Lista de Chequeo Apostar

7/23/2019 Lista de Chequeo Apostar

1/53

UNIVERSIDAD CATLICA POPULAR DELRISARALDA

FACULTAD DE CIENCIAS BSICAS E INGENIERAINGENIERA DE SISTEMAS Y

TELECOMUNICACIONES PRACTICASPROFESIONALES

DIAGNSTICO DE LA SEGURIDAD INFORMTICA EN APOSTARS.A.

CAROLINA HENAO ACOSTA


2/53

DIAGNOSTICO DE LA SEGURIDAD INFORMTICA EN APOSTARS.A.

CAROLINA HENAO ACOSTA

Informe e Pr!"#$"% Profe&$on%'T(#or M&". A')%ro I*n%"$o Mor%'e& Gon+%'e+


3/53

AGRADECIMIENTOS

La autora expresa susagradecimientos:

A la empresa APOSTAR S.A por su apoyo en la realizacin de este trabajo elcual ser! aplicado en las acti "idades diarias con el #i n de generar mayorcompetiti"idad y producti"idad.

Agradezco a la $ni "ersidad %atlica y a todo el grupo de pro#esores&ue transmitieron sus conocimientos de una #orma pro#esional.

A mi #amilia por su apoyo i ncondiciona l y permanente en esteproceso.


4/53

CONTENIDO

,!*.

'( T R O ) $ %% '* ( +,

+ . P R -S- ( T A % '* ( ) - L A O R A ( '/ A % '* ( O S 'T 'O ) - P R 0 % T '% A ++

+ .+ R -S- 1 A 2 'S T * R '% A AP O S T A R S .A . ++

+ .3 ) -S %R 'P % '* ( ) - L A - 4 P R -S A +3

+ .3 .+ 4 i s i n . +3

+ .3 .3 5 i s i n +3

+ .3 .6 P o l 7ti ca d e ca li da d +6

+ .3 .8 P r i n c i p i o s. +6

+ .3 .9 O bje ti " o s d e c a li da d +6

+ .3 . - s tr u c t u r a O r ga n i z a c i o n a l +8

3 . L;( - A ) - '( T - R 5- ( % '* ( +9

3.+ ) -< '( '% '* ( ) - L A L ;( - A ) - '( T - R 5- ( % '* ( +9

3.3 )'A ( * S T '% O ) - L 0 R - A ) - '( T - R 5- ( % '* ( +9

3.6 - =- ) - '( T - R 5- ( % '* ( +9

3.8 =$ S T '< '% A % '* ( ) - L - =- ) - '( T - R 5- ( % '* ( +9

6 .O > = - T '5 O S +?

6.+ O >= - T '5 O - ( - R A L +?

6.3 O >= - T '5 O S -SP- % ;< '% O S +?

8 .R - < - R - ( T - % O ( % -P T $ A L +@

8.+ % O( % -P T O ) - S- $ R ') A ) +@

8.3 S- $R ') A ) '( < O R 4 0 T '% A +@


5/53

8.6 2 'ST O R 'A ) - L A S- $ R ') A ) '( < O R 4 0 T '% A +

8 .8 - ( - R A L ') A ) - S ) - L A S- $ R ') A ) ) - L A '( < O R 4 A % '* ( PA R A- 4 P R -SA S B PA R T '% $ L A R - S 3+

8.9 A (O ( '4 A T O B P R '5A % ') A ) 36

8. % O( < ') - ( % 'A L ') A ) '( T - R ') A ) ) 'SP O ( '> 'L ') A ) 36


6/53

8.? S- $R ') A ) - ( L A S R - ) - S 38

8.@ P RO T - %% '* ( A L O S - C $ 'P O S 38

8. A $) 'T O R ;A ) - T - %% '* ( ) - '( T R$ S 'O ( - S B A ( 0 L 'S 'S < O R - ( S - 38

9 . P R -S- ( T A % '* ( B A ( 0 L 'S 'S ) - L O S R -S $ L T A ) O S 3

9.+ 5 $L ( - R A> 'L ') A ) ) - L A S % O ( T R AS- 1 A S 3

9.3 T A> $ L A % '* ( B R 0 < '% A S ) - L A '( < O R 4 A % '* ( 3

9.6 A (

0 L 'S 'S ) - L A '( < O R 4 A % '* ( 699.8 4 A

( - =O ) - P- R < 'L - S D % on tr o l d e A cc e s o sE 6

9 .9 -S T A ( ) A R '/ A % '* ( ) - P R O % -S O S PA R A L A A ) 4 '( 'S T R A % '* ( ) -2 A R ) F A R - B S O < T F A R - 6@

9 . P O L ;T '% A ) - >A % G $ P 6

. % O ( % L $ S 'O ( - S 8,

? . R - % O 4 - ( ) A % 'O ( - S 8+

> '> L 'O R A < ;A 83APH ( ) '% - 86

IToc3+,+, JK -86


7/53

LISTA DE TABLAS

p!g.

TA>LA +. %O(TRAS-1AS C$- 4A(-=A A%T$AL4-(T-. 3

TA>LA 3. T'PO )- '(< OR4A%'*( A LA C$- A%%-)- %O( LAS%O(TRAS-1AS. 3?

TA>LA 6. %R'T-R'OS C$- $T'L'/A PARA %R-AR %O(TRAS-1AS. 3@

TA>LA 8. OL5')O )- LAS %O(TRAS-1AS. 3

TA>LA 9. -S%R'T$RA )- %O(TRAS-1AS. 3

TA>LA . L$AR )O()- AL4A%-(A LAS %O(TRAS-1AS. 6,

TA>LA ?. T'-4PO )- %A4>'O -( LAS %O(TRAS-1AS. 6,

TA>LA @. AS'(A%'*( )- LAS %O(TRAS-1AS. 63

TA>LA . -'ST- AL$(A %O(TRAS-1A C$- )->A %O4PART'R 63

TA>LA +,. POL;T'%A O PRO%-)'4'-(TO A S-$'R '4PART')O POR LA-4PR-SA PARA -L 4A(-=O A)-%$A)O )- LAS %O(TRAS-1AS. 66

TA>LA ++. (M4-RO )- %ARA%T-R-S PARA %R-AR LAS %O(TRAS-1AS. 66

TA>LA +3. %$')A)O AL ) ''TAR LA %O(TRAS-1A -( %O4PA1;A )-OTRAS P-RSO(AS. 68

TA>LA +6. >LOC$-O )- %O4P$TA)OR O % '-RR- )- S-S'*(. 68

TA>LA +8. SOL'% 'T$) )- %A4>'O )- %O(TRAS-1A 69


8/53

LISTA DE GRFICOS

p!g.

R0'O )- %O(TRAS-1A 69


9/53

LISTA DE FIGURAS

p!g.


10/53

RESUMEN

La pr!ctica pro#esional se en#oc en el diagnstico de la seguridad in#orm!ticaen la empresa Apostar S.A. e"idenci!ndose una marcada #alencia en todos sus#rentes los cuales re&uieren inter"encin i nmediata.

