2006 28505 71490 52959 15054 18964 47708 14761 10693 5044 1288 11392 12706 1716 0 2007 31029 71642 55098 14286 19635 54310 15383 11987 6211 1779 12248 12538 2025 0 2008 33695 73109 57166 14971 20016 62334 16782 12226 6015 2077 13800 13104 2241 0 2009 36058 74044 56046 15684 20401 69322 17181 12877 4745 2226 16197 12928 2377 0 2010 39227 74838 56643 16742 21129 70176 17769 13672 4004 2283 18431 13751 2805 0 2011 42102 75503 62270 17294 22048 70755 18193 13658 3657 2374 21875 12697 2805 0 2012 43863 76745 64676 18748 22779 76842 19413 13613 9266 3546 25068 15018 5287 1145 2013 45995 77202 65834 19938 23209 80955 20064 15378 8840 4090 30938 15213 5843 3012 2014 48859 77457 68582 20596 23523 78941 21961 18323 7654 5095 32102 15294 5961 3150 2015 50052 78219 68983 21180 24377 79921 23191 19098 7648 5884 38693 15921 6380 3552 2016 51277 78228 78770 22304 25662 84619 23783 19607 7754 7565 42343 15868 5988 3954 Para la elección de la muestra de observa a todas las universidades que conforman la CEUB al tiempo de tomar como medida la cantidad de estudiantes matriculados por año estos datos de obtuvieron de (Unidad de Planificacion UPEA, 2017) donde su primera fuente para la elaboración del mismo es del CEUB. En los siguientes gráficos se muestra el crecimiento de los estudiantes durante el periodo 2001 al 2016 de todas las universidades que forman parte de la CEUB como se muestra a continuación:
  • 162.
    - 147 - GraficoB.1 – Universidades de los departamentos La Paz, Cochabamba, Santa Cruz, (CEUB) Grafico B.2 - Universidades del departamento de Chuquisaca, Oruro, Potosi 0 10000 20000 30000 40000 50000 60000 70000 80000 90000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 UMSA UMSS UAGRM UPEA 0 10000 20000 30000 40000 50000 60000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 UMSFXCH UTO UATF UNSXX
  • 163.
    - 148 - GraficoB.3 - Universidades de los departamentos de Beni, Pando, Tarija. Grafico B.4 – Universidades privadas y de convenio El universo para el presente trabajo se conforma por 15 universidades, donde 11 son públicas, 4 privadas y 1 que es privada pero solo brinda estudios de posgrado y todos ellos forman parte de la CEUB. 0 5000 10000 15000 20000 25000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 UABJB UAP UAJMS 0 2000 4000 6000 8000 10000 12000 14000 16000 18000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 UCB EMI UNIPOL
  • 164.
    - 149 - Parala selección de la muestra se observa que en los cuatro gráficos anteriores el crecimiento de estudiantes durante el tiempo en el periodo del 2001 al 2016 y que la concentración es mayor de estudiantes matriculados se encuentra en los departamentos de La Paz, Cochabamba, Santa Cruz. Tabla B.2 - Nombre y sigla de las Universidades que conforman la CEUB Seguidamente se presentará el organigrama de la Estructura Organizacional del Sistema de la Universidad Boliviana, CEUB de manera general y así ver cómo está formado según la grafico 5.1, donde se divide por cuatro partes que son: SISTEMA UNIVERSITARIO:  Congreso Institucional Universitario  Honorable Consejo Universitario Su constitución, funciones y atribuciones de ambos Órganos de Gobierno están definidas en el Estatuto Orgánico de cada Universidad del Sistema. UNIVERSIDADES:  Rectorado  Vicerrectorado
  • 165.
