PONTIFICIA UNIVERSIDAD CATLICA DEL ECUADOR SEDE IBARRA (PUCE-SI)

ESCUELA DE INGENIERA

INFORME FINAL DEL PROYECTO

METODOLOGA PARA EL ANLISIS INFORMTICO

FORENSE DEL GOBIERNO PROVINCIAL DE IMBABURA

(GPI)
LNEA DE INVESTIGACIN:

I: 4 Investigacin de nuevas tendencias tecnolgicas

PREVIO A LA OBTENCIN DEL TTULO DE MAGISTER EN GERENCIA INFORMTICA

AUTORA: ASESOR:

JCOME ORTEGA ALEXANDRA ELIZABETH DR. MIGUEL NGEL POSSO YPEZ. IBARRA, JULIO DEL 2011

AUTORA

Yo, Alexandra Elizabeth Jcome Ortega, portadora de la cdula 1002011557, declaro bajo juramento que la presente investigacin es de mi total responsabilidad y se ha respetado diferentes fuentes de informacin realizando las citas correspondientes.

__________________________________ Alexandra Elizabeth Jcome Ortega

PRESENTACIN

La transversalidad de las acciones en el quehacer particular y grupal, apunta al uso continuo y asiduo de las nuevas tecnologas de la informacin y comunicacin, que como ha sido demostrado en el paso de la historia, todo invento si no es bien utilizado, se convierte en un factor contrario que permite el suceso de contradicciones e incluso de atrocidades convertidas o definidas como delitos. La informtica no se excluye de esta apreciacin, por ello propongo al lector el siguiente trabajo, que en resumen contiene: En el Captulo I, referente al marco terico, se describe brevemente conceptos sobre seguridad informtica, informtica forense y su importancia en la actualidad. Adems, la relacin de estos conceptos basados en los principios de seguridad informtica y el anlisis forense en sistemas informticos. Su complementariedad se demuestra en los estndares y tcnicas para el anlisis forense, terminando con una breve descripcin del lugar donde se realiz el estudio, esto es, el Data Center del Gobierno Provincial de Imbabura GPI. En el Captulo II, diagnstico situacional del GPI, se analiza los antecedentes de la institucin, relacionados al objeto de estudio informtica forense - , para determinar los objetivos y variables diagnsticas, estudio que permiti definir los principales indicadores, con los cuales se pudo elaborar una matriz de relacin. Al ser limitado fsicamente y en nmero de involucrados directos, en la mecnica operativa la muestra se igual al universo, de quienes se obtuvieron resultados analticos, utilizando entrevistas, observacin directa y documentacin existente en la Direccin de Gestin de TICs del GPI, todos estos insumos sirvieron para establecer el FODA y las estrategias que se debern tomar para apaliar, solucionar y mejorar la seguridad de la informacin. Basada en lo expuesto, procedo a determinar el problema diagnstico. En el Captulo III, anlisis de la situacin jurdica en el Ecuador, se pretende sintetizar lo que se ha legislado en nuestro pas, referente a los delitos informticos, al realizar la investigacin de campo se encontraron pocas fuentes de informacin, que al no ser el objeto en s mismo de la investigacin, se tomaron datos de trabajos realizados, fielmente citadas por sus autores, pero que considero importante plasmarlas en la presente

investigacin. Por lo tanto se hace referencia a la legislacin ecuatoriana sobre delitos informticos, a lo tipificado en el Cdigo Penal vigente y se realiza una alegora de sucesos de delitos informticos en el Ecuador, terminando con una clasificacin, no formal, pero s asumida internacionalmente de los tipos de delitos informticos. En el Captulo IV, niveles de seguridad, se hace hincapi a la importancia que tiene la seguridad informtica en el proceso de un examen forense informtico; luego, de toda una gama de estndares, escogemos los principales para describirlos y definir los mbitos de accin de cada uno de ellos, de tal manera que el perito los tome en cuenta al momento de efectuar una investigacin forense, adems de que se constituyen en herramientas formales que justifican los razonamientos y conclusiones del mismo. Seguidamente se hace referencia a particularidades de las amenazas a la seguridad informtica y comenzamos a identificar las principales amenazas en el GPI, concluyendo con la definicin de los niveles de seguridad a implementar. En el Captulo V, polticas y procedimientos, resalta el hecho de aprender a relacionar la inseguridad con las medidas preventivas y correctivas de los posibles delitos informticos, inclusive se explica la existencia del riesgo post correccin, ya que la ocurrencia de un delito tiene efectos colaterales y posteriores. Se obtienen insumos para elaborar la Matriz de riesgos en el GPI y de definen puntos de control que deben ser tomados en cuenta constantemente tanto en software como en hardware. Todo ello, conlleva a definir una propuesta de polticas y procedimientos a ser implementados en el GPI para prevenir los riesgos ocasionados por la inseguridad informtica. En el Captulo VI, ingeniera del proyecto, es inverosmil que a estas alturas del desarrollo tecnolgico informtico y de comunicaciones, an no se establezca una metodologa general aplicado a procedimientos de informtica forense, por ello en este captulo se analiza algunas propuestas no estandarizadas de modelos, tcnicas y herramientas que comnmente se utilizan como metodologa de investigacin en la informtica forense, algunos como el RFC 3227 son acercamientos estandarizados pero que no completan su cometido y otras que han sido implementadas por otros sectores o inclusive gobiernos. Como herramientas forenses, dada la alta gama de delitos informticos, en el mercado han

aparecido muchas herramientas, algunas de cdigo libre, que se orientan a solucionar problemas especficos, pero no existe una que abarque todo un proceso, en este trabajo se las analiza brevemente e igualmente se las ha aplicado en los servidores del GPI. En el Captulo VII, anlisis de impactos, se presenta un anlisis prospectivo del impacto: acadmico, cientfico, socio cultural y econmico que generara en la provincia y porque no en el pas, el diseo e implementacin de una metodologa para el anlisis informtico forense del GPI. Cabe sealar que del anlisis de la matriz de impactos el resultado fue Medio Positivo. El proyecto culmina con varias conclusiones, fruto de la experiencia en el desarrollo de la metodologa propuesta, as como tambin una serie de recomendaciones en funcin a los estudios realizados, la experiencia adquirida, comentarios y sugerencias de tcnicos en sistemas y jurdicos, con la finalidad de que el lector entienda la importancia, la pertinencia y la vigencia de lo investigado en este proyecto. Las recomendaciones se orientan a proponer al lector continuar con la investigacin y asumir que el diseo y desarrollo de una metodologa para el anlisis informtico forense, induzca a las instituciones pblicas y privadas a implementar niveles de seguridad tanto en la infraestructura tecnolgica como en software que utilizan, a definir polticas entorno informtico, red, equipos, aplicaciones y datos. y procedimientos a ser implementadas en sus instituciones, para proteger y salvaguardar el

DEDICATORIA

A mi esposo, Jorge, intentando expresarle mi amor y gratitud por su apoyo incondicional, su comprensin generosa, su tolerancia infinita a mis anhelos intelectuales. A mis hijos, Kevin y Alexita, razn de mi ser y sentido en la vida, ojal pueda servirles de ejemplo para su superacin en la esperanza que vern un mundo mejor. A mi madre, Olga, que me ha dado la oportunidad de existir y ha forjado en m el deseo de superacin, gracias a su ejemplo y constancia.

Alexandra.

AGRADECIMIENTO

A mi estimado asesor Dr. MIGUEL NGEL POSSO YPEZ y a mis maestros, modelos de valor y sabidura, por su desinteresada y generosa labor de transmisin del saber, su inagotable entusiasmo y sus acertados consejos y sugerencias. Un agradecimiento especial a las Autoridades de la UNIVERSIDAD CATLICA DEL ECUADOR Sede Ibarra, y a todas aquellas personas que me han apoyado incondicionalmente permitindome realizar mis estudios de postgrado. A todos aquellos que han intervenido en mi formacin MUCHAS GRACIAS!

NDICE DE CONTENIDOS Pg. NDICE DE CONTENIDOS ___________________________________________________ 8 NDICE DE GRFICOS _____________________________________________________ 11 NDICE DE TABLAS ______________________________________________________ 12 INTRODUCCIN _________________________________________________________ 14

CAPTULO I
1.1 1.2 1.3
1.3.1

MARCO TERICO

SEGURIDAD INFORMTICA _________________________________________ 15 INFORMTICA FORENSE ____________________________________________ 16 IMPORTANCIA DE LA INFORMTICA FORENSE ______________________ 18
Objetivos de la Informtica Forense ____________________________________________ 18

1.4. 1.5.

PRINCIPIOS DE SEGURIDAD INFORMTICA __________________________ 19 SEGURIDAD FSICA _________________________________________________ 21

1.5.1. Tipos de Desastres _____________________________________________________ 22

1.6 1.7
1.7.1

SEGURIDAD LGICA ________________________________________________ 24 ANLISIS FORENSE EN SISTEMAS INFORMTICOS ___________________ 25

Principio de transferencia de Locard ___________________________________________ 25

1.8
1.8.1 1.8.2 1.8.3

ESTNDARES, TCNICAS Y PROCEDIMIENTOS PARA EL ANLISIS FORENSE __________________________________________________________ 26

Estndares _________________________________________________________________ 26 Tcnicas ____________________________________________________________________ 27 Proceso de Anlisis Forense ___________________________________________________ 27

1.9
1.9.1 1.9.2 1.9.3

GOBIERNO PROVINCIAL DE IMBABURA _____________________________ 29

Estructura orgnica del GPI __________________________________________________ 31 Orgnico Estructural de la Direccin de Tecnologas de la Informacin y Comunicaciones del GPI. ____________________________________________________________________ 32 Evolucin de la Red de Datos y del Software en el GPI. ____________________________ 34

CAPTULO II DIAGNSTICO SITUACIONAL DEL GOBIERNO PROVINCIAL DE IMBABURA

2.1. 2.2. ANTECEDENTES DIAGNSTICOS ____________________________________ 36 OBJETIVOS DIAGNSTICOS _________________________________________ 36 8

2.3. 2.4. 2.5. 2.6.

VARIABLES DIAGNSTICAS _________________________________________ 37 INDICADORES ______________________________________________________ 37 MATRIZ DE RELACIN ______________________________________________ 38 MECNICA OPERATIVA _____________________________________________ 42
Poblacin o Universo _________________________________________________________ 42 Determinacin de la Muestra __________________________________________________ 42 Informacin Primaria ________________________________________________________ 42 Informacin Secundaria ______________________________________________________ 43 Entrevistas. _________________________________________________________________ 43 Observacin ________________________________________________________________ 51 Documentos ________________________________________________________________ 59 Fortalezas __________________________________________________________________ 75 Oportunidades ______________________________________________________________ 75 Debilidades _________________________________________________________________ 76 Amenazas __________________________________________________________________ 76

2.6.1. 2.6.2. 2.6.3. 2.6.4.

2.7.

TABULACIN Y ANLISIS DE LA INFORMACIN _____________________ 43

2.7.1. 2.7.2. 2.7.3.

