1. El planteamiento del
problema: Redacción que se hace con base en la tabla de síntomas, causas,
pronóstico y control al pronóstico entregada en el trabajo colaborativo 1.
La
problemática que propongo para la actividad es el Sistema de Información de la
empresa Flores La Conchita de la ciudad de Bojacá, Cundinamarca, el cual
presenta varias fallas que se describirán a continuación; esto incluye el
hardware, el software y los funcionarios que tienen acceso al sistema de
información.
Se tiene fallas en el sistema de información a nivel: de hardware,
software la funcionalidad en el procesamiento, seguridad en la red de internet
e instalaciones que carecen de planes de contingencia, sumado a media
operatividad de los sistemas por falta de capacitación de los operadores.
·
Hardware: el estado de las
unidades de CD/DVD, el estado de los puertos USB, el estado del cableado de la
red LAN y mantenimiento de equipos y servidores.
·
Software: El estado de las
conexiones Wi-fi, contraseñas de usuarios y del administrador del sistema de
información, el estado de sistemas operativos y verificar si existen copias de
seguridad del sistema de información.
·
Sistema: La funcionalidad,
procesamiento, seguridades internas y externas del sistema, entradas, salidas
generadas por el sistema, calidad de los datos de entrada, la configuración del
sistema, la administración del sistema, planes de contingencias.
·
Operatividad del sistema: Los
usuarios que manejan la información, la administración del sistema y el
monitoreo del sistema.
2. Plantear una justificación
que involucre la viabilidad técnica, económica y de recurso humano que hay para
ejecutar el proyecto de investigación.
Esta
investigación busca, identifica y analiza las vulnerabilidades que tiene el
Sistema de Información de la empresa Flores La Conchita, con el propósito de
ofrecer una solución a estas vulnerabilidades, para mantener la disponibilidad,
la integridad y la confidencialidad de la información de la empresa, activo de
gran valor y que no se puede seguir expuesto ya que puede sufrir ciberataques
que causen perdidas de información.
Con
esta investigación (pentesting) a la empresa de Flores La Conchita se espera
documentar todas las vulnerabilidades con el fin de realizar, clasificando
según la tabla de activos que posea la empresa con el fin de especificar los
procesos y procedimientos a seguir para contrarrestar a una eventual pérdida de
los activos de datos, software, equipos y servicios, evitando que la
información vaya a parar en manos equivocadas que perjudiquen la producción y
reputación de la empresa.
Implementar
seguridad de la información según el nivel que deba manejar cada integrante de
la empresas, orientando siempre a la autenticidad del usuario por medio de las cuentas de usuario, para garantizar la
disponibilidad de la información
evitando el uso de otros usuarios en otros equipos de trabajo que no
sean los suyos para evitar la pérdida de
información, por la instalación de spyware, o simplemente la extracción de
información en diversos dispositivos de almacenamiento.
En la infraestructura tecnológica y seguridad en
redes el encargado de las redes debe proporcionar la seguridad en la misma
mediante exploraciones o ataques propios con la finalidad de buscar posibles
brechas de seguridad tanto en la parte de hardware, software y en especial del
recurso humano, aplicando controles y protocolos de seguridad para evitar la
pérdida de información o de datos que puedan ser utilices para realizar ataques
de ingeniería social a la empresa por medio de errores de capa ocho que den el
acceso a los atacantes o piratas informáticos.
Realizar
pruebas de verificación, mantenimiento preventivo y correctivo a cada uno de
los hots de la empresa que estén conectados a la red, con el fin de verificas y
establecer los protocolos y permisos que correspondan según la tabla de activos
de información de la empresa.
Esta
investigación busca identificar y analizar las vulnerabilidades que tiene el
Sistema de Información de la empresa Flores La Conchita y por consiguiente brindar
una solución y mantener la disponibilidad, la integridad y la confidencialidad
de la información sensible de la empresa, activo de gran valor y que no se
puede seguir exponiendo a perdidas.
3. Con base en la problemática
descrita, redactar los Objetivos de la investigación: Un objetivo general y objetivos
específicos.