De&"r$,#ore&: #alencia diagnostico seguridadinter"encin.

ABSTRACT

Pro#essional practice Nas #ocused on tKe diagnosis o# computer security incompany Apostar S.A. demonstrating a mared banruptcy on all #rontsNKicK re&uire immediate inter"ention.

De&"r$,#or&: banruptcy diagnosis securityinter"ention.


11/53

10

INTRODUCCIN

La seguridad en cual&uier !mbito es si nnimo de con#ianza certeza con"icciny es manejada por todas las organi zaciones como uno de sus procesosprincipales. Se asegura el cuidado de los acti "os de las instalaciones #7sicas delas personas y del di nero ser"icios &ue son prestados generalmente porpersonas o empresas externas. Pero de manera irnica en el caso del so#tNarey la administracin de redes no ocurre lo mismo. (o Kay pol7ticas deseguridad claras &ue permitan preser"ar uno de los elementos m!s "aliosos dela organizacin: la i n#ormacin.

Se tiene la #alsa sensacin de dar por sentado &ue si nada Ka #allado espor&ue todo est! bien slo cuando se presenta el incon"eniente se tomanmedidas. (o Kay una planeacin pre"ia no se analizan los riesgos conanticipacin no se piensa en las soluciones al momento de a#rontar unproblema en general se tiene una seguridad #icticia en lo poco o mucKo &uetenga la organizacin en la parte in#orm!tica.

-ste es el caso de esta empresa donde no existe aQn una pol7tica de seguridady donde existen cuatro puntos neur! lgicos &ue no Kan sido contrarrestadospara e"itar posibles ata&ues in#orm!ticos &ue pongan en riesgo la seguridad dela in#ormacin. -stos puntos son:

5ulnerabilidad encontraseas 4anejo deper#iles-standari zacin de procesos para la administracin de KardNare y so#tNare4anejo de bac ups

-l objeti "o pri ncipal de este proyecto es diagnosticar y conocer el estado decada uno de estos #rentes y dar las recomendaciones necesarias para &ue laempresa tome cartas en el asunto y trate de encontrar una solucin sencillapr!ctica y r!pida para cada uno de estos puntos.


12/53

1K ttp :NNN . a po s t a r. c o m . c o s p a ge s e m p re s a diciembre

++

+. PRESENTACIN DE LA ORGANI/ACIN O SITIO DE PRCTICA

+.+ RESE0A HISTRICA APOSTAR S.A.1

2ace ya mucKos aos cuando se iniciaba la a"entura del cKance en %olombia ycuando apenas se "islumbraba la legali zacin de este monopolio rent7stico dela nacin situacin &ue se #ue dando en la medida &ue las 2onorables

Asambleas )epartamentales conscientes de la necesidad de regular un juego&ue estaba surgiendo con #uerza inusitada empezaron a darle piso legal encada departamento.

)e esta a"entura #ueron pioneros en Risaralda dos pereiranos animososarriesgados comprometidos y "isionarios A('>AL PARRA B =-SMS ='4H(-/a &uienes se les unir 7a m!s adelante el seor 'O ARROBA5- ARA(O.

%on la "igencia de la Ley + de +@3 &ue legali z en todo el territorio nacionalel juego del cKance otros empresarios se unieron a los i ndicadores y #ueentonces cuando aparecieron en el mercado del )epartamento empresascomo AP$-STAS R'SARAL)A AP$-STAS A4HR'%A AP$-STASRA%'A(O AP$-STAS 4AT-%A1A AP$-STAS P-R-'RA &ue iniciaron laexplotacin del juego mediante contratos entregados en concesiones por la

>ene#icencia de Risaralda para &ue de esta manera ri ndieran por medio de lasregal7as exigidas en los mismos los primeros dineros &ue este juego entregara ala salud del )epartamentos.

-l auge continu algunas empresas perduraron otras no resistieron la #uerzade la competencia y se retiraron o "endieron a la par &ue surgieronnue"as empresas tales como AP$-STAS -L TR'A($LO AP$-STASC$'(%2;A AP$-STAS %O(SOL')A)AS AP$-STAS -L %*()OR

AP$-STAS O%2OA &ue conti nuaron en el mercado Kasta cuando por Kacerseal control del juego &ue Kab7a progresado en #orma impresionante se Ki zonecesaria una tregua entre los contrincantes &ue lle"o a la creacin de un

empresa &ue regulara las di#erentes alternati "as &ue se manejaban en eldepartamento. (aci entonces la SO% '-)A) )- APOSTA)OR-S )-R'SARAL)A APOSTAR LT)A Koy APOSTAR S.A. &ue obtu"o su "ida jur7dicael 3? de #ebrero de +@?.
http://www.apostar.com.co/spages/empreshttp://www.apostar.com.co/spages/empreshttp://www.apostar.com.co/spages/empreshttp://www.apostar.com.co/spages/empreshttp://www.apostar.com.co/spages/empres


13/53

2K ttp :NNN . a po s t a r. c o m . c o s p a ge s e m p re s a diciembre

+3

%on la regulacin de las condiciones del juego se propici una bonanza enlas relaciones ;nterempresariales &ue dirim7an sus di#erencias a tra"Us deella sin dejar su razn social ni su idiosincrasia comercial.

-ste sistema de asociacin permiti comercializar el cKance en Risaralda conuna licencia Qnica &ue se plasm en el contrato ,,+@? primero de este tipoen el departamento.

(o obstante el sistema implantado como es normal en el cKance "inieronnue"as disputas por las "entas por el manejo de las empresas con una #uerzaincre 7ble &ue Ki zo crisis Kacia mediados de +@ cuando empresarios seradicalizaron en dos grupos antagnicos &ue necesitaron la mediacin de la>ene#icencia logrando entonces un acuerdo &ue &uedo plasmado en los &uese Ka denominado POOL )- R'SARAL)A &ue inicio sus operaciones el +6 deseptiembre de ese ao. -l POOL no es otra cosa &ue la comercializacin de

las apuestas por un sistema empresarial &ue maneja la totalidad del juego del)epartamento &ue termin con las di#7ciles relaciones entre los empresariospara uni#icar criterios.

Actualmente APOSTAR S.A. es la Qnica empresa en Risaralda autorizada porla obernacin de Risaralda para comercializar el cKance legal y sus productossiendo monopolio rent7stico del )epartamento y una de las empresas m!sslidas y generadoras de empleo de la regin.

+.3 DESCRIPCIN DE LA EMPRESA2

1.2.1 M$&$3n. APOSTAR S.A. es una empresa slida altamente competiti"a yemprendedora con responsabilidad social en el sector de la salud &ue o#recea todo el pQblico risaraldense apuestas permanentes juegos de suerte y azarcon seriedad con#iabilidad cumplimiento y una alta calidad en laprestacin del ser"icio. %ontamos con talento Kumano comprometidosolidez econmica in#raestructura y tecnolog7a adecuada &ue garanti zanuna ptima rentabilidad y utilidad para satis#acer las necesidades de losaccionistas crecimiento y bienestar para nuestros empleados y la sociedad engeneral.