2.8.

FODA _______________________________________________________________ 75

2.8.1. 2.8.2. 2.8.3. 2.8.4.

2.9.

ESTRATEGIAS FA, FO, DO, DA ________________________________________ 76

2.10. DETERMINACIN DEL PROBLEMA DIAGNSTICO ___________________ 77

CAPTULO III
3.1. 3.2. 3.3. 3.4. 3.5.

ANLISIS DE LA SITUACIN JURDICA EN EL ECUADOR

ANTECEDENTES ____________________________________________________ 79 LEGISLACIN ECUATORIANA SOBRE DELITOS INFORMTICOS ______ 81 CDIGO PENAL DEL ECUADOR ______________________________________ 82 LOS DELITOS INFORMTICOS EN EL ECUADOR ______________________ 83 TIPOS DE DELITOS INFORMTICOS _________________________________ 85

CAPTULO IV
4.1. 4.2.

NIVELES DE SEGURIDAD

SERVICIOS DE SEGURIDAD INFORMTICA ___________________________ 89

Importancia de la Seguridad Informtica _______________________________________ 89 UNE-ISO/IEC 17799 Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin _______________________________________________________________ 92 Poltica de Seguridad _________________________________________________________ 92 UNE 71502 _________________________________________________________________ 93

4.1.1. 4.2.1. 4.2.2. 4.2.3.

GESTIN PARA LA SEGURIDAD DE LA INFORMACIN ________________ 90

4.2.4. 4.2.5.

ISO 27000 __________________________________________________________________ 94 TIA_942 ___________________________________________________________________ 98

4.3. 4.4.

VULNERABILIDAD DE LOS SISTEMAS INFORMTICOS. ______________ 101 AMENAZAS A LA SEGURIDAD INFORMTICA _______________________ 101
Amenazas Lgicas __________________________________________________________ 101 Acceso - Uso - Autorizacin __________________________________________________ 102 Identificacin de las Amenazas _______________________________________________ 102 Tipos de Ataques ___________________________________________________________ 103 Errores de Diseo, Implementacin y Operacin ________________________________ 105 Implementacin de las Tcnicas _______________________________________________ 106 Cmo defenderse de estos Ataques? __________________________________________ 107

4.4.1. 4.4.2. 4.4.3. 4.4.4. 4.4.5. 4.4.6. 4.4.7.

4.5.

NIVELES DE SEGURIDAD A IMPLEMENTAR EN EL GPI. ______________ 107

CAPTULO V
5.1 5.2
5.2.1 5.2.2 5.2.3 5.2.4

POLTICAS Y PROCEDIMIENTOS

DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD ____________ 109 TIPOS DE MEDIDAS DE SEGURIDAD _________________________________ 110
Medidas Fsicas ____________________________________________________________ 110 Medidas Lgicas____________________________________________________________ 111 Medidas Administrativas ____________________________________________________ 111 Medidas Legales ____________________________________________________________ 112

5.3 5.4
5.4.1 5.4.2 5.4.3

RIESGO RESIDUAL _________________________________________________ 112 EVALUACIN Y GESTIN DE RIESGOS ______________________________ 115

Los riesgos considerados en el GPI, se dividen en dos categoras: __________________ 116 Matriz de Riesgos en el GPI __________________________________________________ 117 CONTROLES _____________________________________________________________ 120

5.5

POLTICAS Y PROCEDIMIENTOS A SER IMPLEMENTADAS EN EL GPI 120

CAPTULO VI
6.1.

INGENIERA DEL PROYECTO

MODELOS, TCNICAS Y HERRAMIENTAS TECNOLGICAS UTILIZADAS EN LA METODOLOGA DE INVESTIGACIN EN LA INFORMTICA FORENSE _________________________________________________________ 124
La Evidencia Digital ________________________________________________________ 124 RFC 3227 _________________________________________________________________ 131 Gua de la IOCE____________________________________________________________ 131 Investigacin en la Escena del Crimen Electrnico (Gua DoJ 1) ___________________ 132 Examen Forense de Evidencia Digital __________________________________________ 132

6.1.1.

6.2.

Modelos Conocidos ___________________________________________________ 130

6.2.1. 6.2.2. 6.2.3. 6.2.4.

10

6.2.5.

Computacin Forense - Parte 2: Mejores Prcticas (Gua Hong Kong) ______________ 133

6.3. 6.4.

HERRAMIENTAS FORENSES.________________________________________ 133 METODOLOGA PARA EL ANLISIS FORENSE DEL GPI ______________ 144
CONCEPTUALIZACIN DE LA METODOLOGA ____________________________ 144 Revisiones operativas _______________________________________________________ 144 Metodologa. _______________________________________________________________ 144 Aplicaciones de Herramientas Forenses en el GPI _______________________________ 155

6.4.1. 6.4.2. 6.4.3. 6.4.4.

CAPTULO VII
7.1. 7.2. 7.3. 7.4. 7.5.

ANLISIS DE IMPACTOS

IMPACTO ACADMICO _____________________________________________ 183 IMPACTO CIENTFICO _____________________________________________ 184 IMPACTO SOCIO CULTURAL _____________________________________ 185 IMPACTO ECONMICO ____________________________________________ 186 MATRIZ DE IMPACTOS GENERAL___________________________________ 187

CONCLUSIONES______________________________________________________ 189 RECOMENDACIONES _________________________________________________ 192

BIBLIOGRAFA_______________________________________________________ 195 GLOSARIO ___________________________________________________________ 198 ANEXOS _____________________________________________________________ 203

A 1: Cuestionario para la entrevista de los funcionarios del Departamento de Gestin de Tecnologas de la Informacin y comunicacin del GPI. ___________________ 204 A2: Plan de Trabajo de Grado (Anteproyecto) __________________________________ 206

NDICE DE GRFICOS
Grfico 1: Principio de Transferencia Locard ___________________________________________________ 25 Grfico 2: Mapa Poltico de la Provincia de Imbabura ___________________________________________ 30 Grfico 3: Orgnico Estructural del GPI. ______________________________________________________ 32 Grfico 4: Orgnico Estructural de la Direccin de Tecnologas de la Informacin y Comunicaciones del GPI. ______________________________________________________________________________________ 33 Grfico 5: Cuarto de Telecomunicaciones _____________________________________________________ 53

11

Grfico 6: Patch Panels ___________________________________________________________________ 55 Grfico 7: Cableado Horizontal _____________________________________________________________ 56 Grfico 8: Conexiones de Cables Directos _____________________________________________________ 56 Grfico 9: Equipos de telefona IP obsoletos ___________________________________________________ 58 Grfico 10: Sistema de aire acondicionado domstico. __________________________________________ 59 Grfico 11: Fases de: Planificacin, Implementacin, Seguimiento y mejora continua. _________________ 95 Grfico 12: ISO/IEC 20000 (2011) ___________________________________________________________ 96 Grfico 13: ITIL (IT Infraestaructure Library) ___________________________________________________ 96 Grfico 14: Objetivos de control para tecnologas de la informacin y similares ______________________ 97 Grfico 15: Committe of Sponsoring Organizations of treadway Commission ________________________ 97 Grfico 16: Clasificacin de la Criticidad de los sistemas para distintas reas de actividad ______________ 99 Grfico 17: Detalle de Ataques ____________________________________________________________ 103 Grfico 18: Seguridad Multinivel en el GPI ___________________________________________________ 108 Grfico 19: Gestin del Riesgo en ISO 27005 _________________________________________________ 114 Grfico 20: Tratamiento del Riesgo _________________________________________________________ 115 Grfico 21: Proceso de Administracin del Riesgo _____________________________________________ 115 Grfico 22: Ciclo de Vida de la Administracin de la Evidencia Digital. _____________________________ 129 Grfico 23: Metodologa Forense __________________________________________________________ 132 Grfico 24: Metodologa del Anlisis Forense GPI _____________________________________________ 144 Grfico 25: Fase de Identificacin __________________________________________________________ 145 Grfico 26: Fase de Preservacin. __________________________________________________________ 149 Grfico 27: Fase de Anlisis _______________________________________________________________ 151 Grfico 28: Fase de Identificacin __________________________________________________________ 153

NDICE DE TABLAS
Tabla 1: Datos Principales de la provincia de Imbabura __________________________________________ 29 Tabla 2: Matriz Relacin GPI _______________________________________________________________ 41 Tabla 3: Equipos de control de ingreso y salida de personal ______________________________________ 57 Tabla 4: Diagnstico en Equipos del Cuarto de Comunicaciones ___________________________________ 63 Tabla 5: Lista de Servidores del GPI __________________________________________________________ 64 Tabla 6: Equipos de Red del GPI. ____________________________________________________________ 64 Tabla 7: Aplicaciones Desarrolladas en la Direccin hasta julio del 2010 ____________________________ 67 Tabla 8: Aplicaciones Adquiridas a Terceros ___________________________________________________ 67 Tabla 9: Aplicaciones no concluidas _________________________________________________________ 68 Tabla 10: Estrategias FA, FO, DO, DA ________________________________________________________ 77 Tabla 11: Infracciones informticas. _________________________________________________________ 83 Tabla 12: Fraudes mediante computadoras ___________________________________________________ 86 Tabla 13: Falsificaciones informticas ________________________________________________________ 86 Tabla 14: Daos o modificaciones de programas o datos computarizados ___________________________ 88 Tabla 15: Subsistemas de la Infraestructura de un Data Center ___________________________________ 98 Tabla 16: Requerimientos de un data Center __________________________________________________ 99 Tabla 17: TIER - Mximo tiempo fuera de un Data Center _______________________________________ 100 Tabla 18: Riesgo Categora Proceso de Desarrollo en el GPI _____________________________________ 116 Tabla 19: Riesgo Categora Recurso Humano en el GPI. _________________________________________ 117 Tabla 20: Riesgo Total - Riesgo Residual del GPI_______________________________________________ 119

12

Tabla 21: Detalle fsico y lgico para reconocimiento de la Evidencia ______________________________ 126 Tabla 22: Herramientas Forenses Vs Delitos Informticos _______________________________________ 143 Tabla 23 : Ejemplo de Solicitud Forense. _____________________________________________________ 146 Tabla 24: Ejemplo de formato para receptar Efectos del incidente y Recursos Afectados ______________ 147 Tabla 25: Niveles de Ponderacin __________________________________________________________ 182 Tabla 26: Impacto Acadmico. ____________________________________________________________ 183 Tabla 27: Impacto cientfico. ______________________________________________________________ 184 Tabla 28: Impacto Socio-Cultural___________________________________________________________ 185 Tabla 29: Impacto Econmico._____________________________________________________________ 186 Tabla 30: Matriz de Impactos General. ______________________________________________________ 187

13

INTRODUCCIN Este trabajo surge por la preocupacin que causa la intensificacin de la globalizacin, por el crecimiento vertiginoso y la inconmensurable influencia de la Tecnologa Informtica en todos los estratos sociales y productivos de la sociedad, debido a la facilidad y comodidad de procesar y gestionar la informacin, la misma que en muchos casos son el objetivo malicioso de personas mal intencionadas, que aprovechando las vulnerabilidades que presentan las tecnologas tanto en hardware como en software, son capaces de acciones ilegales. El diagnstico situacional ha confirmado que en el GPI, existen vulnerabilidades tecnolgicas en la gestin de la informacin, debido al poco inters por fortalecer un verdadero Data Center tanto en infraestructura de la red de datos, como en la de software, lo cual se traduce en problemas de seguridad como: robo de informacin confidencial, espionaje institucional, competencia desleal, etc. La propuesta metodolgica que se presenta en este proyecto como parte del intento de dar tratamiento a ste problema sugiere una serie de pasos para originar un espacio de anlisis y estudio hacia una reflexin profunda sobre los hechos y las evidencias que se identifican en el lugar donde se llevaron a cabo las acciones no autorizadas o ilegales. El campo del derecho y la aplicacin de la justicia, por el aparecimiento de desafos y tcnicas de intrusos informticos en varias temticas, llegando desde una simple intromisin hasta verdaderos accesos maliciosos a bases de datos de misin crtica, ha requerido proponer una nueva ciencia que se dedique a realizar el seguimiento postmorten de stos delitos, esto es el campo de la informtica forense.