Objetivo General:
Realizar
un pentesting que permita identificar la posible existencia de brechas de
seguridad que nos conduzcan a las diversas vulnerabilidades conocidas en los
sistemas de información, determinar, el nivel de seguridad y eficiencia de los
controles, procesos, técnicas y métodos que permiten a asegurar la
disponibilidad, integridad y la confidencialidad de la información sensible de
la empresa.
Objetivos Específicos:
·
Reconocer e identificar los
riesgos físicos y cibernéticos a los que está expuestos la información sensible
de la empresa y como cada individuo puede brindar información mediante la ingeniería social a un atacante o
pirata informático.
·
Verificar e identificar cada
una de las vulnerabilidades de hardware y software que componen la red de la
empresa mediante la configuración del IOS y CLI verificando cada conexión según
la configuración realizada por el administrador de la red con el fin de
proponer a la empresa la red más idónea para su operación pensando siempre en
el escalonamiento en la red para cuando la empresa se expanda.
Identificar
los riesgos y realizar el plan de contingencia que permita a la empresa
mantener la disponibilidad, integridad y confidencialidad de la información en
todo momento.
·
Dar los resultados del
pentesting a la empresa detallando los métodos, técnicas y procesos que se
realizaron para encontrar cada una de las vulnerabilidades existentes y cuál es
la mejor solución para la misma, dando tips que permitan la mejora continua de
la seguridad de la empresa.
4. Plantear un Título para la
investigación.
NO
VULNERE EL ACTIVO MÁS IMPORTANTE EN SU EMPRESA: LA INFORMACIÓN.
5. Generar preguntas de
investigación.
·
¿Cómo afecta un sistema de
información vulnerable a una empresa floricultora?
· ¿Qué consecuencias tiene la vulneración
de un sistema informático en la estabilidad económica y laboral de la empresa
Flores La Conchita?
· ¿Tiene una buena propuesta de
soluciones tecnológicas que contrarresten las fallas en el sistema informático?
·
¿Qué se puede hacer para que
la parte humana, es decir el personal encargado, minimice las vulnerabilidades
de la base de datos y en general del sistema de información de la empresa
Flores la Conchita?
· ¿Considera usted que el nivel
de seguridad dentro de su red de comunicaciones informáticas es seguro?
·
¿Perjudica a la empresa la
perdida de información a través de las brechas de seguridad de la red?
· ¿el prestigio y reputación de
la empresa se puede ver afectada por la pérdida de información a causa de la
seguridad física y la infraestructura tecnológica de la empresa?
·
¿Cómo evitar que usted y su
personal sean víctimas de la ingeniería social y ataques de piratas
informáticos?
·
¿La empresa posee un buen plan
de contingencias de todo nivel para la la disponibilidad, integridad y
confidencialidad de la información en todo momento?
6. Describir el glosario o
terminología a utilizar.
· Active directory:
Es un servicio de directorio en una red
distribuida de computadores, Utiliza distintos protocolos, principalmente DNS y
DHCP
· Activos
informáticos: Son aquellos recursos hardware y software, que
posee una empresa. Es decir, todo elemento que compone el proceso completo de
comunicación, partiendo desde la información, el emisor, el medio de
transmisión y receptor.
· Administración
de tecnología: Es un proceso
de planificación, dirección, control,
evaluación y realimentación de los recursos tecnológicos para apoyar los
procesos empresariales y optimizar los indicadores de eficacia, eficiencia y
efectividad plasmados en los planes de acción.
·
Amenaza:
Evento accidental o intencionado que pueda ocasionar algún daño en el sistema
informático, provocando pérdidas materiales, financieras o de otro tipo a la
organización.
·
Ataque
de hombre en el medio: Es un ataque en el que se
adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes
entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha
sido violado.
· Auditoria
de sistemas: Es el control de información, calidad de procesos, seguridad informática,
que son vitales para asegurar la validez y veracidad de la información.
·
Autenticidad
de información: Propiedad fundamental de la información
que puede ser confrontada en cualquier momento de su ciclo de vida contra su
origen real.
·
Backup
(Copia de seguridad): Es una copia de los datos
originales que se realiza con el fin de disponer de un medio para recuperarlos
en caso de su pérdida.