1.2.2 V$&$3n. APOSTAR S.A. #undamentada en la solidez #i nanciera

responsabilidad seriedad y cumplimiento consolidar! su liderazgodepartamental en el campo de juegos de suerte y azar y se posicionar! ennue"os mercados a ni"el nacional con un Sistema de estin de la %alidadestructurado &ue conlle"e al mejoramiento conti nuo con personal altamentecapacitado &ue entregue sus conocimientos Kabilidades y es#uerzos para elbene#icio de la empresa y de la sociedad en general.
http://www.apostar.com.co/spages/empreshttp://www.apostar.com.co/spages/empreshttp://www.apostar.com.co/spages/empreshttp://www.apostar.com.co/spages/empreshttp://www.apostar.com.co/spages/empres


14/53

13

1.2.4 Po'5#$"% e "%'$%. Lograr la satis#accin permanente de las necesidades yexpectati"as de los apostadores con comodidad buena atencinin#ormacin oportuna y "eraz y mejorando e inno"ando cons tantemente losproductos.

Para tal #i n se asegura la excelente calidad en la prestacin del ser"iciocon personal competente tecnolog7a adecuada solidez econmica plani#icaciny desarrollo en los nue"os puntos de "enta ejecutando los procesos con unmejoramiento continuo &ue permita lograr la e#icacia del Sistema de estinde %alidad.

1.2.6 Pr$n"$,$o&. Los principios de la empresa Apostar S.A.son:

Seriedad.%umplimiento.Solidezienestar de (uestros -mpleados.Respeto al %liente.

Atencin y Asesor7a al%liente. Pago Oportuno.Responsabilidad.

Atencin %lara y Oportuna.

+.3.9 O78e#$)o& e "%'$%


15/53

14

4antener la cobertura en Risaralda para el #!cil acceso del cKance.


16/53

'ncrementar anualmente los ingresos por "entas para cumplir con lo

estipulado en el contrato de concesin.1.2.9 Er("#(r% Or*%n$+%"$on%'. La empresa comercializa de

manera

sistematizada e l cKance legal en todo Risaralda adem!s de contar conproductos adicionales como el ser"icio de giros a ni"el nacional recargas acelular recaudo de ser"icios tele#nicos de tele"isin por cable e 'nternet con$(- entre otros. La empresa est! certi#icada por la norma 'SO ,,+3,,3 ycuenta actualmente con ?69 empleados.

La pr!ctica se ubicar! en el )epartamento de Sistemas de laempresa.

A conti nuacin se muestra en la


17/53

3. LNEA DE INTERVENCIN

3.+ DEFINICIN DE LA LNEA DE INTERVENCIN

La l7nea de inter"encin seleccionada #ue la re#erente a Sistemas de'n#ormacin por&ue de las tres es la &ue mejor describe el objeti "o a cumplir.'mpl7citamente sugiere la aplicacin de controles monitoreo y seguimiento paraser e #icientes y eso es lo &ue busca la Seguridad 'n#orm!tica.

3.3 DIAGNSTICO DEL REA DE INTERVENCIN

La empresa posee dos Sistemas de 'n#ormacin supremamente amplios en loscuales se apoya para lle"ar a cabo su acti"idad principal. -l proyecto deinter"encin no se centrar! en el diagnostico de seguridad in#orm!tica sobreestos sistemas sino a ni"el general con respecto al uso de contraseasmanejo de bacups estandari zacin de procesos para la administracin deKardNare y so#tNare y el control de accesos. -stos son los cuatro puntosneur!lgicos en la organi zacin.

Para el le"antamiento de la i n#ormacin se utilizar! el mUtodo deobser"acin directa y entre"istas a los di#erentes encargados de la parte de

so#tNare y comunicaciones. Para abordar el primer punto &ue se re#iere al usode contraseas se utili zar! e l mUtodo de encuesta y se lle"ar!n a cabopruebas &ue demuestren la "ulnerabilidad de las mismas y la #acilidad paraacceder a los sistemas de in#ormacin y al mismo sistema operati "o.

3.6 E:E DE INTERVENCIN

Por lo anteriormente expuesto se Kace necesario a tra"Us del proyecto deinter"encin diagnosticar de manera c lara la situacin actual de la empresaen Seguridad 'n#orm!tica y #acilitar as7 la correccin de errores en esta !rea a#a"or de la proteccin y seguridad de la in#ormacin.

3.8 :USTIFICACIN DEL E:E DE INTERVENCIN

La idea inicial surgi en primera medida por&ue es un tema bastante ampliomuy interesante y de poca acogida a ni "el regional y en segunda medidapor&ue se logr e"idenciar un gran problema de seguridad en la organizacin"isto desde el


18/53

!rea donde laboro Recursos 2umanos "iendo en "a rias ocasiones amenazadala in#ormacin de esta dependencia por la #alta de organi zacin y de pol7ticasclaras en este sentido.

-s algo no"edoso por&ue la empresa aQn no se Ka preocupado por solucionarsus problemas de seguridad la prioridad inicial para ellos es solucionarproblemas de disponibilidad de los ser"icios ya &ue por admi nistracionesanteriores o por decisiones mal tomadas este tema tom "entaja demanera negati "a. La empresa recibi muy bien la propuesta de esteproyecto por&ue en un tiempo relati "amente corto podr! conocer susituacin en el tema de seguridad in#orm!tica para tomar medidas alrespecto. 4!s &ue no"edoso se Kace necesario y re&uiere pronta inter"encin.

-s tambiUn Qtil por&ue como lo describ7a anteriormente al no ser el tema pri

ncipal en la organizacin se puede #acilitar la perdida de datos o la intrusin porparte de terceros a la in#ormacin. -ste proyecto marcar! las pautas a seguirpara &ue la empresa se proyecte no solo a seguir siendo la m!s producti"asino tambiUn a cuidar de su acti "o m!s preciado: la i n#ormacin.


19/53

6. OB:ETIVOS

6.+ OB:ETIVO GENERAL

Realizar el diagnstico de Seguridad 'n#orm!tica en la empresa Apostar S.A.

6.3 OB:ETIVOS ESPECFICOS

)eterminar la "ulnerabilidad de las contraseas y su uso actual.

)eterminar si las pol7ticas de bac up son claras y si #uncionan de acuerdo alos lineamientos de la organi zacin.

)eterminar si el control de acceso a las aplicaciones es el adecuado.

)eterminar si existe un est!ndar o proceso ordenado para la admi nistracindel KardNare y so#tNare .


20/53

8. REFERENTE CONCEPTUAL

8.+ CONCEPTO DE SEGURIDAD

Re#erirse a seguridad en cual&uier !mbito sugiere un proceso organizado paragaranti zar la integridad de la entidad custodiada. -s en general suscep tiblea riesgos constantes y debe permanecer en super"isada para contrarrestarlosantes de &ue se genere un perjuicio.

-n otras palabras Vla seguridad es el resultado de operaciones realizadas por

personas y soportadas por la tecnologaW.3

Siempre el ser Kumano debeapoyarse en Kerramientas sencillas complejas costosas o no para protegersus bienesproductos o ser"icios.