14

CAPTULO I MARCO TERICO

1.1 SEGURIDAD INFORMTICA Ser lo que soy, no es nada sin seguridad, parafraseaba William Shakespeare (19541916), es uno de los tantos ejemplos que se manifiestan a lo largo de la historia, para demostrar que siempre existi el peligro de la inseguridad y me atrevo a sealar que quizs tambin aquellos conceptos vertidos anteriormente eran ms claros que lo que entendemos actualmente, aunque muchas crisis sociales y sobre todo econmicas le han colocado al mundo en la pista de la bsqueda de mayor seguridad. Se han introducido de a poco acercamientos para considerar a la Seguridad como una ciencia en pleno apogeo, ya que actividades propias del desarrollo moderno as lo han precisado, por ejemplo hablamos de seguridad social, seguridad ciudadana, seguridad alimentaria, seguridad en el trabajo, seguridad en trnsito vehicular, seguridad informtica etc., todas estas disciplinas implican estudios de riesgo, prevencin de crmenes y prdidas, etc. Por lo expuesto, no existe definicin nica que se ajuste a todo el espectro que abarca este concepto, por ser tan complejo y a la vez abstracto. Seguridad Informtica, es el centro de estudio, apareci como consecuencia del desarrollo del flujo de informacin primero por medios electrnicos, luego los digitales y tambin por los hbridos, llegando al punto de formarse verdaderas plataformas masivas, como el internet, por donde viaja todo tipo de informacin, cuyo valor depende de la apreciacin de los diferentes grupos sociales que la utilizan, como aquella de misin crtica que se utiliza ampliamente en bancos, aeropuertos, hospitales entre otros. Segn un informe de la consultora internacional IDC (International Data Corporation) en el 2007, la cantidad de informacin creada estuvo a punto de sobrepasar, por primera vez la capacidad fsica de almacenamiento disponible. El estudio recuerda que, en el 2006, la cantidad de
15

informacin digitalizada fue tres millones de veces mayor que la de todos los libros escritos. En el 2006, la cantidad de informacin digital creada capturada y replicada fue de 161 billones de gigabytes. Esto es ms de lo generado en los cinco mil aos anteriores. Es por esto que cuando se realiza un crimen, en algunas ocasiones la informacin queda almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la informacin en forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, pues se deben utilizar mecanismos diferentes a los tradicionales. Esos nuevos mecanismos han generado la importancia del aparecimiento, estudio y desarrollo de la computacin forense, como una ciencia relativamente nueva. Las propiedades fsicas de los materiales con que se fabrican los componentes computacionales y especialmente los de almacenamiento, permiten que la informacin pueda ser manipulada, inclusive luego de ser eliminada y sobre-escrita varias veces. El delincuente o antisocial relacionado a la informtica, ha encontrado por mtodos innovadores actuar para cometer fechoras que hasta hace poco eran inimaginables. La sociedad informtica global, no quiere asumir en su magnitud esta nueva realidad, por ello la inversin econmica y de generacin de nuevo conocimiento al respecto es an incipiente, esperemos que este srdido y a la vez estruendoso llamado no nos tope desprevenidos ante posibles desastres sociales y econmicos. 1.2 INFORMTICA FORENSE La poca que estamos viviendo, se caracteriza por un fuerte desarrollo de la cultura informtica. En las escuelas, colegios, universidades, centros de formacin, empresas pblicas y privadas, aprenden cmo manejar paquetes informticos (software aplicativo), pero no saben los riesgos que su uso implica ni tampoco la palabra que engloba las acciones que se realizan despus de haberse cometido un delito o infraccin, posiblemente esa relacin que hacen de forense con muerte tengan algo de razn, porque cuando en los medios de comunicacin se habla de forense es cuando ha existido deceso de la vctima, y las posteriores acciones para descubrir al victimario. En el campo informtico, la forensia se orienta a estudiar y definir todas aquellas actividades relacionadas con la

16

recuperacin y anlisis de pruebas para procesos judiciales, cuando de por medio existan indicios o cometimiento de algn delito clasificado como informtico. La informtica Forense por lo tanto, al tratar todos los temas post crimen, post infraccin, post delito, busca por diferentes medios o mtodos encontrar evidencias sean estas electrnica o digitales, que las encuentra generalmente al establecer rastros o guas de diligencias no lcitas, ejecutadas igualmente por procedimientos digitales o electrnicos. La informtica Forense tambin busca prevenir el cometimiento de tales delitos apoyndose en la Seguridad Informtica. La mayora de los delitos comunes, han sido transformados a delitos informticos, por ejemplo falsificacin de documentos, suplantacin de identidad, robos a bancos, resultados de conteos electorales, etc., en este caso la escena del crimen es la plataforma informtica y las armas fsicas y lgicas. En estos casos, la evidencia del crimen es muy frgil y escurridiza por lo que es necesario sofisticados procedimientos para su deteccin y por tanto necesario que el mundo informtico formule una metodologa general, que facilite la aplicacin de la Informtica Forense. De ah la importancia de formar peritos en Informtica Forense, requeridos obligatoriamente por los procedimientos legales, quien aportar con razonamientos y fundamentos cientficos a descubrir y valorar los elementos de prueba. No existe carrera universitaria alguna en el Ecuador, que facilite los conocimientos necesarios tanto en tecnologas de la informacin y en ciencias jurdicas que respalden esta actividad encaminada a encontrar las evidencias que aporten con datos vlidos, desde dispositivos y encontrar datos residuales relacionados. El aparecimiento a diario de nuevas formas de delinquir por medios informticos, ha generado la necesidad de que el Aparato Legal, proponga la existencia de la informtica forense como aliado y colaborador para enfrentar estos nuevos desafos y contrarrestar las tcnicas de los delincuentes informticos, que ayude a garantizar la veracidad en estas investigaciones delictivas. Segn el FBI de Estados Unidos, la informtica (o computacin) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y

17

guardados en un medio computacional, este organismo desde 1984 empez a desarrollar programas para examinar evidencia computacional [1]. Segn Santiago Acurio del Pino, en el Ecuador mediante acuerdo 104-FGE-2008 de la Fiscala General del Estado, se cre el Departamento de Investigacin y Anlisis Forense con la finalidad de ser una ayuda en la investigacin y persecucin de todo lo relacionado con la criminalidad informtica en todos sus aspectos y mbitos [2]. 1.3 IMPORTANCIA DE LA INFORMTICA FORENSE El tratamiento automtico de la Informacin es el motor de desarrollo de toda la actividad humana, pero cuando preguntamos Cul es el valor de su informacin?, muy pocos se atrevern a cuantificarla, sencillamente porque su valor es intangible e inconmensurable, por lo tanto se convierte en un objeto preciado e invaluable, que como cualquier objeto de esta ndole se convierte en estratgico, necesario e irremplazable, por ello su cuidado, confiabilidad e integridad debe estar por sobre todo. La informacin, se convierte en el objeto de control y aseguramiento, pero lamentablemente pese a que a diario las empresas sacan al mercado nuevos productos que garantizan seguridad, la informacin sufre violaciones constantes provocadas por los aparecidos delincuentes informticos, pues no existe la seguridad absoluta. A diario nos enteramos de la perpetracin de algn delito informtico, o de un nuevo tipo de delito informtico, cuyas consecuencias econmicas son desbastadoras, de ah la necesidad de que dado el aumento en su nmero, se realicen acciones agresivas y constantes para prevenirlos y en caso de darse, establecer los procedimientos informticos y legales para que puedan ser procesados con el rigor de la ley. A continuacin se detallan los objetivos de la informtica forense, que demuestran la importancia de la existencia y evolucin de la informtica forense: 1.3.1 Objetivos de la Informtica Forense De acuerdo a Zuccardi la informtica forense tiene 3 objetivos [3]:
18

9 9

La compensacin de los daos causados por los criminales o intrusos. La persecucin y procesamiento judicial de los criminales. La creacin y aplicacin de medidas para prevenir casos similares.

Objetivos que son conseguidos aplicando las diferentes herramientas y procedimientos de la Informtica Forense al recolectar las respectivas evidencias o rastros probatorios para averiguar desde donde se origin el ataque, que determinarn si fue interno o externo, a qu equipos afect, cules fueron los archivos o aplicaciones ms vulnerables. Con el objeto de relacionar con el anlisis forense tradicional, en la ciencia forense tradicional hay varios tipos de evidencias fsicas, que el mismo Zucardi (pg. 6), las define as [3]:
Evidencia transitoria.- Como su nombre indica es temporal por naturaleza, por ejemplo: un olor, la temperatura o unas letras sobre la arena o nieve (un objeto blando o cambiante). Evidencia curso o patrn.- Producidas por contacto, por ejemplo: la trayectoria de una bala, un patrn de rotura de un cristal, patrones de posicionamiento de muebles, etc. Evidencia condicional.- Causadas por una accin o un evento en la escena del crimen, por ejemplo: la localizacin de una evidencia en relacin con el cuerpo, una ventana abierta o cerrada, una radio encendida o apagada, direccin del humo, etc. Evidencia transferida.- Generalmente producidas por contacto entre personas, entre objetos o entre personas y objetos. Aqu descubrimos el concepto de relacin. En la prctica las evidencias transferidas se dividen en dos tipos, conocidas como: Transferencia por rastro: aqu entra la sangre, semen, pelo, etc. Transferencia por huella: huellas de zapato, dactilares, etc.