    - 150 - Laforma de elección de estas Autoridades, sus funciones y atribuciones, están definidas en el Estatuto Orgánico de cada Universidad. FACULTADES O ÁREAS: Órganos de gobiernos facultativos o de áreas  Congreso Facultativo o de Área  Honorable Consejo Facultativo o de Área Su constitución, funciones y atribuciones de ambos Órganos de Gobierno están definidas en el Estatuto Orgánico de cada Facultad o Área, compatible con el Estatuto Orgánico de su Universidad. Órganos de ejecución facultativo o de área  Decanato  Vicedecanato La forma de elección de estas Autoridades, sus funciones y atribuciones, están definidas en el Estatuto Orgánico de cada Facultad o Área, compatible con el Estatuto Orgánico de su Universidad. UNIDADES ACADÉMICAS: Órganos de gobierno de la unidad académica  Carreras y/o Programas reconocidos en su Universidad.  Congreso de la Unidad Académica  Honorable Consejo de la Unidad Académica Su constitución, funciones y atribuciones del Órgano de Gobierno están definidas en el Estatuto Orgánico de cada Facultad o Área, compatible con el Estatuto Orgánico de su Universidad. Órgano de ejecución de la unidad académica  Las Direcciones, Jefaturas, Coordinaciones u otra denominación, reconocidas por el Estatuto Orgánico de su Universidad La forma de elección de ésta Autoridad, sus funciones y atribuciones, están definidas en el Estatuto Orgánico de cada Facultad o Área, compatible con el Estatuto Orgánico de su Universidad.
  • 166.
    - 151 - GraficoB.5 - Organigrama de la CEUB (COMITE EJECUTIVO DE LA UNIVERSIDAD BOLIVIANA, 2011) Con el grafico B.5 se muestra la forma en la que se tiene manejo de los diferentes niveles en todo el sistema de universidades de Bolivia per cabe resaltar que en ningún punto de este se cuenta con el oficial de seguridad que es un elemento
  • 167.
    - 152 - necesariocon los decretos y recomendaciones que tiene el libro de seguridad por niveles. B.1. ESTRUCTURA LEGAL Y JURÍDICA B.1.1. Legislación Boliviana en delitos informáticos La seguridad de la información está presente por medio de la preservación de la integridad, confidencialidad e integridad de la información, en el ámbito al que se aplicará el presente trabajo será al sistema de universidad de Bolivia, donde la legislación boliviana muestra aspectos en la constitución política del estado leyes que buscan como objetivo el cuidar la información y los medios por los que se los difunden. B.1.1.1. Constitución Política del estado Plurinacional de Bolivia “Artículo 21, Inciso II): A la privacidad, intimidad, honra, honor, propia imagen y dignidad.” (CPE.), (Asamblea Constituyente de Bolivia, 2009), pagina 17. “Artículo 130, Inciso I): Toda persona individual o colectiva que crea estar indebida o ilegalmente impedida de conocer, objetar u obtener la eliminación o rectificación de los datos registrados por cualquier medio físico, electrónico, magnético o informático, en archivos o bancos de datos públicos o privados, o que afecten a su derecho fundamental a la intimidad y privacidad personal o familiar, o a su propia imagen, honra y reputación, podrá interponer la Acción de Protección de Privacidad.” (CPE.), (Asamblea Constituyente de Bolivia, 2009), pagina 47. En la Constitución Política del estado Plurinacional de Bolivia en su Art. 21, Inc. II) mantiene como un derecho la privacidad, intimidad, así mismo a la rectificación de los datos personales Art. 130. Inc. I). que toda persona individual o colectiva que crea estar indebida o ilegalmente impedida de conocer, objetar la eliminación o rectificación de los datos registrados por cualquier medio físico, electrónico, magnético o informático, en archivos o bancos de datos públicos o privados (Asamblea Constituyente de Bolivia, 2009).
  • 168.