8.3 SEGURIDAD INFORMTICA

Se de#ine como a disciplina encargada de disear las normasprocedimientos mUtodos y tUcnicas orientadas a pro"eer condiciones seguras ycon#iables para el procesamiento de datos en sistemas i n#orm!ticos.

SegQn 5icente Aceituno %anal la de#i nicin de seguridad in#orm!tica seresume en ci nco aspectos &ue se deben garanti zar. -stos son:

;Conf$en"$%'$%< consiste en dar acceso a la in#ormacin slo a losusuarios autori zados.

Con#ro' e A""e&o&< consiste en controlar el acceso a recursos deusuario autori zados.

D$&,on$7$'$%< consiste en la posibilidad de acceder a la in#ormacin o autilizar un ser"icio siempre &ue lo necesitemos.

No Re,($o< consiste en la imposibilidad de negar la autor7a de un mensajeo in#ormacin del &ue alguien es autor.

6%A(AL Aceituno. Seguridad de la 'n#ormacin. p!g. 3.


21/53

In#e*r$%< consiste en garanti zar &ue una i n#ormacin o mensaje no KansidomanipuladosW.4

-s importante tener en cuenta &ue seguridad no signi#ica restriccin total.Tenercontraseas para todo o negar accesos a diestra y siniestra no garanti zar!nla seguridad por el contrario "an a a#ectar la producti"idad de la organizacin ya &ue los usuarios tendr!n &ue reportar #allas de acceso a sus propiosprogramas o aplicaciones.

'mplantar estos cinco aspectos genera una i n"ersin de tiempo ydinero considerable por lo cual se debe e"aluar inicialmente el tamaode la organi zacin y los recursos disponibles.

Existe una relacin estrecha entre seguridad y calidad. Cuando nuestrasexpectativas se cumplen, consideramos que hay calidad.W Si la in#ormacinpara nosotros es el acti"o intangible m!s importante de la organi zacin ycomo tal la protegemos y logramos &ue no Kaya i ntrusin alguna podemosKablar de calidad.

8.6 HISTORIA DE LA SEGURIDADINFORMTICA

-s relati"amente reciente la aparicin de los conceptos de seguridadin#orm!tica la cual comenz a tomar #orma en la Qltima dUcada desde principios

del siglo en los aos ci ncuenta cuando se extendi el uso de l7neastele#nicas.

V-stos sistemas albergaban #allos &ue eran explotados por intrusos &ueacced7an a los sistemas pudiendo des"iar llamadas a su antojo escucKarcon"ersaciones etc. Los primeros denominados Kacers reconocidos datan delos aos sesenta. -ste tUrmino era utilizado para describir a personasobsesionadas por aprender todo lo posible sobre los sistemas electrnicos.

-n los aos sesenta surge la subcultura Kacer y se extiende el uso del tUrmino pKreaer persona &ue "ulnera la seguridad de los elementos de

comunicaciones. Llamadas gratuitas escucKas ilegales etc. est!n al alcance delos intrusos. Los sistemas manuales para encaminar llamadas tele#nicasoperados por personas Kan sido sustituidos por sistemas autom!ticos operadospor ordenadores. )icKos sistemas basados en su mayor7a en tonosmulti#recuencia permiten nue"os ata&ues: el canal utili zado para comunicarsees el mismo &ue se utiliza para seali zar por lo &ue los i ntrusos una"ez conocidas las #recuencias de seali zacin emiten tonos especiales


22/53

para e"itar la tari#icacin de llamadas realizar des"7os etcW.! -n estadUcada se iniciaron los primeros estudios en

8 0L5AR- / 4ARA1*( PHR-/ AR%;A Seguridad 'n#orm!tica para -mpresas yParticulares p!g. +8.

9 'b7d. p!g. +. 'b7d. p!g. 3, 33.


23/53

seguridad in#orm!tica ya centrada en el !mbito uni "ersitario y militar &uebuscaba proteccin a la in#ormacin as7 como se le daba a la in#raestructura#7sica del organismo.

Los aos ocKenta destacados por la aparicin de 'nternet y la masi#icacin delos ordenadores personales tambiUn #ueron importantes por los desarrollos realizados en materia de seguridad. Aparecieron los primeros programas detectoresde intrusos y de proteccin de la in#ormacin manejados principalmente enempresas grandes uni "ersidades y en la parte mi litar. -stas enti dades sepreocupaban por&ue sus programas realizaran las acti "idades para las &ue#ueron diseados pero siendo "ulnerables no dimensionaban lasconsecuencias &ue podr7an traer las intrusiones o los "irus por ejemplo. Ara7z de esta preocupacin general se inici la aprobacin de leyes &uecastigaran de cual&uier modo la intrusin a cual&uier ordenador o i n#ormacin.

-n +@? se con#irma el primer "irus in#orm!tico creado por Robert 4orris el cualcaus daos importantes en la red ARPA(-T precursora de 'nternet.

-n la dUcada de los no"enta ya e l tUrmi no Kacer pas a ser si nnimode delincuente y ocurrieron "arios ata&ues in#orm!ticos importantes entre ellosel del seor Ge"in 4itnic &uien logr robar m!s de 3,,,, nQmeros de tarjetasde crUdito burlar la seguridad del ' y controlar "arios centros de conmutacintele#nica en los -stados $nidos entre otras cosas cuando #i nalmente#ue capturado en el ao +9.

-n las empresas se empieza a manejar un departamentodedicado exclusi "amente a la Seguridad de la 'n#ormacin para -mpresas yParticulares aparecen los primeros corta#uegos y es la puerta para iniciar eldesarrollo de todas las tUcnicas anti "irus #ireNall antitroyanos etc. conocidosKasta Koy.

V-n su estudio m!s reciente sobre este tema el %-RT in#orma &ue en el ao3,,6 se Kan producido m!s de +,,.,,, incidentes de seguridad y &ue se Ka in#ormado de m!s de 6.,,, "ulnerabilidades. Si se comparan estos datos conlos primeros publicados en +@@ &ue recog7an incidentes y +?+"ulnerabilidades uno se puede dar cuenta de lo mucKo &ue Ka e"olucionadola seguridad in#orm!tica o inseguridad segQn se mire en los Qltimos +9 aos.

Por su parte el estudio sobre seguridad y crimen in#orm!tico del%omputer Security 'nstitute D%S'E arroja datos en los &ue se estiman laspUrdidas de los sistemas analizados en m!s de +8+ millones de dlares porproblemas de seguridad. -sta cantidad impulsa la teor7a de &ue enseguridad in#orm!tica el dinero siempre se gasta: o bien antes en proteger obien posteriormente en recuperar.