Adems, en la informtica forense debemos hablar lgicamente de la evidencia digital, que debe ser alcanzada, utilizando mecanismos o software especializado que nos emita reportes con la evidencia necesaria y probatoria. 1.4. PRINCIPIOS DE SEGURIDAD INFORMTICA

19

" Un experto es aquel que sabe cada vez ms sobre menos cosas, hasta que sabe absolutamente
todo sobre nada es la persona que evita los errores pequeos mientras sigue su avance inexorable hacia la gran falacia"

Definicin de Webwer - Corolario de Weinberger (Leyes de Murphy) Con las tres grandes revoluciones de la humanidad: revolucin agrcola, revolucin industrial y la revolucin de la Era de la informacin (Tercera Ola); se ha dado origen a contundentes cambios en el comportamiento de la sociedad y ha generado un nuevo problema, el de la seguridad informtica, que como tal, para las organizaciones ya se lo est aplicando y sobre todo originando su tratamiento. Los actores principales de la generacin, cuidado y control de la informacin particular o grupal, deben comprender exhaustivamente los conceptos modernos de Sistema Informtico, Plataforma Informtica y Seguridad, como se relacionan estos trminos con las aplicaciones que utilizan. Es decir, el nuevo contexto informtico abarca a ms de lo tradicional, la experticia en seguridad, auditora y control, para que su actuacin interdisciplinaria sea efectiva al momento de garantizar seguridad informtica. En Wikipedia, al respecto se escribe: que se entiende por: Seguridad de la informacin, a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, disponibilidad e Integridad de la misma [4]. Es preciso sealar que no debemos confundir los conceptos de seguridad informtica y el de seguridad de la informacin, ya que el primero trata de la seguridad en los medios o dispositivos y el segundo es ms amplio y su tratamiento puede diversificar el origen y hospedaje de la informacin en general. En Wikipedia, referente a la seguridad informtica, se dice que:
Es el rea de la informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta (incluyendo la informacin contenida). Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad informtica comprende software, bases de datos, metadatos, archivos y todo lo que la organizacin valore (activo) y signifique un riesgo si sta

empresas, an no le toman como un serio problema en nuestro medio, pero en otros pases

20

llega a manos de personas inescrupulosas. Este tipo de informacin se conoce como informacin privilegiada o confidencial

[4].

Para comenzar el anlisis de la seguridad Informtica se deber conocer las caractersticas de lo que se pretende proteger, es decir de la informacin. As, definimos: 9 Dato .- Unidad mnima con la que se compone cierta informacin1 9 Informacin.- Es una agregacin de datos que tiene significado especfico ms all de cada uno de stos2, y tendr un sentido particular segn cmo y quin lo procese. Establecer el valor de la informacin es totalmente relativo, pues constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, las aplicaciones y la documentacin. La palabra seguridad nace a partir de la existencia de riesgo, que puede suceder por falta de contingencia, sin embargo, los hechos han demostrado que no existe prevencin absoluta, ya que el riesgo siempre est presente, por ello es importante aplicar el mtodo de divide y vencers para inferir niveles en la seguridad, mismos que sern alcanzados de acuerdo a la aplicacin de ciertas tcnicas que actuarn en cada uno de los niveles de acuerdo al grado o tipo de vulnerabilidad. El objetivo ser, por cierto, alcanzar altos niveles de seguridad en los sistemas informticos, de ah que nos atrevemos a recoger la tan nombrada frmula de que:

Sistema de Seguridad = TECNOLOGA + ORGANIZACIN

1.5. SEGURIDAD FSICA

1 2

CALVO, Rafael Fernndez. Glosario Bsico Ingls-Espaol para usuarios de internet 1994-2000 CALVO, Rafael Fernndez. Glosario Bsico Ingls-Espaol para usuarios de internet 1994-2000 http://www.ati.es/novatica

21

La plataforma fsica de un sistema informtico es el medio a travs del cual viajan las seales que representan a los datos y tambin se corresponden con los dispositivos de almacenamiento donde se alojan temporal o permanentemente estas representaciones. Este componente, debe ser cuidadosamente analizado al momento del diseo del sistema, de tal manera que podamos cubrir o prevenir con seguridad las puertas fsicas que podemos dejar abiertas. Extensivamente los lugares a travs de los cuales pasan estos medios de comunicacin y donde se alojen los equipos deben ser vigilados constantemente y con un diseo de alta seguridad. generar usuarios, etc. La Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial" [5]. Concepto que Huerta lo relaciona con los controles y mecanismos de seguridad dentro y alrededor del Data Center, as como en los controles de acceso y salida: puertas, cmaras, biomtricos, etc. 1.5.1. Tipos de Desastres Es decir, debemos prevenir atacantes que ingresen y puedan sustraer discos, clonar dispositivos, cambiar claves,

Al momento de implementar seguridad, se debe actuar de acuerdo a las circunstancias considerando ubicacin y tipos de equipos, por ello no existe una receta nica para el efecto, es decir podemos caer en el error de sobredimensionarla o de minimizarla. Por tal razn, se recomienda seguir procedimientos generales especificados en normas estandarizadas y no procedimientos particulares. Este tipo de seguridad tomar en cuenta las amenazas internas, externas, humanas, naturales que puedan aprovechar alguna vulnerabilidad reconocida o no, en el Data Center. Segn Huerta [5], las principales amenazas previsibles en la seguridad fsica son: a)
Desastres naturales, incendios accidentales tormentas e inundaciones .

22

Incendios.- Pueden ser causados por diferentes circunstancias: cortocircuitos, incendios deliberados, sobrecalentamiento de equipos, etc. Inundaciones.- Esta es una de las causas de mayores desastres en centros de cmputo. Adems de las causas naturales de inundaciones, puede existir la posibilidad de una inundacin provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Condiciones Climatolgicas.- Si no existe un sistema de control de aire acondicionado, es posible que se recalienten los equipos, producindose daos en los discos y procesadores de los servidores. Seales de Radar.- La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios aos. Los resultados de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana. Instalaciones Elctricas.- Es comn que se produzcan picos en la corriente elctrica o distorsin de seales, que provoquen inestabilidad, o en su defecto si no se cuenta con un buen UPS, los sistemas pueden daarse al fallar la energa elctrica. Ergometra.- El enfoque ergonmico plantea la adaptacin de los mtodos, los objetos, las maquinarias, herramientas e instrumentos o medios y las condiciones de trabajo a la anatoma, la fisiologa y la psicologa del operador. Entre los fines de su aplicacin se encuentra, fundamentalmente, la proteccin de los trabajadores contra problemas tales como el agotamiento, las sobrecargas y el envejecimiento prematuro.

b)

Amenazas ocasionadas por el hombre. Robo.- Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones, de esta manera, roban tiempo de mquina. La informacin importante o confidencial puede ser fcilmente copiada. Muchas empresas invierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin que la que otorgan a una mquina de escribir o una calculadora. El software, es una propiedad muy fcilmente sustrable y las cintas y discos son fcilmente copiados sin dejar ningn rastro.

23

Fraude.-Cada ao, millones de dlares son sustrados de empresas y en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que ms bien pierden en imagen, razn por la cual no se da ninguna publicidad a este tipo de situaciones. Sabotaje.-El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la informacin desaparece, aunque las cintas estn almacenadas en el interior de su funda de proteccin. Una habitacin llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Adems, suciedad, partculas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las lneas de comunicaciones y elctricas pueden ser cortadas, etc.

c)

Disturbios, sabotajes internos y externos deliberados. Control de Acceso El Data Center y lugares aledaos, deben ser de acceso restringido, nicamente para los encargados de la administracin y gestin, es decir tomar en cuenta que tipo de sistema de control de acceso se instalar, puede ser acceso biomtrico, cerraduras de puerta electromagntica, puertas de seguridad reforzadas, circuitos de video, etc., incluidos la capacidad de identificacin. Entre las principales opciones utilizadas tenemos: contratacin de guardias o personal de seguridad, ubicacin adecuada de detectores de metales, instalacin de sistemas biomtricos, de acuerdo a roles de usuario realizar verificacin automtica de firmas (ampliamente utilizada por los bancos), incluso se utiliza animales para los exteriores cuando existen terrenos de por medio y otras variantes de proteccin electrnica. Sin embargo, cada una de estas opciones indistintamente presenta vulnerabilidades.

1.6 SEGURIDAD LGICA El software de por s, es considerado el elemento intangible y complejo del sistema computacional, por ello la utilizacin de software para controlar la seguridad fsica y lgica tambin lo es, y se aplica especficamente en el resguardo de los accesos al software operativo, de desarrollo y aplicativo. En los Data Centers, por lo general se
24

ubican los servidores o la granja de servidores, los equipos de enrutamiento de redes, en los cuales se realiza la configuracin global del sistema, y lo ms importante se guardan los datos, valor intangible invaluable de la empresa. La seguridad lgica se plantea cumplir, al menos, con los siguientes objetivos: Crear un buen plan de definicin de roles de usuario para el acceso a archivos y programas. Definir meticulosamente los roles de usuario para los operadores de los sistemas, de tal manera que con implementacin de mdulos de auditora, se puedan realizar acciones sin necesidad de supervisin. Cerciorar que los usuarios utilicen datos y software correcto en procedimientos correctos. Asegurar que el flujo de informacin sea el correcto en fuente y destino. Establecer niveles de control de flujo en forma orientada a conexin. Crear lneas alternas que posibiliten el trabajo ininterrumpido, tanto en generacin como en transmisin de informacin. 1.7 ANLISIS FORENSE EN SISTEMAS INFORMTICOS Si sucede un delito informtico, es porque se han vulnerado la seguridad y proteccin de datos, luego es cuando acta la informtica forense como una respuesta al anlisis, prevencin y bsqueda de evidencias para sancin legal. Un principio fundamental en la ciencia forense, que se usa continuamente para relacionar un criminal con el crimen que ha cometido, es el Principio de Intercambio o transferencia de Locard, (ver grfico 1), [3].

Grfico 1: Principio de Transferencia Locard Fuente: [3]

1.7.1

Principio de transferencia de Locard

25

Zuccardi, resume este principio as: [3] 1. 2. 3.

El

sospechoso se llevar lejos algn rastro de la escena y de la vctima.

La vctima retendr restos del sospechoso y puede dejar rastros de s mismo en el sospechoso. El sospechoso dejar algn rastro en la escena.