    - 153 - b)Ley de Código Penal Boliviano c) Capítulo XI, Delitos Informáticos “Artículo 363 bis. (Manipulación informática). - El que con la intención de obtener un beneficio indebido para sí o un tercero, manipule un procesamiento o transferencia de datos informáticos que conduzca a un resultado incorrecto o evite un proceso tal cuyo resultado habría sido correcto, ocasionando de esta manera una transferencia patrimonial en perjuicio de tercero, será sancionado con reclusión de uno a cinco años y con multa de sesenta a doscientos días.” (Asamblea Legislativa Plurinacional , 1997), pagina 159. “Artículo 363 ter. (Alteración, acceso y uso indebido de datos informáticos).- El que sin estar autorizado se apodere, acceda, utilice, modifique, suprima o inutilice, datos almacenados en una computadora o en cualquier soporte informático, ocasionando perjuicio al titular de la información, será sancionado con prestación de trabajo hasta un año o multa hasta doscientos días.” (Asamblea Legislativa Plurinacional , 1997), pagina 159. La legislación boliviana cuenta también dos artículos en la ley del código penal que tipifica como delito informático al acceso indebido a la información y la manipulación de la información en sus artículos del Código Penal. Modificado por la Ley Nº 1768, de 10 de marzo de 1997 (Artículos 363 Bis y 363 ter.). B.2. Ley N° 164 General de Telecomunicación, Tecnologías de la Información y Comunicación “Artículo 54. (DERECHOS DE LAS USUARIAS Y USUARIOS). Las usuarias o los usuarios de los servicios de telecomunicaciones y tecnologías de información y comunicación tienen derecho a: … 3). Acceder a información clara, precisa, cierta,
  • 169.
    - 154 - completa,oportuna y gratuita acerca de los servicios de telecomunicaciones y tecnologías de información y comunicación, a ser proporcionada por los operadores o proveedores de los servicios... 5). Recibir de forma oportuna, comprensible y veraz la factura mensual desglosada de todos los cargos y servicios del cual es usuario, en la forma y por el medio en que se garantice su privacidad. 6). Exigir respeto a la privacidad e inviolabilidad de sus comunicaciones, salvo aquellos casos expresamente señalados por la Constitución Política del Estado y la Ley. 7). Conocer los indicadores de calidad de prestación de los servicios al público de los proveedores de telecomunicaciones y tecnologías de información y comunicación… 15). Ser informado oportunamente de la desconexión o corte programado de los servicios. 16). Reclamar ante los proveedores de servicios y acudir ante las autoridades competentes en aquellos casos que la usuaria o usuario considere vulnerados sus derechos, mereciendo atención oportuna. 17). Recibir protección del proveedor del servicio sobre los datos personales contra la publicidad no autorizada por la usuaria o usuario, en el marco de la Constitución Política del Estado y la presente Ley… 19). Exigir la protección de la niñez, adolescencia y juventud en la prestación de los servicios… 22). Otros que se deriven de la aplicación de la Constitución Política del Estado, Tratados Internacionales, las leyes y demás normas aplicables.”, (Asamblea Legislativa Plurinacional, 2011), paginas 32 al 34. “Artículo 56. (INVIOLABILIDAD Y SECRETO DE LAS COMUNICACIONES). En el marco de lo establecido en la Constitución Política del Estado, los operadores de redes públicas y proveedores de servicios de telecomunicaciones y tecnologías de información y comunicación, deben garantizar la inviolabilidad y secreto de las comunicaciones, al igual que la protección de los datos personales y la intimidad de usuarias o usuarios, salvo los contemplados en guías telefónicas, facturas y otros establecidos por norma.”, (Asamblea Legislativa Plurinacional, 2011), pagina 34. “Artículo 59. (OBLIGACIONES DE LOS OPERADORES Y PROVEEDORES). 1). Someterse a la jurisdicción y competencia de la Autoridad de Regulación y Fiscalización de Telecomunicaciones y Transportes. 2). Proveer en condiciones de
  • 170.