· Cableado
estructurado: Es el conjunto de elementos pasivos, flexible,
genérico e independiente, que sirve para interconectar equipos activos, de
diferentes o igual tecnología permitiendo la integración de los diferentes
sistemas de control, comunicación y manejo de la información, sean estos de
voz, datos, video, así como equipos de conmutación y otros sistemas de
administración.
· Clave
criptográfica: Es una pieza de información que controla
la operación de un algoritmo de criptografía. Esta información es una secuencia
de números o letras mediante la cual, en criptografía, se especifica la
transformación del texto plano en texto cifrado, o viceversa.
· Confidencialidad
de información: Propiedad o requerimiento de la seguridad
que exige que la información sea accedida por cada usuario en base a “lo que debe ver en razón a su área del
negocio”.
· Disponibilidad
de información: Es la garantía de que la información será
accesible a los usuarios a los servicios
de la red según su “perfil” en el momento requerido y sin “degradaciones”.
· DHCP: Es un protocolo cliente-servidor que proporciona
automáticamente una IP y otra información de configuración relacionada por
ejemplo, la puerta de enlace predeterminada y la máscara de subred.
· DNS: Es un
servicio que permite la actualización en tiempo real de la información sobre
nombres de dominio situada en un servidor de nombres. El uso más común que se
le da es permitir la asignación de un nombre de dominio de Internet a un
dispositivo con dirección IP dinámica.
· Dominio:
El conjunto de computadoras conectadas en una red
informática que confían a uno de los equipos de dicha red, la administración de
los usuarios y los privilegios que cada uno de los usuarios tiene en dicha red.
· Encriptación:
Es el proceso para volver ilegible información considera
importante. La información una vez encriptada sólo puede leerse aplicándole una
clave.
· Firewall
(Corta fuego): Es un sistema que permite proteger a una
computadora o una red de computadoras de las intrusiones que provienen de una
tercera red (expresamente de Internet). El firewall es un sistema que permite
filtrar los paquetes de datos que andan por la red.
· FTP: Es un
protocolo de transferencia de archivos entre equipos conectados a una red,
basado en la arquitectura cliente-servidor, de manera que desde un equipo
cliente nos podemos conectar a un servidor para transferir archivos dentro de la
red.
·
Hardware:
Conjunto de elementos físicos o materiales que constituyen
una computadora o un sistema informático.
·
HTTPS:Es el protocolo de seguridad de facto para
los buscadores web.
·
Incidente de seguridad: Es un evento que tenga o pueda tener como resultado
la interrupción de los servicios suministrados por un sistema informático y/o
posibles pérdidas físicas, de activos o financieras.
·
Integridad de información: Garantía que se da a un activo, cuando la
información que lo conforma no ha sido modificada sin autorización.
·
Intercepción: Cuando una parte no autorizada gana acceso
a un activo telemático, puede ser una persona o computador y atenta contra la
privacidad de una persona u organización.
·
Mantenimiento
correctivo: Es el que corrige los defectos observados en
los equipamientos o instalaciones, es la forma más básica de mantenimiento y
consiste en localizar averías o defectos y corregirlos o repararlos.
·
Mantenimiento
preventivo: Es el destinado a la conservación de equipos o
instalaciones mediante la realización de revisión y reparación que garanticen
su buen funcionamiento y fiabilidad.
·
Medida
de seguridad: Es cualquier medio empleado para eliminar o
reducir un riesgo.
·
Phishing:
Métodos utilizado por delincuentes cibernéticos para estafar y obtener
información confidencial de forma fraudulenta como puede ser una contraseña o
información detallada sobre tarjetas de crédito u otra información bancaria de
la víctima.
·
Políticas
de seguridad: Son normas, reglas, procesos, procedimientos y
manuales de documentación que regulan la forma en que una organización
previene, protege y maneja los riesgos de daños sobre la información, los
equipos informáticos y de comunicaciones, el software y las personas
· Protocolos
de seguridad: Son un conjunto de reglas que gobiernan dentro
de la transmisión de datos entre la comunicación de dispositivos para ejercer Una
confidencialidad, integridad, autenticación y el no repudio de la información.