De acuerdo al principio, se establece la relacin entre los participantes del crimen: lugar (escena del crimen), la vctima y el sospechoso, con el examen minucioso de ellos se lograr encontrar la evidencia. La evidencia desde su generacin, puede sufrir alteraciones y transferencias, por ello es importante analizar las relaciones con el fin de no desviar el camino de su bsqueda, ya que pueden transferirse a otra persona, objeto o localizacin. 1.8 ESTNDARES, TCNICAS Y PROCEDIMIENTOS PARA EL ANLISIS FORENSE Se ha sealado que no existe una receta especfica para realizar lo que postula la informtica forense, sin embargo dada su relacin con la seguridad informtica y proteccin de datos, se apoya en estas herramientas para generalizar su accin. Su validez se sustenta en la aplicacin de estndares internacionales, que han sido asumidos como generales y bsicos. 1.8.1 Estndares Se ha destacado lo novel de la ciencia forense, adems los organismos de estandarizacin internacional se toman su tiempo para aprobar y publicar nuevos estndares, por sta razn an no existen estndares aceptados al respecto, pero existen proyectos en desarrollo, como por ejemplo: CP4DF (Cdigo de prcticas para Digital Forensicas).- Es una seleccin se criterios para guiar y asegurar actividades que tienen que ver con el anlisis de evidencia digital, provee recomendaciones y sugiere aspectos legales, policiales y operacionales como requerimientos tcnicos para adquisicin, anlisis y reportes
26

de evidencia, colaboracin con otros grupos de investigacin, gestin de casos, soporte legal, desarrollo de polticas de seguridad para respuestas a incidentes y plan preventivo y de continuidad [6]. Open source computer forensics manual.- Es un conjunto de procedimientos propuestos por Matas Bevilacqua Trabado, traducido en herramientas GPL3, por lo tanto est constantemente en revisin por parte de sus colaboradores, esta herramienta propone el proceso de identificacin, adquisicin, anlisis y presentacin para concluir con un examen forense [7]. Training satandars and knowwledge skills and abilities. - Es un conjunto de reglas emanadas desde la Internacional Organization on Computer Evidence, organismo que pretende consensuar una gua metodolgica con la intervencin de la mayora de pases del mundo. 1.8.2 Tcnicas Al no existir estndares validados legal y mundialmente reconocidos, los investigadores han proliferado con una serie de herramientas que han apuntado a soluciones parciales para el control y adquisicin de evidencias digitales. Todas las herramientas utilizadas en auditora informtica ayudan a la operacin tcnica del descubrimiento de dichas evidencias. Sin embargo, podemos anotar a: Forensics Toolkit, desarrollada por Dan Farmer y Wietse Venema; para Linux se destaca F.I.R.E. Linux (Forensic and Incident Response Environment y Honeynet CD-ROM). En algunos pases se prev la creacin de unidades especializadas en informtica forense dentro de las fuerzas policiales como por ejemplo el Grupo de Delitos Telemticos de la Guardia Civil de Espaa, la National Hi-Tech Crime Unit en Inglaterra, el Laboratorio de Informtica Forense del Departamento de Defensa en Estados Unidos y el Departamento de Investigacin y Anlisis Forense de la Fiscala General del Estado en el Ecuador. 1.8.3 Proceso de Anlisis Forense

GPL: General Public License (GNU)

27

1.8.3.1 Identificacin y Recoleccin En este paso, se pretende que el perito descifre los antecedentes, el estado actual y defina los procedimientos a seguir en la investigacin, le permitir recolectar toda la informacin posible, precisa cuales son los dispositivos afectados o aquellos que estn ligados directa o indirectamente al delito, los roles de esos dispositivos en el sistema computacional, as como tambin los responsables de los equipos y quienes estuvieron utilizndolos ltimamente. Analiza los procedimientos para conservar la integridad de la evidencia de tal manera que no sea manipulada ni cambiada y pueda ser recogida como prueba en los procesos legales pertinentes. Recurrir tambin a la observancia de los cnones legales especializados para proteger las evidencias en las diferentes instancias. 1.8.3.2 Preservacin Dependiendo del caso, es importante el manejo escrupuloso, cuidadoso y delicado de las evidencias encontradas, de tal manera que su manipulacin no pueda afectar la originalidad de la misma, en la mayora de los casos la evidencia se encuentra en medios magnticos, es necesario establecer y aplicar mecanismos y operaciones electrnicas y digitales de alta definicin para sacar copias exactas de la misma, como por ejemplo la utilizacin de bloqueadores de escritura de hardware. Prcticamente es una clonacin de bajo nivel (bit a bit) de la evidencia completa, sin pretender proponer resultados a priori. 1.8.3.3 Anlisis Obtenidas las copias exactas o clones, de las evidencias, sobre ellas se procede a examinar y realizar todo tipo de investigacin, aplicando tcnicas cientficas y analticas, para precisar las particularidades con que aporta la evidencia. Principalmente se determina el tipo de medio, su modelo, marca, y lectura de bits o cadenas de bits, transformando a hexadecimal y a algn lenguaje mnemnico de reconocimiento especial como ensamblador; luego se proceder a recuperar o

28

identificar tipos de archivos, usuarios, roles de usuario, sitios visitados en internet, correos electrnicos, etc. 1.8.3.4 Presentacin En esta etapa, se procede a realizar el informe tcnico especial, justificando la investigacin, mencionando las tcnicas utilizadas pero sin caer en tecnicismos y sobre todo puntualizando los aportes de la evidencia en particular al esclarecimiento del delito, informacin que ser fcilmente manejable por los abogados. 1.9 GOBIERNO PROVINCIAL DE IMBABURA Antes de estudiar la situacin diagnstica del Gobierno Provincial de Imbabura, en lo referente al estado de las TICs en la institucin, es preciso sealar algunos datos bsicos del mbito geogrfico de accin de este organismo, incluidas sus competencias y de acuerdo a ello, la conformacin de la estructura orgnica y funcional del mismo. En la siguiente tabla se resume los principales datos de la Provincia de Imbabura.

Pas: Provincia: Superficie: Ubicacin: Coordenadas: Lmites: Poblacin

Ecuador Imbabura 4.353 Km2, 435.300has. Norte del pas 00 07 y 00 52 latitud norte; 77 48 y 79 12 longitud oeste. Al norte la provincia del Carchi, al sur la provincia de Pichincha, al este la provincia de Sucumbos, y al Oeste la provincia de Esmeraldas. 400.359 habitantes
Tabla 1: Datos Principales de la provincia de Imbabura Fuente: Documentos GPI

A continuacin se muestra el Mapa poltico de la provincia de Imbabura:

29

Grfico 2: Mapa Poltico de la Provincia de Imbabura Fuente: Documentos GPI

CLIMA.- La Provincia de Imbabura posee varios tipos de climas. La temperatura media anual oscila entre 9,9 C (Estacin Metereolgica Iruguincho) y 22,9 C (Estacin Metereolgica Lita). Los rangos de precipitacin media anual varan entre 310,3mm (Estacin Metereolgica Salinas) y 3.598mm (Estacin Metereolgica Lita). RELIEVE.- Es irregular, los rangos de altitud oscilan entre 600msnm, en la parte baja del ro Guayllabamba, y los 4.939 msnm en la cima del volcn Cotacachi. Misin Coordinar, planificar, ejecutar y evaluar el Plan de Desarrollo Provincial Participativo; fortaleciendo la productividad, la vialidad, el manejo adecuado de sus recursos naturales y promoviendo la participacin ciudadana, a fin de mejorar la calidad de vida de sus habitantes. Visin

30

El Gobierno Provincial de Imbabura, se consolida como una Institucin de derecho pblico, autnoma, descentralizada, transparente, eficiente, equitativa, incluyente y solidaria, lder del desarrollo econmico, social y ambiental provincial. Objetivos del GPI Desarrollar procesos de planificacin participativa, articulando planes de los niveles: nacional, regional, provincial, cantonal y parroquial; Construir, mejorar y mantener la infraestructura vial provincial, que promueva el desarrollo econmico y social en la provincia y la regin; Promover el desarrollo y competitividad del sector agropecuario, para generar mayores ingresos y generar empleo; Fomentar las actividades econmicas y productivas de la artesana, industria, servicios y el turismo, conforme a las potencialidades de la provincia; Construir, mejorar y mantener la infraestructura de riego provincial, para mejorar la produccin y productividad agropecuaria; La preservacin de los recursos naturales y el cuidado del ambiente de la Provincia; Manejar adecuadamente los recursos naturales, para una buena gestin ambiental en cuencas y micro cuencas; Disear polticas, planes y programas tendientes a fortalecer la inclusin social, el desarrollo cultural que permitan hacer de Imbabura una provincia equitativa, solidaria e intercultural. Disear e implementar un Modelo de Gestin por Resultados, a fin que el Gobierno Provincial de Imbabura lidere la transformacin provincial, atrayendo las inversiones de la cooperacin nacional e internacional. 1.9.1 Estructura orgnica del GPI La estructura organizacional del Gobierno Provincial de Imbabura, est alineada con su misin y se sustenta en el enfoque de procesos y productos, con el propsito de asegurar su ordenamiento orgnico.

31

ESTRUCTURA ORGNICA DEL GOBIERNO PROVINCIAL DE IMBABURA

CONSEJO DEL GOBIERNO PROVINCIAL DE IMBABURA
COMISIONES ISIONE DEL CONSEJO CONSEJ

PREFECTURA PROVINCIAL PREFECTO/A

VICEPREFECTURA

ORGANOS DE PARTICIPACIN Y CONTROL CIUDADANO

PROCURADURA SNDICA

GESTIN DE COOPERACION INTERNACIONAL

GESTIN DE PLANIFICACIN

GESTIN TCNICA
AUDITORA INTERNA

SECRETARA GENERAL

GESTIN FINANCIERA

GESTIN ADMINISTRATIVA TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

GESTIN DE LTALENTO HUMANO RELACIONES PBLICAS

GESTIN DE INFRAESTRUCTURA FSICA

PLANIFICACIN Y SEGUIMIENTO DE INFRAESTRUCTURA FSICA ESTUDIOS Y DISEOS

GESTIN AMBIENTAL

GESTIN DEL DESARROLLO ECONMICO

DESARROLLO AGROPECUARIO

GESTIN SOCIAL
GESTIN SOCIAL INTEGRAL

BIODIVERSIDAD Y RECURSOS FORESTALES CUENCAS SUBCUENCAS Y MICROCUENCAS HIDROGRFICAS CALIDAD AMBIENTAL

DESARROLLO DE MIPYMES RURALES DESARROLLO ARTESANAL DESARROLLO TURSTICO

EJECUCIN DE INFRAESTRUCTURA FSICA

FISCALIZACIN

EDUCACIN AMBIENTAL

RIEGO Y DRENAJE

Grfico 3: Orgnico Estructural del GPI. Fuente: Documentos GPI

1.9.2

Orgnico Estructural de la Direccin de Tecnologas de la Informacin y Comunicaciones del GPI.