    - 155 - igualdad,equidad, asequibilidad, calidad, de forma ininterrumpida, los servicios de telecomunicaciones y tecnologías de información y comunicación. 3). Proporcionar información clara, precisa, cierta, completa, oportuna y gratuita acerca de los servicios de telecomunicaciones y tecnologías de información y comunicación, a las usuarias o los usuarios. 4). Proporcionar información clara, precisa, cierta, completa y oportuna a la Autoridad de Regulación y Fiscalización de Telecomunicaciones y Transportes. 5). Proveer gratuitamente los servicios de telecomunicaciones y tecnologías de información y comunicación en casos de emergencia, que determine la Autoridad de Regulación y Fiscalización de Telecomunicaciones y Transportes. …11). Atender las solicitudes y las reclamaciones realizadas por las usuarias o los usuarios. 12). Informar oportunamente la desconexión o cortes programados de los servicios. 13). Brindar protección sobre los datos personales evitando la divulgación no autorizada por las usuarias o usuarios, en el marco de la Constitución Política del Estado y la presente Ley.16). Cumplir las instrucciones y planes que se emitan en casos de emergencia y seguridad del Estado. 17). Actualizar periódicamente su plataforma tecnológica y los procesos de atención a las usuarias y los usuarios.” (Asamblea Legislativa Plurinacional, 2011), pagina 35 y 36. “Artículo 84. (REGLAMENTACIÓN). El reglamento referido a firmas y certificados digitales comprenderá: 1. Los requisitos, funciones, procedimientos, convenio de partes, obligaciones, cese de la entidad certificadora autorizada, responsabilidad de las entidades certificadoras autorizadas ante terceros, sanciones, resolución de controversias y otros. 2. La publicidad, seguridad e integridad en el uso de la firma digital. 3. Las definiciones, principios y procedimientos relativos al tratamiento de los datos personales.” (Asamblea Legislativa Plurinacional, 2011), pagina 44. “Artículo 89. (CORREO ELECTRÓNICO PERSONAL). A los efectos de esta Ley el correo electrónico personal se equipará a la correspondencia postal, estando dentro del alcance de la inviolabilidad establecida en la Constitución Política del Estado. La protección del correo electrónico personal abarca su creación, transmisión, recepción y almacenamiento.” (Asamblea Legislativa Plurinacional,
  • 171.
    - 156 - 2011),pagina 45. La Ley Nº 164, de 8 de agosto de 2011, General de Telecomunicaciones, Tecnologías de la Información y Comunicación. Norma el uso adecuado de la información y así mismo la comunicación señalan distintos aspectos en sus: Artículo 54 (derechos de los usuarios); 56 (inviolabilidad y secreto de las comunicaciones); 59 (obligaciones de los operadores y proveedores); 84 (reglamentación); 89 (correo electrónico personal); 90 (correo electrónico laboral), y 91 (comunicaciones comerciales publicitarias por correo electrónico o medios electrónicos). B.2.3. Decreto Supremo 1793 Reglamentación de la Ley Nº 164 Una vez lanzada la ley que normaría las comunicaciones y el tratamiento de la información era necesario reglamentar dicha ley es por eso que el Decreto Supremo Nº 1793, de 13 de noviembre de 2013. Reglamento de la Ley Nº 164. Artículos 3 (definiciones); 4 (principios), 40 (funciones de la Agencia de Registro); 54 (derechos del titular del certificado); 56 (Protección de datos personales), y 57 (comunicaciones comerciales publicitarias). El decreto 1793 que es la reglamentación de la ley N°164 el mismo señala en su Artículo 2 es aplicable para toda entidad pública o privada que tenga actividades o presten servicio relacionado con la certificación digital y firmas digitales en todo el estado plurinacional mismos deben cumplir lo siguiente:  Inciso I) Respecto a desarrollo de contenidos y aplicaciones, se puede transferir la información por medios electrónicos sin examinarlos ni modificarlo salvo autorización del propietario, así también el desarrollo haciendo uso de software con fines educativos productivos o de entretenimiento.