24/53

-n el ao 3,,6 mientras &ue tecnolog7as como corta#uegos y anti"irus tieneun despliegue cercano al +,,X la biometr7a los sistemas de pre"encinde intrusiones D'PSE y las in#raestructuras de cla"e pQblica DPG+E est!ntoda"7a por debajo del 9,X. Los sistemas para el ci#rado de datos en tr!nsito

los sistemas de deteccin de intrusiones D')SE y las listas A%L para control deaccesos al sistema de arcKi"os est!n rondando un despliegue en torno al?9X. -stos datos #acilitados por el %S' "islumbran un #uturoprometedor para la seguridadin#orm!tica y un largo camino por recorrerW ."

%omo ya Ka sido e"idenciado la e"olucin de los problemas in#orm!ticos Ka sidorealmente progresi"a y las organizaciones Kan empezado a tomar medi dasal respecto. -xpertos en el tema sugieren di"idir en secciones este procesopara #acilitar su comprensin y posterior inter"encin teniendo en cuenta &uede acuerdo a la Kistoria el problema se #ortaleci con la aparicin yconsolidacin de 'nternet.

onzalo Al"arez 4aran y Pedro Pablo PUrez arc7a en su libro VSeguridad dela 'n#ormacin para -mpresas y ParticularesW di "ide en seis partes estadisciplina:

8.8 GENERALIDADES DE LA SEGURIDAD DE LA INFORMACIN PARAEMPRESAS Y PARTICULARES

#a $eguridad de la %n&ormacin para Empresas y 'articulares es unadisciplina que se ocupa de gestionar el riesgo dentro de los sistemas

in&orm(ticos). * La palabra Riesgo es de#inida segQn la Real Academia de laLengua como la posibilidad de &ue algo #alle.

Es una medida cuantitativa de la importancia de un incidente que esmayor cuanto mayor es su impacto y pro+a+ilidad),.

Los riesgos no se pueden elimi nar en su totalidad pero si puedencontrolarse. Para esto es importante i niciar la planeacin de un procesocompleto de seguridad desde el diagnstico de los riesgos y lo &ue implicaeconmicamente Kablando cada uno de ellos para la organi zacin teniendo

en cuenta &ue no es su#iciente con tener i nstalado el mejor anti "irus osistema de ci#rado se debe proteger el so#tNare el KardNare y la red engeneral contemplando tambiUn los riesgos &ue pueden surgir por parte de l#actor Kumano. -ste es un proceso &ue no termi na y &ue debe estar enconstante e"aluacin y e"olucin.


25/53

? 'b7d. p!g. 3, y 3+@ 'b7d. p!g. 3 %A(AL Aceituno. Op.cit. p!g. 3+.


26/53

Todo usuario o empresa tiene la expectati "a de &ue todo lo &ue KagaestU correcto &ue Kaya garant7a en cuanto a almacenamiento y a laintegridad de la in#ormacin &ue manipula pero Usta a su "ez puede ser blancode #raude ya sea por personas externas o por los mismos usuarios de la organi

zacin.La in#ormacin puede ser manipulada de mucKas maneras y todas ellas sonde#inidas como ata&ues i n#orm!ticos. Puede Kablarse de i nsercinmodi#icacin intercepcin e i nterrupcin de la in#ormacin complementadoscon una #alla pro"ocada de KardNare o so#tNare y en todas ellas el comQndenominador es bene#iciar los intereses de un tercero.

Las Kerramientas de seguridad Kan sido diseadas por expertos pensandosiempre en pre"enir detectar y recuperar y es tarea del admi nistrador desistemas seleccionar la mejor de cada una de ellas para garanti zarla. )ebecontarse con las tres a la "ez dado &ue no tiene sentido solo pre"enir o solodetectar o solo dedicarse a recuperar lo &ue se pierde.

%ada medida de seguridad &ue se tome debe estar totalmentecontextualizada con el #i n de e"itar implantar soluciones &ue no satis#aganesas expectati"as &ue se desean cumplir. -s importante y cla"e tambiUne"aluar su #acilidad de ad&uisicin y manejo costo mantenimiento y operacin.

Analizar si es necesario &ue "aya combinada con un so#tNare o KardNare paragaranti zar los resultados esperados.

Para determi nar un riesgo se puede utili zar la relacin amenaza Y"ulnerabilidad.

Amen%+%< reQne todos los componentes &ue pueden atacar unsistema. Cualquier circunstancia potencial que pueda a&ectar los procesos oexpectativas de la organizacin). -.

V('ner%7$'$%< punto en el &ue un recurso es susceptible de ata&ue. Alrealizar esta relacin podemos cuanti#icar el dao &ue se causar7a si laamenaza cumpliera su objeti "o y ob"iamente ser7a directamente proporcionalal grado de "ulnerabilidad del sistema.

;M%'=%re< todo so#tNare daino para los sistemas englob!ndose dentro del

tUrmino a "irus gusanos y troyanos.

V$r(&< son programas normalmente dainos &ue se aaden a #icKerosejecutables y tiene la propiedad de ir replic!ndose por los sistemas yo #icKerosadyacentes. Los "irus in#orm!ticos pueden causar VmuertesW de sistemas.


27/53

+,'b7d. p!g. 38.


28/53

23

G(&%no&< son piezas de cdigo &ue se replican por la red de #orma autom!tica para lo &ue se "alen de "ulnerabilidades de sistemas o del desconocimientode los usuarios. %omo resultado del proceso de copia masi "o los gusanospueden saturar el ancKo de banda de la red o utili zar todo el espacio de

disco de un sistema por lo &ue los costes de indisponibilidad &ue pro"ocan sonconsiderables.

Tro>%no< son programas &ue poseen puertas traseras y son i n"ocados porlosintrusosW.--

8.9 ANONIMATO Y PRIVACIDAD

-sta parte del estudio de la Seguridad de la 'n#ormacin sugiere &ue elanonimato y la pri "acidad son tUrminos de manejo relati "o sobre todo siestamos en entorno Neb. Todos pensamos &ue al na"egar por 'nternetestamos totalmente libres de &ue alguien se entere de nuestras "isitas rutinaso tr!mites. 'nterpretamos mal el tUrmino anonimato y pensamos &ue gozamosde pri"acidad.

%ual&uier na"egador permite guardar el rastro de todo lo &ue Kacemos en laNeb incluso a tra"Us de la direccin 'P se puede rastrear una persona a tra"Usde las cooies se puede encontrar in#ormacin personal o de contraseas y niKablar del Kistorial &ue permite Kacer seguimiento de las p!gi nas "isitadas.

-ntonces surge la pregunta: ZCuU tan pri "ado y tan annimo es lo &ue

Kacemos[

-xisten mucKas maneras de contrarrestar esta amenaza constante &ue demanera silenciosa tenemos en nuestros computadores personales. -stasconsisten en el manejo de proxies para la na"egacin Neb la proteccincontra cooies el manejo del spyNare y del correo electrnico.

8. CONFIDENCIALIDAD? INTEGRIDAD?DISPONIBILIDAD

%omo ya #ue e"idenciado "arios autores con#irman &ue estos tres pilares son"itales en el tema de seguridad in#orm!tica. Si todos est!n completamentealineados y controlados se puede decir &ue los datos est!n bien custodiados.