Es a partir de septiembre del 2010, cuando oficialmente se crea la Direccin de Gestin de Tecnologas de la Informacin y Comunicaciones en el GPI. Y se establece que las TICs, en el Gobierno Provincial de Imbabura son el eje fundamental que sirve de base para acelerar y optimizar el proceso de flujo de trabajo, hecho que se manifiesta en la implementacin y desarrollo continuo de herramientas de software y hardware. Por tal razn, apoya directamente a las actividades de todas las competencias establecidas por Ley y adems a la organizacin administrativa interna del GPI. Para cumplir con este objetivo se establece la siguiente estructura:

32

PREFECTURA

DIRECCION DE GESTION DE DIRECCION TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES DIRECCION DIRECCION

Gestin de

servicios
Gestin de

infraestructura
Gestin de

proyectos
Grfico 4: Orgnico Estructural de la Direccin de Tecnologas de la Informacin y Comunicaciones del GPI. Fuente: Documentos GPI

Unidad De Gestin De Proyectos Misin Dirigir la formulacin y seguimiento del Plan Estratgico de Tecnologas de Informacin alineado al Plan Operacional y Estratgico del GPI, as como gestionar los proyectos de Tecnologa de Informacin y apoyar la gestin administrativa del Departamento, y desarrollar, incorporar e implementar sistemas de informacin que requiera el GPI para su ptima operacin, administracin y gestin. Unidad de Gestin de Infraestructura Misin Disear, instalar y optimizar la arquitectura de hardware, software, redes (voz, datos y telefona) y comunicaciones del GPI de manera que permita que los productos y servicios informticos puedan ser brindados en condiciones de alta disponibilidad y confiabilidad utilizando las ventajas que nos brinda la tecnologa.
33

Unidad de Gestin de Servicios Misin Velar por la correcta operatividad de la plataforma tecnolgica del GPI (hardware, software, redes y comunicaciones), protegiendo la informacin tanto de ingreso como de salida; asimismo, el soporte a usuarios de primer nivel y de la certificacin de los productos puestos en operacin y brindar en forma centralizada el soporte tcnico de primer nivel en la solucin de los problemas en equipos, software y servicios de computacin personal que reporten los usuarios internos y externos del GPI. 1.9.3 Evolucin de la Red de Datos y del Software en el GPI.

Aproximadamente diez aos atrs se implement la primera red LAN en las instalaciones del Consejo Provincial de Imbabura, en aquel tiempo la tecnologa de redes y comunicaciones estaba en proceso de desarrollo. En el transcurso del tiempo fueron adquirindose equipos (equipos de red) que suplan necesidades perentorias, sin establecer una proyeccin de normalizacin tecnolgica (ISO, IEEE, EIA/TIA, ITU, etc), por lo cual la red existente se ha convertido en un hbrido de tecnologas que dejaron su vida til aos atrs, pero que sin embargo, con ajustes tcnicos lase parches- se ha logrado mantener una red que funcione, pero que no lo hace de la manera ms ptima, por ello se hace una descripcin detallada de la situacin actual de la red, especificando caractersticas tcnicas de los mismos. Con las nuevas competencias asignadas a los GADs, surgi la necesidad de fortalecer departamentos y de utilizar espacios que no cuentan con la infraestructura fsica necesaria para que el personal realice sus labores, se han realizado pequeos parches o ampliaciones a la infraestructura, con equipos de caractersticas modestas y que no cuentan con la robustez necesaria, ocasionando la prdida de calidad en las transferencia de datos y los constantes problemas como fallas en la red telefnica y en el acceso a servicios como Internet y acceso a aplicaciones.

34

Otro problema ha sido el diseo e implementacin de la infraestructura para el funcionamiento del Data Center (cuarto de mquinas), que en el tiempo no ha contado con el apoyo de las autoridades de turno, traducido en el no contar con los fondos necesarios para la construccin de una rea cerrada y que cuente con equipos de refrigeracin, seguridad y monitoreo que permita el constante y normal funcionamiento de los servidores y equipos activos de la red, como resultado de esto la vida til de los servidores se ha reducido a una media de seis meses despus de lo cual se debe proceder a realizar mantenimiento correctivo y remplazo de partes y recuperacin de informacin (de ser el caso). El directivo y funcionario moderno, debe apropiarse de los cambios y evolucin tecnolgico, las TICs son herramientas que posibilitan mejor productividad, su insercin es un proceso fcil en la curva de aprendizaje, pero complejo en los procesos psicosociales, por lo cual es necesario que en el GPI se inicie con el mismo. Es importante resaltar que, la demanda actual de servicios informticos son completamente convergentes, es decir, es necesario a travs de la misma red enviar datos, imagen, audio y video. De acuerdo a las circunstancias de trabajo actual, es necesario que los objetivos de cada departamento se apeguen al cumplimiento de los objetivos institucionales y que el elemento aglutinador tanto fsica como lgicamente sea las TIC`s. En nuestro caso los procesos y productos que se trabajan en cada departamento, en conformidad a las competencias establecidas en la ley deben tener como punto de encuentro una aplicacin gerencial.

35

CAPTULO II DIAGNSTICO SITUACIONAL DEL GOBIERNO PROVINCIAL DE IMBABURA

2.1. ANTECEDENTES DIAGNSTICOS Debido a que la tecnologa avanza constantemente, la seguridad informtica se ve en la misma necesidad de ir en paralelo con este avance, es as que en el Gobierno Provincial de Imbabura desde octubre del 2010 se comenz una investigacin gracias a la autorizacin y apoyo incondicional del director del Departamento de Gestin de Tecnologas de la informacin y Comunicacin y a los jefes de cada una de las unidades que conforman ste departamento, con el fin de realizar un anlisis de los componentes tecnolgicos e informticos, que ayudan en la correcta gestin de la informacin bajo los parmetros de seguridad Informtica, tomando en cuenta la legislacin de nuestro pas; ya que toda organizacin debe estar a la vanguardia de los procesos de cambio, y sobre todo debe estar consciente de que disponer de informacin continua, confiable y a tiempo, constituye una ventaja fundamental en el mundo globalizado en el que nos desarrollamos, en donde debemos considerar a este fenmeno como un proceso beneficioso, una clave para el desarrollo econmico futuro en el mundo, a la vez que es inevitable e irreversible. 2.2. OBJETIVOS DIAGNSTICOS 2.2.1. Determinar el estado y caractersticas de los componentes tecnolgicos e informticos de las unidades del departamento de Gestin de Tecnologas de la Informacin y Comunicacin. 2.2.2. Analizar los elementos administrativos y filosficos de las unidades del Departamento de Gestin de Tecnologas de la Informacin y Comunicacin.

36

2.3. VARIABLES DIAGNSTICAS 2.3.1. 2.3.2. Informtico Tecnolgico. Administrativo.

2.4. INDICADORES Situacin de la Infraestructura de Red de Datos. Situacin de la Infraestructura de Software. Diagnstico en Equipos en el Cuarto de Comunicaciones. Cableado Estructurado. Cableado Horizontal. Cableado Vertical. Cuartos de Telecomunicaciones. Lista de Servidores. Equipos de Red. Equipos de Control y Seguridad. Espectro Wifi. Certificacin de Punto de Red. Mapa de Cableado. Data Center Topologa Fsica. Red de Internet. Red de Datos Red LAN interna. Topologa Lgica. Situacin actual del Software. Aplicaciones Desarrolladas hasta julio del 2009. Aplicaciones adquiridas a terceros. Desarrollo de aplicaciones no concluidas. Misin del GPI. Visin del GPI.
37

x x x x x x x x x x x x x x x x x x x x x x x x x

Misin de la Direccin de Gestin de Tecnologas de la Informacin y Comunicacin. Misin de la Unidad de Gestin de Proyectos. Misin de la Unidad Gestin Infraestructura. Misin de la Unidad Gestin Servicios. Funciones de la Unidad Gestin de Proyectos. Funciones de la Unidad Gestin Infraestructura. Funciones de la Unidad Gestin Servicios.

x x x x x x

2.5. MATRIZ DE RELACIN (Ver tabla 2).

38

MATRIZ DE RELACIN Indicadores Situacin de la Infraestructura de Red de Entrevista Datos. Tcnicas Fuente Informacin

Objetivos Diagnsticos

Variables

Situacin de la Infraestructura de Software.

Entrevista

Diagnstico en equipos en el cuarto de Observacin comunicaciones. Documental Cableado Estructurado. Cableado Horizontal. Cableado Vertical. Cuartos de Telecomunicaciones. Lista de Servidores. Equipos de Red. Equipos de Control y Seguridad. Observacin Entrevista

Director de Gestin de Tecnologas de la Informacin y Comunicacin. Director de Gestin de Tecnologas de la Informacin y Comunicacin. Equipos Informes de jefes de unidades Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura GPI GPI Jefe de infraestructura
39

Determinar el estado y caractersticas de los componentes tecnolgicos e informticos de las Informtico unidades del departamento Tecnolgico de Gestin de Tecnologas de la Informacin y comunicacin

Observacin Entrevista Observacin Entrevista Observacin Entrevista Documental Documental Observacin Entrevista

Espectro Wifi. Certificacin de Punto de Red. Mapa de Cableado. Data Center Topologa Fsica. Red de Internet. Red de Datos Red LAN interna. Topologa Lgica.

Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura

Determinar el estado y caractersticas de los componentes tecnolgicos e informticos de las Informtico Observacin unidades del departamento Tecnolgico Situacin actual del Software. Entrevista de Gestin de Tecnologas Documental de la Informacin y comunicacin Aplicaciones Desarrolladas hasta julio del Entrevista 2009. Documental

Observacin Entrevista Observacin Entrevista Observacin Entrevista Observacin Entrevista Documental Documental Entrevista Entrevista Documental

Aplicaciones adquiridas a terceros.

Entrevista Documental

Desarrollo de aplicaciones no concluidas.

Entrevista Documental

Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura Jefe de infraestructura Director de Gestin de TICs. Informes Departamentales Director de Gestin de TICs. Informes Departamentales Director de Gestin de TICs. Informes Departamentales. Director de Gestin de TICs. Informes Departamentales
40

Misin del GPI. Visin del GPI. Documental GPI

Documental

GPI

Misin de la Direccin de Gestin de Tecnologas de Documental la Informacin y Comunicacin. Misin de la Unidad de Gestin de Proyectos Misin de la Unidad Gestin Infraestructura. Misin de la Unidad Gestin Servicios. Funciones de la Unidad Gestin de Proyectos. Funciones de la Unidad Gestin Infraestructura. Funciones de la Unidad Gestin Servicios.
Tabla 2: Matriz Relacin GPI

GPI

Documental Documental Documental Documental Documental Documental

GPI GPI GPI GPI GPI GPI

Analizar los elementos administrativos y filosficos de las unidades del Departamento de Administrativo Gestin de Tecnologas de la Informacin y Comunicacin.

41

2.6. MECNICA OPERATIVA 2.6.1. Poblacin o Universo

El universo de la investigacin es el Departamento de Gestin de Tecnologas de la informacin y Comunicacin. 2.6.2. Determinacin de la Muestra

Se realiz un censo, es decir se investig (entrevistas) a todos los elementos del Departamento de Gestin de Tecnologas de la informacin y Comunicacin: x Ing. Jorge Caraguay Procel, Director de Gestin de Tecnologas de la Informacin y Comunicacin. x x x 2.6.3. 2.6.3.1. Ing. Fernando Mio, Jefe de Gestin de Proyectos. Ing. Marcelo Jingo, Jefe de Gestin de Proyectos. Ing. Edgar Martnez, Jefe de Gestin de Servicios. Informacin Primaria Entrevistas Las entrevistas se realizaron a todos los elementos de Departamento de Gestin y Tecnologas de la Informacin y Comunicacin; en el edificio del GPI durante el mes de marzo del 2011. 2.6.3.2. Observacin En el Data Center del GPI, se observ todo lo relacionado a: cableado estructurado, cuarto de telecomunicaciones, servidores, equipos de red, equipos de control y seguridad, red: inalmbrica, internet, datos, LAN interna y adems el software que manejan en la institucin, durante los meses de febrero a abril del 2011.
42

2.6.4. 2.6.4.1.