·
Protocolo TCP/IP:
Es un conjunto de protocolos de red en los que se basa Internet y que permiten
la transmisión de datos entre computadoras.
·
Red
inalámbrica: Es la conexión de nodos que se da por medio de
ondas electromagnéticas, sin necesidad de una red cableada o alámbrica. La transmisión
y la recepción se realizan a través de puertos.
·
Riesgo:
Es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad
del sistema informático, causando un determinado impacto en la organización.
·
Seguridad
de red: Son las políticas adoptadas para prevenir y
monitorear el acceso no autorizado, el mal uso, la modificación o la denegación
de una red de computadoras y recursos de acceso de red.
·
Seguridad
de la web: Es una rama de la Seguridad Informática que se
encarga específicamente de la seguridad de sitios web, aplicaciones web y
servicios web.
·
Servidor:
Un servidor
es un equipo informático que forma parte de una red y provee servicios a otros equipos cliente. Se denomina servidor dedicado, aquel que dedica
todos sus recursos a atender solicitudes de los equipos cliente.
·
Sistema
de Información: Es un conjunto de componentes
relacionados que recolectan (o recuperan), procesan, almacenan y distribuyen
información para apoyar la toma de decisiones y el control en una organización.
·
Software:
Conjunto de programas y rutinas que permiten a la
computadora realizar determinadas tareas.
·
Software
licenciado: Es aquel software que es de propiedad privada,
y el usarlo implica la mayoría de veces un pago para poder obtener la licencia
de uso.
·
Vulnerabilidad:
Es cualquier debilidad en el sistema Informático que pueda
permitir a las amenazas causarle daños y producir pérdidas en la organización.
7. Para la tecnología moderna
o de alto impacto describir
¿Qué es?
La
ciencia y la tecnología moderna investigan y descubre principios y leyes; la
técnica aplica esos descubrimientos, creando bienes y productos que benefician
a la sociedad en todo su conjunto.
Esa
inquietud científica y técnica, con sus aplicaciones, seguirá en cuanto el
hombre continúe con su curiosidad.
La
tecnología moderna es todo el conjunto de conocimientos propios de los oficios mecánicos
y artes industriales.
Las
grandes fábricas y empresas modernas, con sus complejos mecanismos y eficientes
procesos industriales que en ella se desarrollan, son el exponente del proceso
tecnológico mediante la investigación e innovación en la aplicación del (IdT)
el internet de todo o el internet de las cosas.
¿Para qué sirve?
En la
actualidad la eficiencias en los procesos de producción y toma de decisiones de
cualquier empresa necesita ser muy precisa, motivo por el cual se han aplicado
diversos métodos para el control de los mismos, y por el cual es el continuo
mejoramiento de la conectividad de
internet con el fin de mejorar a todo nivel los procesos que se manejen por
cada individuo dentro de la organización.
¿Cuáles son las
características principales?
Son
cuatro características así:
·
Persona:
conecta a las personas de maneras más efectivas
·
Datos:
Transforma los datos en información más útil para la toma de decisiones.
· Procesos:
Proporciona la información correcta a la
persona o máquina de forma adecuada en el momento justo.
· Objetivos:
objetivos y dispositivos físicos conectados a Internet y entre sí para
contribuir a una toma de decisiones inteligente.
Ventajas:
|
Desventajas:
|
Acceso a la información
|
Globalización de artículos perjudiciales
(drogas).
|
Mayor democracia
|
Se crea más basura de producto
manufacturado difícil de desechar
|
Acceso al mercado mundial
|
Creación de armas cibernéticas y ataques
físicos que se aplican en otras regiones del mundo.
|
Mejor fluidez del dinero e inversiones
|
Las bacterias y enfermedades pueden
llegar a todo el mundo en pocos días. y otras.
|
Aumento de energías
|
Destrucción y extracción de minerales
preciosos para el diseño y fabricación de artículos (cobalto)
|
Mejor eficiencia en las pruebas forenses
y de peritaje
|
Internacionalización
del crimen, como pandillas, pornografía, mafias y otros.
|
Mayor movimiento de mercaderías al
rededor del mundo
|
Las bacterias y
enfermedades pueden llegar a todo el mundo en pocos días.
|
Mayor salubridad.
|
Mayor control por
parte de los Gobiernos sobre sus ciudadanos.
|
Aumento en la creación de energía.