-s a&u7 donde se introduce el tUrmi no ci#rado &ue corresponde aaplicar algoritmos de cla"e secreta &ue permiten guardar los datos demucKas aplicaciones accedidas por una contrasea disti nta en una solacontrasea robusta. Los datos no podr!n ser accedidos sin ella as7 tenga el


29/53

24

atacante acceso al disco. -l manejo de contraseas debe ser totalmentecontrolado estable y bien diseado para &ue el Uxito en la con#idencialidad seasegure.

++0L5AR-/ 4ARA1*( PHR-/ AR%;A. Op.cit. p!g. 6 8,.


30/53

-n cuanto a la integridad es importante garanti zar &ue los datos &uemanipulamos o consultamos estUn siempre correctos y sin alteraciones. -simpedir a toda costa &ue personas no autorizadas accedan a i n#ormacin &ueno les compete. Las copias de seguridad de los datos juegan un papel "ital en

este punto dado &ue el KecKo de perder in#ormacin atenta contra laestabilidad de la organizacin. -xisten tUcnicas muy bien respaldadas para tal #in.

La disponibilidad proporciona una garant7a de &ue la in#ormacin siempre ser!accesible sin interrupciones ni #allos a cual&uier Kora. -s una tareasumamente ardua dado &ue el admi nistrador debe estar pendiente de todo loconcerniente a #allos de KardNare sumi nistro de energ7a accidentes naturaleso arti#iciales de "entilacin etc. as7 como de disear planes de contingencia ante posibles incon"enientes. -n este 7tem de igual manera lascopias de seguridad son importantes al momento de tener la necesidad de

restaurar una de ellas por presentarse un episodio de no acceso a un recurso oprograma.

8.? SEGURIDAD EN LAS REDES

Reduce toda la teor7a al tUrmi no %orta#uegos o


31/53

tienen acceso a Ul. Permite reali zar una re"isin mec!nica no cr7tica delmanejo administracin y mantenimiento de la pol7tica de seguridad y susimplicaciones.


32/53

Se especializa en detectar intrusiones con Kerramientas a"anzadas y analizardesde el punto de "ista #orense los ata&ues &ue se lle"en a cabo con el #inde determinar causas lugares y autores con un en#o&ue netamentein"estigati"o para Kallar culpables y aplicar leyes si existen.

Las #uentes consultadas #ueron de gran utilidad para el desarrollo del proyectoporser las m!s actuali zadas y detalladas con respecto al tema. (o manejan eltemade manera global sino &ue di"iden muy bien cada uno de los temas para #acilitarel aprendizaje.


33/53

9. PRESENTACIN Y ANLISIS DE LOS RESULTADOS

%omo anteriormente se anot a tra"Us de la aplicacin de una encuesta deentre"istas personales de experiencias propias y del mUtodo de laobser"acin se anali zaron cuatro puntos neur!lgicos dentro de la organi zacinencontrando lo siguiente:

9.+ VULNERABILIDAD DE LAS CONTRASE0AS

Se dise una encuesta &ue permiti re#lejar la problem!tica actual respecto almanejo de las mismas. Se aplic a una muestra de 3, personas ubicadas enla parte administrati "a de la empresa &uienes son los responsables demanejar in#ormacin netamente con#idencial. La poblacin total es de 9,personas pero se tom una muestra de las 3, &ue m!s acceden al so#tNare conmayor responsabilidad por las #unciones &ue manejan en el so#tNare.

La encuesta #ue est!ndar de preguntas cerradas y de #iltro y la recoleccin de lain#ormacin #ue directa cada persona respondi su cuestionario. Acontinuacin se muestran los resultados de la encuesta.

9.3 TABULACIN Y GRFICAS DE LA INFORMACIN

Pregunta +. Z%u!ntas contraseas maneja actualmente Di ncluya por #a"or las&ue utili za para su trabajo Kabitual y las &ue usa en 'nternetE

Tabla +. %ontraseas &ue manejaactualmente.

Opci Respuestas Porcent

Solo tengo

una 3 15.00%Tengo variaspero siempreutilizo la misma 1 5.00%

Tengo 2 dierentes 2 10.00%

Tengo 3 dierentes ! 30.00%

Tengo 4 o m"s (5) # 40.00%


34/53

$o poseo contraseaspara nada (!) 0 0.00%

r!#ico +. %ontraseas &ue maneja actualmente.

Pregunta 3. ZA &uU tipo de in#ormacin accede con sus contraseas[

Tabla 3. Tipo de i n#ormacin a la &ue accede con las contraseas.

Opci Respuesta Porcent

%a&oral ' 35.00%

ersonal ' 1 5.00%

Todas las anteriores 12 !0.00%

r!#ico 3. Tipo de in#ormacin a la &ue accede con las contraseas.


35/53

Pregunta 6. ZCuU criterios utiliza para crear sus contraseas[.

Tabla 6. %riterios &ue utili za para crear contraseas.


ala&ras amiliares 0 0.00%

*+gitos alusivosa ec,as 1 5.00%

*+gitos ' letras ala vez (3) 10 50.00%

Solo d+gitos (4) 3 15.00%

Solo letras (5) 1 5.00%

$inguna de lasanteriores- la

contrasea meue asignada 5 25.00%

r!#ico 6 %riterios &ue utili za para crear contraseas.


36/53

Pregunta 8. ZOl"ida con #acilidad sus contraseas[

Tabla 8. Ol"ido de las contraseas.


S+ 2 10.00%

$o 1# /0.00%

r!#ico 8. Ol"ido de las contraseas.

Pregunta 9. ZTiene escritas sus contraseas en a lgQn lugar[

Tabla 9. -scritura de contraseas.

Opci Respuest Porcentaj

S+ 2 10.00%

$o 1# /0.00%

r!#ico 9. -scritura de contraseas.


37/53

Pregunta . 'ndi&ue el lugar donde almacena sus contraseas

Tabla . Lugar donde almacena las contraseas.

Opci Respu

es Porcent

n un arc,ivo de tetou&icado enmi computador o memoria

1 5.00%

n un cuaderno o li&retapersonal (2) 1 5.00%

n mi mente (3) / 45.00%

i respuesta anterior ue / 45.00%

r!#ico . Lugar donde almacena las contraseas.

Pregunta ?. Z%ada cu!nto tiempo cambia sus contraseas[

Tabla ?. Tiempo de cambio en las contraseas.


38/53


6ada tres meses 2 10.00%

6ada seis meses 2 10.00%

6ada ao (3) 5 25.00%$unca (4) 11 55.00%

r!#ico ? Tiempo de cambio en las contraseas.


39/53

Pregunta @. ZSus contraseas son asignadas por[

Tabla @. Asignacin de las contraseas.


l *epartamentode Sistemas de la

empresa (1) 10 50.00%

6readas por mi 10 50.00%

r!#ico @. Asignacin de las contraseas.