  • 172.
    - 157 - II) En cuanto al software libre, establece que el usuario ejercite las libertades como ser: ejecutar el software para cualquier propósito sin restricción, estudiar el funcionamiento del software y modificarlo para que cumpla un determinado propósito esto mediante el acceso del código fuente en cuanto a los estándares abiertos mismos que son técnicas o protocolos normalizados y se puedan usar sin restricciones.  III) Respecto a firmas y certificados digitales se debe instalar una infraestructura que sea capaz de certificar, generar y almacenar de los certificados digitales cumpliendo los principios de autenticación mediante el uso de las claves privada, publica.  VI) respecto a la seguridad informática establece los procedimientos y herramientas que se enfocan a la protección de la infraestructura computacional, que a su vez contiene a la información preservando su integridad, disponibilidad y confidencialidad, esto a su vez se logra mediante planes de contingencia que son realizados en circunstancias de riesgo u otras anomalías. En el Artículo 5 Plantea que los Contenidos y Aplicaciones en su prioridad está el desarrollo de plataformas virtuales de aprendizaje capacitación e investigación y servicios en todos los niveles educativos, en la salud plataformas de información atención y servicio a la población, en lo gubernamental la implementación del gobierno electrónico transparencia y garantizar la eficiencia de los sistemas implementados haciendo uso del idioma castellano sin olvidar o promover diferentes idiomas existentes en el Estado Plurinacional de Bolivia.  Entre otros aspectos que nos muestra es el promover el derecho a la privacidad de la información de los usuarios y fortalecer la seguridad informática del estado y así mismo la protección de los datos en sus sistemas
  • 173.
    - 158 - informáticosa través de planes de contingencia desarrollados e implementados en cada entidad. Articulo 17 Plantea la Implementación del Gobierno Electrónico a través de la transparentarían de la gestión pública haciendo uso de tecnologías de la información y comunicación y otras herramientas para contribuir la participación y control social. Articulo 18 en el Lineamiento del Plan de Implementación del Gobierno Electrónico plantea el derecho a acceder, participar y relacionarse de manera transparente con las entidades públicas esto mediante el uso del internet, con el objetivo de promover la interoperabilidad de la entidad públicas y reducir la brecha entre el usuario y gobierno. Articulo 21 Lineamiento de Software Libre Plantea el Desarrollo de Software Libre y estándares abiertos en las plataformas informáticas, con lo cual se promueve el mecanismo de cooperación internacional en materia de software libre y estándares en respecto de la soberanía y seguridad informática y así mejorar el control, jerarquización para fortalecer las unidades de las entidades Públicas y Privadas con el fin de cumplir el reglamento. Articulo 22 el Repositorio Estatal de Software Libre el mismo es administrado por la ADSIB donde se tiene la obligatoriedad de registrar los sistemas y las aplicaciones libres usadas o desarrolladas de manera directa o a través de terceros en el repositorio estatal de software libre, toda adquisición deberá ser compatible con el software libre. Articulo 26 Función del certificado digital es el acreditar la identidad del titular de la firma, la legitimidad vincular un documento o mensaje electrónico y así garantizar la integridad del documento.
  • 174.