(Plantas eléctricas)
|
Contaminación.
|
Más probabilidad de hacer justicia, con
pruebas de ADN y otras.
|
Nuevas enfermedades
provocadas por la manipulación genética.
|
¿Cuáles son las aplicaciones o
usos?
En la
actualidad la tecnología moderna está presente en cualquier cosa, desde un
juguete hasta medios de transporte y el hogar, Las tecnologías modernas tienen
aplicaciones en:
Expresión
gráfica: dibujo de planos, perspectivas, acotación, diseño asistido por
ordenador (CAD) y todas las herramientas necesarias para transmitir ideas de
forma gráfica.
Estructuras
y mecanismos: fuerzas, tensiones, momentos, equilibrios estáticos y dinámicos
para comprender primero y diseñar después el funcionamiento de máquinas y
sistemas.
Electricidad,
electromagnetismo y electrónica: Corriente eléctrica, circuitos y sus
elementos, magnitudes, aplicaciones e instalaciones eléctricas, (en montajes y
vivienda). Semiconductores, transistores, diodos, resistencias variables y
circuitos de control electrónico analógicos y digitales.
Tecnologías
de la información: utilización del ordenador como herramienta de trabajo tanto la
redacción de proyectos como elemento de programación y control.
Tecnologías
de la comunicación: teléfono, radio, televisión, transmisiones por cable y por
ondas electromagnéticas, espacio radioeléctrico, satélites, fenómenos que
posibilitan la comunicación a distancia.
Energía
y su transformación: energía y trabajo, fuentes de Energía: renovables y no
renovables, transformación y transporte de la energía.
Control
y robótica: automatismos mecánicos, eléctricos y neumáticos. Sistemas de
control electrónicos. Control por ordenador. Robots: sensores, actuadores y
programación.
Tecnología
y sociedad: Influencia de la tecnología en el desarrollo histórico de las
sociedades, hitos fundamentales.
¿Por qué se puede aplicar en
determinado problema o en ciertos sistemas?
Gracias
a la evolución e innovación de los productos y en la constante curiosidad del
hombre por facilitar su diario vivir, en la actualidad se ven programas o
software diseñado a la medida para dar solución a un problema en particular o
común para las personas.
¿Por qué se considera una tecnología
de punta o moderna?
Tecnología
de punta es, un término utilizado por todos, entendido a plenitud por algunos,
pero que otros asimilan sólo con computadores, elementos electrónicos o
relacionados. Este tema, que tiene tanto qué expresar, se considera una
herramienta útil que mantiene a las empresas vigentes y que contribuye a que
éstas aumenten su rentabilidad a través de la agilización y efectividad en
compras, ventas y, por supuesto, publicidad. La tecnología de punta ha permitido
que el desarrollo de las empresas adquiera una dinámica diferente, que utilicen
lo nuevo para hacer la vida de los clientes más fácil, llevadera y grata.
¿Qué trabajos se han realizado
por diversos investigadores alrededor del tema? (ponencias, artículos
científicos u otros).
A
continuación se dará una lista de artículos científicos que se han dado en diferentes
ámbitos de las ciencias y su relación con la tecnología moderna:
Gutiérrez, F., & Floirán, C. (2002). Las nuevas
tecnologías de la información y las comunicaciones en salud. Educación Médica Superior, 16(2), 128-139. http://scielo.sld.cu/scielo.php?pid=S086421412002000200007&script=sci_arttext&tlng=en
Guerrero Pupo, J. C., Amell Muñoz, I., & Cañedo Andalia,
R. (2004). Tecnología, tecnología médica y tecnología de la salud: algunas
consideraciones básicas. Acimed, 12(4),1-1. http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S1024-94352004000400007
Jover, N. (1999). La ciencia y la tecnología como procesos
sociales. La Habana: FélixVarela.http://s3.amazonaws.com/academia.edu.documents/45185715/CyT_como_procesos_sociales.pdf?
Valdés, P., Valdés, R., Guisasola, J., & Santos, T.