Pregunta . Z)entro del grupo de contraseas &ue maneja existe alguna &uepor moti"os laborales o personales deba compartir[

Tabla . -xiste alguna contrasea &ue deba compartir


Si7 algunas (1) 12 !0.00%

Si7 todas (2) 1 5.00%

$o las comparto 35.00%

r!#ico -xiste alguna contrasea &ue deba compartir


40/53

Pregunta +,. Z-xiste actualmente alguna pol7tica o procedimiento aseguirimpartido por la empresa para el manejo adecuado de las contraseas[

Tabla +,. Pol7tica o procedimiento a seguir impartido por la empresa parael manejo adecuado de las contraseas.


S+ 5 25.00%

$o 15 5.00%

r!#ico +,. Pol7tica o procedimiento a seguir impartido por la empresa parael manejo adecuado de las contraseas

Pregunta ++. Z%u!ntos caracteres uti liza para crear sus contraseas[

Tabla ++. (Qmero de caracteres para crear las contraseas.

Opci Respuestas Porcentntre 1 ' 3 (1) 2 10.00%

ntre 4 ' ! (2) 5 25.00%

"s de ! (3) 13 !5.00%

r!#ico ++. (Qmero de caracteres para crear las contraseas.


41/53

Pregunta +3. Z-s cuidadoso al digitar su contrasea en compa7a deotras personas &ue se encuentren cerca de usted[

Tabla +3. % uidado al digitar la contrasea en compa7a de otras personas.

Opci Respuest Porcentaj

Si7 algunas veces (1) 10 50.00%

Si7 siempre 10 50.00%

$o me preocupa en lo a&soluto 0 0.00%

r!#ico +3. %uidado al digitar la contrasea en compa7a de otras personas.

Pregunta +6. Acostumbra blo&uear su e&uipo o cerrar su sesin detrabajo mientras no estU usando su computador[

Tabla +6. >lo&ueo de computador o cierre de sesin.


Siempre (1) # 40.00%

8 veces (2) 5 25.00%

$unca (3) 35.00%

r!#ico +6. >lo&ueo de computador o cierre de sesin.


42/53

Pregunta +8. ZSolicita usted el cambio de su contrasea i nmediatamente sisiente &ue Ka sido conocida por alguien[

Tabla +8. Solicitud de cambio de contrasea

Opci Respuestas PorcentS+ 13 !5.00%

$o 35.00%

r!#ico +8. Solicitud de cambio de contrasea

9.6 ANLISIS DE LA INFORMACIN

-l an!lisis de los resultados es el siguiente:

-l 8,X de los encuestados tiene m!s de 8 contraseas las cuales utili zan parael acceso a aplicaciones de la empresa a FindoNs a ser"icios Neb etc.

-l ,X de la i n#ormacin a la &ue se accede es netamente con#idencial.

-l 9,X de los encuestados utili zan d7gitos y letras para crear sus contraseas.


43/53

-l ,X no ol"ida con #acilidad suscontraseas.

-l ,X de los encuestados no escribe sus contraseas en otros lugares.

-stas son memori zadas.-l 99X no cambia nunca suscontraseas.

Al 9,X de los encuestados las contraseas les son asignadas por laempresa.

-l ,X del personal encuestado comparte sus contraseas por moti"oslaborales. -l ?9X del personal encuestado mani#iesta &ue no existen en laempresa pol7ticas claras en cuanto al manejo de las contraseas.

-l 9X utiliza m!s de caracteres para crear suscontraseas.

-l 9,X de los encuestados se cuida de digitar sus contraseas #rente aotras personas.-l 69X de los encuestados nunca blo&uea su e&uipo o cierra su sesin detrabajocuando se "a a ausentar por un determi nado periodo detiempo.

-l 9X solicita cambio de contrasea cuando siente &ue Ka sido expuesta aotras personas.

-n la segunda parte del estudio se utili z la Kerramienta PassNord 4eter&ue permite conocer en porcentaje &uU tan segura es la contrasea &ue seingresa. Tiene en cuenta la extensin los tipos de caracteres utili zados &ueUstos no sean consecuti "os &ue existan s7mbolos etc. Adem!s tiene 8 ni "elesde cali#icacin:

-xcepcional: la seguridad de la contrasea es per#ecta.Su#iciente: puede mejorarse pero es segura.

Ad"ertencia: determi na en &uU aspecto debe mejorarse la contrasea.


44/53

9.8 MANE:O DE PERFILES Con#ro' e A""e&o&

-n este punto se e"idenci por medio de entre"istas personales &ueactualmente el acceso al so#tNare de produccin de la empresaespec7#icamente al mdulo administrati "o no tiene limitacin alguna con

respecto a los di#erentes usuarios.


45/53

%ada usuario adem!s de realizar su labor Kabitua l puede consultarotra in#ormacin &ue nada tiene &ue "er con sus #unciones y &ue mal manejadapuede causarle problemas a la organi zacin. )e igual manera se pudo

determinar &ue los usuarios y contraseas son compartidos por mucKaspersonas y no se controlan los cambios de cargo o los retiros de la empresapara inKabilitar los accesos.


46/53

-n el proyecto de inter"encin presentado no se mani#iesta la posibilidad deinter"enir de manera personal para solucionar los incon"enientes encontradosen el diagnstico general de la seguridad in#orm!tica si no de darlas recomendaciones para mejorar en este aspecto.

-s importante aclarar &ue la aplicacin no posee desde su inter#az de usuariolas #acilidades necesarias para asignar per#iles a los di#erentes usuarios. -stalabor debe solicitarse al personal del )atacenter y all7 al tener acceso total a labase de datos por medio de cdigo se con#igurar7a cada per#il.

9.9 ESTANDARI/ACIN DE PROCESOS PARA LA ADMINISTRACIN DEHARDARE Y SOFTARE

Para Apostar S.A. es de total rele"ancia tener todos sus ser"icios disponibles entodos los puntos de "enta en su Korario laboral por lo tanto se debe asegurar la

calidad al momento de dotar un punto de "enta de los e&uipos de cmputonecesarios para lle"ar a cabo la labor en todo lo re#erente a KardNare ya so#tNare.

)espuUs de realizar algunas entre"istas al personal del !rea de sistemas sepudo e"idenciar &ue no existe un orden a seguir en lo &ue se re#iere a lacon#iguracin de los e&uipos &ue salen a produccin en determi nadomomento. (o Kay


47/53

documentacin al respecto y el proceso depende de la memoria delos encargados lo cual puede #acilitar &ue se ob"ien detalles importantes a lmomento de con#igurar los e&uipos. Si bien es una labor repetiti"a debe ser detotal conocimiento para el personal &ue llegue a la dependencia.

La importancia de esta parte del diagnstico radica en garantizar el#uncionamiento correcto tanto en so#tNare como en KardNare de los e&uipos&ue se en"7an a los puntos de "enta o a una de las dependencias de la organizacin. (o se trata Qnicamente de "alidar los re&uerimientos de KardNare o deso#tNare sino su ejecucin con el #i n de e"itar perder tiempo "alioso y porende ingresos monetarios para la empresa producto de la produccin en lospuntos de "enta. %abe aclarar &ue este punto se re#iere espec7#icamente a lacon#iguracin de cada e&uipo de cmputo y no al control de i n"entario deKardNare y so#tNare.