Informacin Secundaria Documentos Gracias a la colaboracin de los integrantes del Departamento de Gestin de Tecnologas de la informacin y Comunicacin del GPI, se pudo examinar y evaluar informes y reportes detallados los mismos que fueron realizados por los integrantes del departamento.

2.7. TABULACIN Y ANLISIS DE LA INFORMACIN 2.7.1. Entrevistas. Las preguntas se detallan de acuerdo al indicador correspondiente y se presenta un anlisis en concordancia a las respuestas de los funcionarios de departamento de Gestin de la Tecnologas de la Informacin y Comunicacin. a) Indicador: Situacin de la Infraestructura de datos El Departamento de Gestin de Tecnologas de la Informacin y Comunicacin cuenta con infraestructura fsica, diseo e implementacin adecuada y necesaria para que sus funcionarios realicen sus labores? Cuentan con equipos robustos en tecnologa?

Anlisis: Con las nuevas competencias asignadas a los GADs4, surgi la necesidad de fortalecer los departamentos y de utilizar espacios, los mismos que no cuentan con la infraestructura fsica necesaria para que el personal realice sus labores, se han realizado y se continan realizando pequeos parches o ampliaciones a la infraestructura, con equipos de caractersticas modestas y que no cuentan con la robustez necesaria, ocasionando la prdida de calidad en las transferencia de datos y los constantes problemas como fallas en la red telefnica

GADs: Gobiernos Autnomos Descentralizados.

43

y en el acceso a servicios como Internet, correos electrnico y acceso a aplicaciones. Adems, otro problema ha sido el diseo e implementacin de la infraestructura para el funcionamiento del Data Center (cuarto de mquinas), que en el tiempo no ha contado con el apoyo de las autoridades de turno, traducido en el no contar con los fondos necesarios para la construccin de una rea cerrada y que cuente con equipos de refrigeracin, seguridad y monitoreo que permita el constante y normal funcionamiento de los servidores y equipos activos de la red, como resultado de esto la vida til de los servidores se ha reducido a una media de seis meses despus de lo cual se debe proceder a realizar mantenimiento correctivo y remplazo de partes y recuperacin de informacin (de ser el caso). b) Indicador: Situacin de Infraestructura de Software Existe una planificacin informtica? En el GPI se desarrolla el software para fortalecer la integracin de la informacin? Cmo ha sido la gestin de la informacin en el GPI?

Anlisis: Se nota claramente, por faltar documentacin especfica sobre este tema, que en el GPI no ha existido una Planificacin Informtica que sea la gua de un proceso sistmico y gradual del desarrollo tecnolgico del GPI. La Direccin de Gestin de TICs est por presentar un Plan, se lo est elaborando y se plantea la consecucin de objetivos que propicien cambios acordes a los momentos tecnolgicos que vive la sociedad actual, bajo los lineamientos de la organizacin pblica y normas legales conexas, con el objetivo de tener planificaciones y regulaciones que apoyen de manera directa a conseguir: Consolidar la informacin de todos los organismos relacionados con el GPI, de sus direcciones y niveles de apoyo y gestin, con el objeto de que constituya una herramienta de apoyo en la toma de decisiones.

44

Generar, procesar y distribuir la informacin requerida para sustentar la toma de decisiones oportunas, econmicamente factible y consistente para optimizar su gestin. Estructurar e impulsar el nivel de tecnologa del GPI. Tener sistemas de informacin que permita concentrar la informacin que se obtiene de forma manual como la que obtiene automticamente, y que se encuentra dispersa, a fin de que se constituyan herramientas de apoyo que permitan acceder oportunamente a la informacin precisa para elevar el nivel de gestin operativa y de control de los recursos. Tener la informacin que sea consistente, exacta, oportuna, econmicamente factible y relevante sobre cada uno de los niveles de gestin en cada competencia del GPI, adems en los aspectos Administrativo, financiera y contable; de manera que facilite la toma de decisiones acertadas para la acertada gestin del GPI. Aligerar las actividades que realizan los Directivos y el personal, para facilitar toma de decisiones, sus tareas y mejorar su productividad. As como tambin garantizar la integridad de los datos. Procesamiento gil de informacin administrativa y financiera, as como el incorporar nuevos avances tecnolgicos al GPI. Estricto cumplimiento a los organismos de control interno y externo, en lo referente a informacin de productividad, necesaria para justificar el desempeo del GPI.

La gestin de la informacin en el Gobierno Provincial de Imbabura ha sido un tema que no se le ha dado el suficiente apoyo y la continuidad necesaria en los ltimos aos. Tal es as que en los ltimos 10 aos se ha dado 3 intentos por desarrollar los sistemas adecuados para la gestin de la informacin del GPI. Terminando con la adquisicin de software tercerizado que ofrecen subsanar los problemas, pero no es ms que una breve ilusin y su migracin debe hacerse ms temprano que tarde convirtindose en otro gran problema y gasto de recursos econmicos a corto plazo. Resultado final: El tratamiento adecuado de la informacin an es un gran problema.
45

c) Indicador: Cableado Estructurado Se cumple con las normas y estndares de cableado estructurado en el GPI? Conocen cuntos puntos de red tienen en el GPI y si stos funcionan adecuadamente? Anlisis: En el GPI se incumplen con ciertas normas y estndares de cableado estructurado, en el edificio del GPI cuenta con 150 puntos de red fijos, que al no existir la documentacin pertinente, no permite realizar monitoreo ni seguimiento, igualmente se han detectado que el 37 % de los puntos de red han perdido conectividad, es decir no estn cumpliendo con los mnimos estndares de cableado estructurado. Todos los puntos de red estn conectados hasta el cuarto donde se ubican los patch panels. Al no existir documentacin, se infiere de poca utilidad realizar un esquema de la arquitectura fsica actual.

d) Indicador: Cableado Horizontal Qu tipo de cableado horizontal tienen? El cableado horizontal est diseado apropiadamente siguiendo las reglas, normas y estndares? Anlisis: El cableado horizontal del edificio es par trenzado categora 5e, los pisos no cuentan con su respectiva distribucin ni bandejas metlicas de soporte. No existe documentacin acerca de las instalaciones realizadas en aos anteriores. e) Indicador: Cableado Vertical El cableado vertical est diseado apropiadamente siguiendo las reglas, normas y estndares? Anlisis: No existe backbone5 que conecte las diferentes plantas del GPI, el cableado es directo desde el cuarto de equipos hasta cada punto de red. Al no existir cableado

Backbone : Principales conexiones troncales de Internet

46

vertical, no existe cableado vertical redundante, por lo que cada punto de red depende de su propia conexin. f) Indicador: Cuarto de Telecomunicaciones El ambiente del cuarto de telecomunicaciones cuenta con un ambiente fsico apropiado para su buen funcionamiento? Anlisis: No existen cuartos ni gabinetes intermedios apropiados GPI, pero existe un cuarto, cerrado con paneles de vidrio, donde estn instalados los equipos de comunicaciones. g) Indicador: Equipos de Control y Seguridad Qu accesos de seguridad tiene el cuarto de equipos?

Anlisis: Para el acceso al cuarto de equipos, solamente existe una puerta con llave, no existen otros niveles de seguridad digital ni electrnica. h) Indicador: Espectro Wifi Monitorean los canales utilizados y las frecuencias en tiempo real? Conoce Ud. los requerimientos de los usuarios?

Anlisis: No se tiene documentacin sobre los canales utilizados y la frecuencia es la pblica. Tampoco se han realizado monitoreo de uso de canales en tiempo real, por lo cual no se tiene un resultado de potencias captadas, por lo que no se puede definir si los canales wireless estn llegando con sus seales ptimas que deberan estar en un rango entre -70 dBm a -120dBm. Son varios los requerimientos por parte de los usuarios, los mismos que se detalla a continuacin: Adicin de Puntos de red.- Es necesario estudiar los requerimientos de cada uno de los departamentos, para determinar la factibilidad de la adicin o modificacin de puntos de red.

47

Permisos de descarga.- Es necesario conocer los requerimientos de los usuarios para as determinar las polticas y estrategias para permisos de acceso a la red en general. Acceso a las Aplicaciones.- Se debe conocer las necesidades de acceso de los usuarios, a las aplicaciones que cada uno precise. Mejora en la velocidad de acceso a Internet.- el acceso a la red de internet se torna deficiente causando inconvenientes al trabajar con ella, en vista de que no se aplican polticas de autorizacin y asignacin de ancho de banda. Equipos de telefona IP obsoletos.- Los equipos de telefona IP han cumplido con su vida til, es notorio su deterioro, lo cual incide en su rendimiento y generacin de ruido para la red. Expectativa por nuevas aplicaciones.- en el mbito de gestin se precisa de nuevas aplicaciones, que por lo general trabajen sobre la red y sobre la WEB. (sistema de Gestin Institucional, sistema de informacin territorial, SIG en general, workflow, control scorecard, etc). Acceso a videoconferencias.- No existe una adecuada infraestructura para videoconferencia, utilidad que es comn para todas las reas. Mantenimiento preventivo y antivirus actualizados.- Es necesario que sea permanente los mantenimientos preventivos y contar con software antivirus actualizado.

i) Indicador: Certificacin de Puntos de Red Los puntos de red cuentan con una certificacin en base a las normas y estndares internacionales? Anlisis: No se ha podido realizar la certificacin de los puntos de red, pero sin embargo se han realizado pruebas de software con testeadores manuales, detectando entre otras: Prdida de conectividad, Atenuacin a la relacin de Crosstalk (ACR). Prdida de paradiafona (NEXT).
48

Prdida de retorno. Retraso de propagacin.

j) Indicador: Mapa de cableado Cuentan con un mapa de cableado?

Anlisis: Se puede concluir que no se cumple en su totalidad con los parmetros de certificacin de un cableado estructurado segn la norma ANSI/TIA/EIA/568-B. El mapa de cableado puede fallar. k) Indicador: Data Center Defina las caractersticas del Data Center del GPI?

Anlisis: No existe un data center que cumpla las normas tcnicas, en su lugar se ha asignado un espacio donde se han ubicado los servidores y dos rack. No se puede establecer si es que se tiene una instalacin de puesta a tierra para proteccin de los equipos del Data Center (en vista de que el edificio es antiguo y perteneca a una entidad financiera por lo que su estructura es de difcil acceso). Existe tambin un UPS de 1 kVA que alimenta a los equipos de conmutacin y servidores del Data Center en caso de fallas en la energa elctrica solo permite el funcionamiento por 10 minutos y no soporta la carga instalada y menos soportar la proyectada. l) Indicador: Red de Datos La red de datos est instalada de acuerdo a las normas y estndares internacionales? Anlisis: La Red de Datos no se encuentra instalada de acuerdo a normas y estndares. m) Indicador: Red LAN interna Conoce Ud. hace que tiempo se implement la primera red LAN en el GPI?
49

A qu estructura corresponde la red LAN?