(2002). Implicaciones de las relaciones ciencia-tecnología en la educación
científica. Revista
Iberoamericana de Educación, 28(1).
http://rieoei.org/rie28a04.PDF
Mapa Conceptual sobre la Tecnologia Moderna:
8. Crear una tabla, usando el
decálogo de Bernal, que contenga la planificación o planeación de la solución.
CONCEPTO
|
DESCRIPCION
|
||
Cronología (Cuándo)
|
En la compañía flores la conchita se apreciaron
algunas fallas desde hace aproximadamente 2 meses, lo que permitió que se
empezaran a compartir tales fallas y se comenzó a actuar desde hace un poco más
de 6 semanas en la propuesta de soluciones que permitan contrarrestar las pérdidas
de información de la empresa
|
Es la obtención ordenada de todos los
antecedentes, hechos y elementos que han participado en el fenómeno.
|
|
Axiomas (Quién)
|
Dentro de la compañía motivaron a la realización
de observaciones más a fondo por parte de grupo.
|
Un Axioma es un principio, sentencia y
proposición tan claro que no necesita demostración alguna.
|
|
Método (Cómo)
|
A causa de muchas irregularidades con la información
de la compañía flores la conchita se decidió iniciar con la observación de la
raíz de la problemática desde hace aproximadamente 9 semanas, luego de esto
se descompuso el problema en pequeños partes que constituían el total, acto
seguido se presentó una propuesta por cada uno de los integrantes del grupo
que permitiera controlar el manejo que se le da a la información.
|
La propuesta de Bernal para este caso es que el
investigador establezca de modo ordenado, secuencial y cronológico cómo va a llevar
a cabo su investigación.
|
|
Ontología (Qué)
|
Contribuir con una solución ágil que permita
terminar con las irregularidades que se han estado presentando en cuanto al
manejo de la información dentro de la compañía.
|
Acá se pretende que el investigador cuestione la
esencia de su estudio, el objetivo, el fin último que lo mueve a realizar la
investigación.
|
|
Tecnología (Con qué)
|
Implementación del servicio active directory con
el fin de controlar los inicios de sesión por parte de los usuarios
impidiendo que personal ajeno manipule la información.
|
Realizar cualquier trabajo demanda un
conjunto de conocimientos, herramientas y métodos especiales que se
adecuan mejor a las actividades que realizaremos. Es mejor usar un
metro para medir una pared, que una regla.
|
|
Implementación de servidores ftp con el fin de
permitir el intercambio de información entre usuarios sin la necesidad de
tener habilitados los puertos USB y unidades ópticas que permiten que la información
se extraiga de la compañía.
|
|||
Teleología (para qué)
|
Permitir que la compañía siga avanzando en cuanto
a sus procesos sin estar en riesgo de pérdida o alteración de la información
con la que opera.
|
Esto es un puente entre la ontología (el qué
investigar) y el propósito del mismo.
|
|
Topografía (Dónde)
|
La empresa flores la conchita se encuentra
situada en la población de Bojacá, Cundinamarca, y pues su actividad es la
floricultura y exportación, se piensa implementar la solución sugerida dentro
de las instalaciones de la compañía puesto que es el lugar donde se ha
apreciado el problema.
|
Aquí se pretende que se analice el terreno sobre
el cual se realizará la investigación, tanto el medio propio donde se
presenta el fenómeno en estudio, como la circunscripción de sus alcances,
límites influencias y demás características que encuadran en el
ambiente.
|
|
Ecología (Contra qué)
|
El ambiente es influyente en la problemática
puesto que puede generar afectaciones a nivel eléctrico y por cuestiones climatológicas
interferencias en la señal y transferencia de datos.
|
Hace referencia al ambiente que rodea e influye
en el fenómeno, así como el intercambio de las influencias.
|
|
Etiología (Por qué)
|
Es lo que explicará finalmente el fenómeno, es lo
que contesta la pregunta científica.
|
||
Experiencia (Cuánto)
|
Esto hace a las prácticas, experiencias y
conocimientos del fenómeno. En investigaciones cuantitativas hablaremos de la
casuística.
|
||
No hay comentarios:
Publicar un comentario