9. POLTICA DE BAC UP

Actualmente la empresa cuenta con un respaldo slido en la parte de bac upsde las bases de datos pero no existe ninguna con respecto al respaldo de losdocumentos de cada estacin de trabajo de la parte administrati"a dela organi zacin. Si alguno de ellos debe ser #ormateado por problemasde #uncionamiento o peor aQn presenta una #alla en la &ue el e&uipo&ueda inser"ible toda la i n#ormacin se pierde y es el usuario &uien debeempezar a reconstruir cada uno de los arcKi"os perdidos.

Algunos usuarios tienen sus propios mUtodos para conser"ar sus arcKi "os

por iniciati"a propia como pueden ser copias en cd o en usb.

%omo es e"idente no es una pr!ctica segura &ue los usuarios lle"en consigola in#ormacin &ue le pertenece a la empresa y esto puede #acilitar lamanipulacin de la i n#ormacin y la intrusin por parte de terceros.


48/53

. CONCLUSIONES

%on base en estos resultados se concluye losiguiente:

(o existe una pol7tica de seguridad con los li neamientos a seguir para e"itarponer en riesgo la i n#ormacin.

Si bien la cantidad de contraseas &ue a diario se utilizan es considerable no setoman las mejores medidas en cuanto a su seguridad.

Se e"idencia con preocupacin &ue nunca se cambian &ue son dUbi les en

su estructura &ue son compartidas por "arias personas con consentimiento y&ue su estructura no cumple con los re&uerimientos m7nimos de seguridad.

Se concluye tambiUn &ue las personas encuestadas no conocen los riesgos&ue se corren por el manejo inadecuado de las contraseas. -sto ocurrepor&ue la empresa no tiene una pol7tica clara de seguridad en cuanto al manejode las mismas.

(o se asignan per#iles a los di#erentes usuarios para &ue se limite el accesoa in#ormacin rele"ante para la organizacin y &ue no es de necesarioconocimiento para algunos de ellos.

(o Kay una directriz clara en lo &ue respecta a la con#iguracin de KardNarey so#tNare en e&uipos de cmputo nue"os con el #in de garanti zar lacalidad y seguridad en su #uncionamiento al ser lle"ado a un punto de "enta.

(o existen las copias de seguridad para los arcKi "os personales de cada unade las estaciones de trabajo de la parte administrati"a.

La empresa es consciente de toda esta problem!tica y con base en elpresente in#orme iniciar! la planeacin de las acti"idades &ue conlle"en amejorar en este aspecto.


49/53

?. RECOMENDACIONES

)e acuerdo a lo re#lejado en el presente diagnstico se recomienda iniciar demanera urgente la elaboracin de la Pol7tica de Seguridad 'n#orm!ticapara Apostar S.A. sociali zarla y Kacerla cumplir con el #i n de contrarrestar loscuatro puntos neur!lgicos descritos a continuacin:

V('ner%7$'$% > M%ne8o e Con#r%&e%&

Al darle a conocer al personal la pol7tica de seguridad ellos mismos estar!n

en capacidad de modi#icar sus contraseas en #a"or de la seguridadde la in#ormacin. Se recomienda dar una ambientacin pr!ctica de cmoescoger una buena contrasea y como proteger los datos tanto de laorganizacin como los personales.

M%ne8o e Perf$'e&

Se recomienda reali zar un in#orme completo con todo el personal &ue manejala parte administrati"a del so#tNare de produccin de la empresa con el #i nde determinar &ue tipo de acceso re&uiere cada persona y generar usuarios ycla"es para cada uno de ellos. Adem!s se debe incluir en la pol7tica el manejo

&ue se le debe dar a los usuarios &ue se retiran de la empresa o se trasladan decargo.

E%n%r$+%"$3n e ,ro"e&o& ,%r% '% %m$n$r%"$3n e %r=%re >&of#=%re

Se recomienda reali zar una lista de cKe&ueo &ue i ncluya los re&uerimientosde KardNare y so#tNare necesarios para &ue un computador salga a produccina un punto de "enta. -sta lista debe incluir en lo posible la #irma del )irectorde Sistemas &uien garantizar! &ue este dispositi"o brindar! un ser"icio ptimoen el punto de "enta. -ste #ormato a su "ez podr! ser"ir para controlar el

in"entario de KardNare &ue la empresa posea.Po'5#$"% e B%" U,

Se recomienda buscar una Kerramienta libre &ue permita realizar las copias deseguridad sobre los arcKi "os de cada e&uipo de la parte administrati"apara garanti zar su permanencia seguridad e integridad.


50/53


51/53

APNDICE

ENCUESTA

-ncuesta aplicada para determinar la "ulnerabilidad de las contraseas

+. Z%u!ntas contraseas maneja actualmente Di ncluya por #a"or las &ueutiliza para su trabajo Kabitual y las &ue usa en 'nternetE

Solo tengo una contrasea

Tengo "arias pero siempre utili zo la misma para todo Tengo 3 di#erentes Tengo 6 di#erentes Tengo 8 o mas(o poseo contraseas para nada

3. ZA &uU tipo de in#ormacin accede con sus contraseas[

Laboral y con#idencialPersonal y con#idencial Todas las anteriores

6. ZCuU criterios utili za para crear sus contraseas[

Palabras #amiliares) 7gitos alusi"os a #ecKas especiales) 7gitos y letras a la "ezSolo d7gitosSolo letras(i nguna de las anteriores la contrasea me #ue asignada

8. ZOl"ida con #acilidad sus contraseas[

S7(o

9. ZTiene escritas sus contraseas en algQn lugar[

S7


52/53

(o

. Z'ndi&ue el lugar donde almacena sus contraseas-n un arcKi "o de texto ubicado en mi computador o memoria $S>

-n un cuaderno o libreta personal-n mi mente4i respuesta anterior #ue (O

?. Z%ada cuanto tiempo cambia sus contraseas[

%ada tres meses%ada seis meses%ada ano(unca

@. ZSus contraseas son asignadas por[-l )epartamento de Sistemas de la empresa%readas por mi

. Z)entro del grupo de contraseas &ue maneja existe alguna &ue por moti"os laborales o personales deba compartir[

Si algunasSi todas(o las comparto

+,. Z-xiste actualmente alguna pol7tica o procedimiento a seguir impartido porla empresa para el manejo adecuado de las contraseas[

S7(o

++. Z%u!ntos caracteres utili za para crear sus contraseas[

-ntre + y 6-ntre 8 y 4!s de

+3. Z-s cuidadoso al digitar su contrasea en compa7a de otras personas &uese encuentren cerca de usted[

Si algunas "ecesSi siempre(o me preocupa en lo absoluto


53/53

+6. Acostumbra blo&uear su e&uipo o cerrar su sesin de trabajo mientras noestUZusando su computador[

SiempreA "eces(unca

+8. ZSolicita usted el cambio de su contrasea inmediatamente si siente &ueKa sido conocida por alguien[

S7(o

Lista de Chequeo Apostar

Documents

Transcript of Lista de Chequeo Apostar