    - 159 - Articulo27 Característica del certificado digital deben cumplir con la emisión por una autoridad autorizada, mantener un numero único de serie, verificable, contener información necesaria para identificar al titular. Articulo 56 Protección de Datos Personales con el fin de resguardar la información detalla a continuación: datos personales en el sector público y privado en todas sus modalidades, incluyendo entre éstas las actividades de recolección, conservación, procesamiento, bloqueo, cancelación, transferencias, consultas e interconexiones, requerirá del conocimiento previo y el consentimiento expreso del titular. En su Inciso (e) demanda la responsabilidad de las entidades que manejen información de los usuarios como señala a continuación: “e) El responsable del tratamiento de los datos personales, tanto del sector público como del privado, deberá adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento no autorizado, las que deberán ajustarse de conformidad con el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”. B.2.4. Decreto Supremo Nº 3251 plan de Implementación de Gobierno Electrónico En el decreto aprobado el 12 de julio del 2017, donde estable la implementación del gobierno electrónico, implementación de la software libre y estándares abiertos son aplicables por todos los niveles de Gobierno del Estado Plurinacional de Bolivia, en su Art ° 5 los planes de implementación de Gobierno electrónico y los planes institucionales de implementación de software libre y estándares abiertos serán priorizados y financiado por cada entidad al interior de su presupuesto institucional ART º 6 (RESPONSABLES). Determina que cada MAE del sector público deberá designar a los responsables de la implementación del Gobierno Electrónico en coordinación de la AGETIC.
  • 175.
    - 160 - “Artículoº 4 (Interoperabilidad) I. El COPLUTIC, en coordinación con la Agencia de Gobierno Electrónico y Tecnologías de Información y Comunicación – AGETIC, podrá determinar la obligatoriedad por parte de las entidades públicas para compartir información mediante interoperabilidad, en el marco de las leyes y normas vigentes, así como disposiciones específicas de sectores estratégicos.”
  • 176.
    - 161 - GLOSARIO A AGETIC Agenciade Gobierno Electrónico y Tecnologías de Información y Comunicación, 147 B Botnets es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota, - 6 - C CISO El CISO (Chief Information Security Officer) es el director de seguridad de la información. Básicamente es un rol desempeñado a nivel ejecutivo y su función principal es la de alinear la seguridad de la información con los objetivos de negocio. De esta forma se garantiza en todo momento que la información de la empresa está protegida adecuadamente., - 45 - CRACKER El término cracker o cráquer (literalmente traducido como rompedor, del inglés to crack, que significa romper o quebrar) se utiliza para referirse a las personas que rompen o vulneran algún sistema de seguridad de forma ilícita, - 26 - CRC En informática, CRC hace referencia a cyclic redundancy check, también llamado polynomial code checksum. En español, control de redundancia cíclica o comprobación de redundancia cíclica.El CRC es una función diseñada para detectar cambios accidentales en datos de computadora y es comúnmente usada en redes digitales y dispositivos de almacenamiento (como discos duros)., - 33 -, - 34 -, - 35 - H hackers Hacker es una voz del inglés para referirse a una persona o a una comunidad que posee conocimientos en el área de informática y se dedica a acceder a sistemas informáticos para realizar modificaciones en el mismo., - 26 -, - 61 - I IDS Un sistema de detección de intrusiones (o IDS de sus siglas en inglés Intrusion Detection System) es un programa de detección de accesos no autorizados a un computador o a una red., - 30 -, - 85 -, - 87 -, - 88 -, - 89 -, - 91 -, - 94 -, - 107 -, - 108 -, - 117 - IPS Un Sistema de Prevención de Intrusos es un dispositivo de seguridad, fundamentalmente para redes, que se encarga de monitorear actividades a nivel de capa 3 (red) y/o a nivel de capa 7 (aplicación) del Modelo OSI, con el fin de identificar comportamientos maliciosos, sospechosos e indebidos, a fin de reaccionar ante ellos en tiempo real mediante una acción de contingencia., - 30 - ISDN ISDN La UIT-T (CCITT) define la Red Digital de Servicios Integrados (RDSI o ISDN en inglés) como red que procede por evolución de la Red Digital Integrada (RDI) y que facilita conexiones digitales extremo a extremo para proporcionar una amplia gama de servicios, tanto de voz como de otros tipos, y a la que los usuarios acceden a través de un conjunto de interfaces normalizados., - 35 - ISO/IEC 17799 La norma ISO 27001 facilita los requisitos que se deben adoptar para poder implementar un Sistema de Gestión de Seguridad de la Información, con lo que se podrá mantener la información de la organización de una forma
  • 177.
    - 162 - seguraante cualquier posible amenaza. La norma NTP-ISO/IEC 17799 es una norma técnica peruana que ayuda a implementar también medidas de seguridad en las organizaciones, mejorando el rendimiento de la organización y aumenta su valor añadido ante las demás organizaciones del mismo sector., - 28 - L LAMERS Lamer (o zomber o Lamas en España) es un anglicismo propio de la jerga de Internet que hace alusión a una persona con falta de habilidades técnicas, sociabilidad o madurez e incompetente en una materia, actividad específica o dentro de una comunidad., - 26 - LAP-B LAPB (Link Access Procedure, Balanced) es un protocolo de nivel de enlace de datos dentro del conjunto de protocolos de la norma X.25. LAPB está orientado al bit y deriva de HDLC.Es un subconjunto de HDLC, en modo de clase balanceada asíncrona (BAC). HDLC trabaja con 3 tipos de estaciones, en cambio LAP-B solo con una, la Balanceada. Por lo tanto usa una clase balanceada asíncrona, los dos dispositivos pueden iniciar la transmisión, esa es una de las diferencias con HDLC., - 35 - Ll LLC Control de enlace lógico LLC ("Logical Link Control") define la forma en que los datos son transferidos sobre el medio físico, proporcionando servicio a las capas superiores., - 32 -, - 35 - M MAE Maxima Autoridad Ejecutiva, 147 P Payload En informática y telecomunicaciones la carga útil (payload en inglés) es el conjunto de datos transmitidos que es en realidad el mensaje enviado. La carga útil excluye las cabeceras o metadatos, que son enviados simplemente para facilitar la entrega del mensaje. El término está tomado prestado del transporte de mercancías, donde carga útil se refiere a la parte de la carga que se utiliza para costear el transporte., - 33 -, - 34 - R RAID RAID es un acrónimo del inglés que significa Redundant Array of Independent Disks, literalmente «matriz de discos independientes redundantes», aunque no todos los sistemas RAID proporcionan redundancia., 122 RS 232 RS-232 (Recommended Standard 232, en español "Estándar Recomendado 232"), también conocido como EIA/TIA RS-232C, es una interfaz que designa una norma para el intercambio de datos binarios serie entre un DTE (Data Terminal Equipment, "Equipo Terminal de Datos"), como por ejemplo una computadora, y un DCE (Data Communication Equipment, "Equipo de Comunicación de Datos"), por ejemplo un módem. Existen otros casos en los que también se utiliza la interfaz RS-232., - 32 - S SAP El SAP es un sistema de aplicaciones y productos en procesamientos de datos que son los que describen los hechos empíricos, sucesos y entidades que gestiona de forma integrada “on line” todas las áreas funcionales de una empresa que se identifican a una compañía de sistemas informáticos con sede en Alemania, el mercado de los sistemas informáticos con un producto que se produce en el mercado de los sistemas de información con producto denominado SAP R/2, antecesor al SAP R/3 que es el sistema integrado donde la información es almacenada., - 36 - Snort Snort es un Sistema de Detección de Intrusos (IDS) basado en red (IDSN) open source . Cuenta con un lenguaje de creación de reglas en el que se pueden definir los patrones que se utilizarán a la hora de monitorizar el sistema. Además, ofrece una serie de reglas y filtros ya predefinidos que se pueden ajustar durante su instalación y configuración para que se adapte lo máximo
  • 178.
    - 163 - posiblea lo que deseamos., - 6 -, - 26 -, - 92 -, - 94 -, - 107 -, - 108 - SOFTWARE LIBRE El software libre hace referencia a la capacidad de los usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el software que se ha puesto en sus manos, xiv SONET La Red Óptica Síncrona, también llamada SONET, es un estándar creado para la transmisión digital de grandes cantidades de información en redes de fibra óptica mediante el uso de láser o diodos emisores de luz LED., - 32 -