Anlisis: Aproximadamente diez aos atrs se implement la primera red LAN en el local del Consejo Provincial de Imbabura, en aquel entonces la tecnologa de redes y comunicaciones estaba en proceso de desarrollo, los estndares respondan a realidades diferentes a las actuales, por ejemplo en aquel tiempo, bastaba con transmitir datos a travs de la red; la voz y el video se transmita utilizando otros medios distintos, por lo cual se precisaba instalar otros medios fsicos de transmisin. Su estructura se corresponde a una Lan bsica, donde se interconectan en cascada todos los switchs, y la red funciona sin subneting, aprovechando nicamente la proxificacin Ethernet del servidor de red y del servidor de voz. n) Indicador: Situacin actual del Software Cmo se podra mejorar la situacin actual del software en el GPI?

Anlisis: El directivo y funcionario moderno, debe apropiarse de los cambios y evolucin tecnolgico, las TICs son herramientas que posibilitan mejor productividad, su insercin es un proceso fcil en la curva de aprendizaje, pero complejo en los procesos psicosociales, por lo cual es necesario que en el GPI se inicie con el mismo.

Es importante resaltar que, la demanda actual de servicios informticos es completamente convergente, es decir, es necesario a travs de la misma red enviar datos, imagen, audio y video. De acuerdo a las circunstancias de trabajo actual, es necesario que los objetivos de cada departamento se apeguen al cumplimiento de los objetivos institucionales y que el elemento aglutinador tanto fsica como lgicamente sea las TIC`s. En nuestro caso los procesos y productos que se trabajan en cada departamento, en conformidad a las competencias establecidas en la ley deben tener como punto de encuentro una aplicacin gerencial.

50

o) Indicador: Aplicaciones desarrolladas hasta julio del 2009 Qu porcentaje de aplicaciones desarrolladas hasta julio del 2009, presentan un nivel de integracin con el resto de software? Cmo trabajan stas aplicaciones?

Anlisis: Hasta el ao 2009 se han desarrollado 31 programas informticos El 100% de las aplicaciones desarrolladas necesitan ser migradas y rediseadas para que se ajusten a las nuevas competencias y las nuevas polticas de desarrollo de software de la Direccin de TICs. El 95% de las aplicaciones no estn debidamente documentadas. El 60% de las aplicaciones anteriormente desarrolladas trabaja en forma independiente sin una verdadera integracin de la informacin. En sntesis no cumplen satisfactoriamente los fines para lo cual fueron desarrolladas stas aplicaciones, no cuentan con manuales tcnicos para su mejora, ni de usuario para un manejo adecuado de las mismas. p) Indicador: Aplicaciones adquiridas a terceros Para qu actividades del GPI han contratado aplicaciones a terceros?

Anlisis: Se han contratado aplicaciones para el sistema administrativofinanciero, sistema financiero integrado y el de Posicionamiento geogrfico de vehculos

q) Indicador: Desarrollo de aplicaciones no concluidas Para qu actividades del GPI estn desarrollando aplicaciones y todava no estn concluidas? Anlisis: Para: la gestin de equipo caminero y proyectos viales, gestin de vehculos y talleres y la gestin del talento humano.

2.7.2. Observacin

51

a) Indicador: Diagnstico de equipos en el cuarto de comunicaciones Anlisis: En el cuarto de comunicaciones se observ: Equipos de escritorio que se utilizaban como servidores, cuya arquitectura no est diseada para ese funcionamiento. Equipos descontinuados, para los cuales ya no existes repuestos. La falta de equipos para realizar backups. El nmero de puertos no satisfacen las necesidades de la red institucional. Switchs linksys de 48 puertos, descontinuados. Algunos switchs en buen estado. Aire acondicionado domstico. 1 UPS que no abastece a los equipos con que cuenta la institucin. 3 equipos de control dactilar, que no estn conectados a la red. Telfonos IP que ya presentan un desgaste avanzado.

Por lo que se puede deducir que existen problemas de conectividad, tienen alto riesgo de prdida de informacin, reducido control de acceso al Data Center, seguridad escasa en las aplicaciones.

52

Grfico 5: Cuarto de Telecomunicaciones

b) Indicador: Cableado Estructurado Anlisis: Durante el levantamiento de informacin se especifican a continuacin: x En el cuarto de comunicaciones se ha detectado que las instalaciones de luminarias y cables de energa elctrica no cumplen con las normas de cableado estructurado ANSI/EIA/TIA 569. x Los requisitos mnimos para separacin entre circuitos de alimentacin (120/240V, 20 A) y cables de telecomunicacin prev: Los cables de telecomunicaciones se deben separar fsicamente de los conductores de energa; cuando pasan por la misma canaleta deben estar separados por barreras entre el cableado lgico y el elctrico; incluso dentro de cajas o compartimentos de tomas, debe haber separacin fsica total entre los cableados.
53

observ y detect el

incumplimiento de ciertas normas y estndares de cableado estructurado las cuales se

Para reducir el acoplamiento de ruido producido por cables elctricos, fuentes de frecuencia de radio, motores y generadores de gran porte, calentadores por induccin y mquinas de soldadura, se deben considerar las siguientes precauciones: aumento de la separacin fsica; los conductores lnea, neutro y tierra de la instalacin deben mantenerse juntos (trenzados, sujetos con cinta o atados juntos) para minimizar el acoplamiento inductivo en el cableado de telecomunicaciones; uso de protectores contra irrupcin en las instalaciones elctricas para limitar la propagacin de descargas; uso de canaletas o conductos metlicos, totalmente cerrados y puestos a tierra, o uso de cableado instalado prximo a superficies metlicas puestas a tierra; stas son medidas que irn a limitar el acoplamiento de ruido inductivo. La norma ANSI/EIA/TIA 568 B establece que no deben existir empalmes a lo largo del cableado horizontal, lo que no se cumple en algunos casos ya que no se ha dimensionado correctamente la extensin de los cables y se encuentran colocados jacks flotantes y patch cords para reflejarse en el patch panel. Segn los criterios de cableado estructurado:

No debe existir cielos falsos en los cuartos de telecomunicaciones para evitar problemas de seguridad fsica. Las entradas al cuarto de telecomunicaciones del GPI tiene cielos falsos sin las debidas protecciones. Los cuartos de telecomunicaciones deben estar libres de cualquier amenaza de inundacin. No debe haber tubera de agua pasando por (sobre o alrededor) el cuarto de telecomunicaciones. De haber riesgo de ingreso de agua, se debe proporcionar drenaje de piso. De haber regaderas contra incendio, se debe instalar una canoa para drenar un goteo potencial de las regaderas. Los puntos de red que se encontraron sin etiqueta no cumplen con lo que especifica la norma ANSI/EIA/TIA 606, la cual propone el uso de Etiquetas nicas e individuales, con la finalidad de identificar los diferentes elementos que forman parte del equipo de telecomunicaciones, el cableado, las rutas y espacios del

54

edificio; para ello dichas etiquetas deben estar firmemente sujetas a los elementos que se desean identificar, o de lo contrario cada uno de los elementos debe ser marcado directamente sobre su superficie. Se puede concluir que no existe una correcta administracin ni gestin de los puntos de red, como se puede apreciar en el siguiente grfico:

Grfico 6: Patch Panels

c) Indicador: Cableado Horizontal Anlisis: Las bandejas metlicas que se encuentran instaladas en los cuartos de telecomunicaciones no solamente soportan los cables de datos, sino, que adems conducen los cables de energa elctrica, pudiendo causar problemas de interferencia electromagntica en los cables de datos. Los cables que van desde el rack hasta las bandejas de techo horizontal no se encuentran instalados con las debidas precauciones, como se puede apreciar en el siguiente grfico.

55

Grfico 7: Cableado Horizontal

En algunos departamentos existen canaletas y cables instalados de forma no apropiada en techos falsos, pisos y paredes. Debido al crecimiento de usuarios dentro de la red se han realizado conexiones con cables directos hacia el switch del cuarto de telecomunicaciones sin llegar a patch panel y sin usar canaletas como se puede apreciar en el siguiente grfico.

Grfico 8: Conexiones de Cables Directos

Existen 30% de puntos de red que tienen daos fsicos como jacks sueltos, sin face plate, cajetines sueltos y cajetines rotos. Puntos de red no tienen etiqueta, lo cual dificulta su ubicacin dentro del edificio. d) Indicador: Cableado vertical Anlisis: No se existe cableado vertical. e) Indicador: Cuartos de telecomunicaciones
56

Anlisis: Se observ en el cuarto de comunicaciones: dos raks de 48 UR, en el uno se han instalado los servidores y en el otro los switch`s correspondientes con patch panels de datos y de voz, adems el router de CNT para conexin a Internet. Tambin se tiene un UPS de 1KVA, un sistema de aire acondicionado domstico y el switch de energa alterna. En los switch`s ubicados en el cuarto de comunicaciones se observa una gran densidad de puntos de red ocupados, por lo que existe poca disponibilidad para un crecimiento futuro de la red de rea local. Los switch`s se encuentran conectados en cascada, es decir no se tiene definida una arquitectura de switching (core, distribucin y acceso), estos sirven para dar servicio a ciertos departamentos debido a la alta demanda de puntos de red, esto produce mayor trfico a nivel de puertos e implica disminucin en el ancho de banda haciendo que la red se vuelva ms lenta (exceso en el flooding de broadcast). Por lo tanto inferimos que no existe Data Center, pero se ha destinado un ambiente, en el que se encuentran servidores de: red, aplicaciones, telefona IP, Quipux y POT. f) Indicador: Equipos de control y seguridad Anlisis: Se observ que existen cuatro equipos para el control de ingreso y salida de personal por huella dactilar ubicados en el primer piso del edificio principal, en los talleres y en espacio asignado a Gestin de Ambiente, se detalla en la siguiente tabla. CANTIDAD MARCA 1 1 1 1 BioSystem BioSystem Full Time Full Time MODELO BoiKey Vx9.0 BoiKey Vx9.0 Full Time Full Time ESTADO Operativo Operativo Operativo Operativo UBICACION Edificio GPI Talleres Gest. Ambiental PAS

Tabla 3: Equipos de control de ingreso y salida de personal

57

Estos equipos no tienen conexin a la red institucional, la lectura de datos es realizada de forma manual. g) Indicador: Espectro Wifi Anlisis: Se encuentran instalados en el edificio principal 6 AP, existe falta de puntos de red y equipos de telefona IP obsoletos, como se puede apreciar en el siguiente grfico:

Grfico 9: Equipos de telefona IP obsoletos

h) Indicador: Certificados de punto de Red Anlisis: No existen puntos de red certificados segn normas y estndares vigentes. i) Indicador: Mapa de cableado Anlisis: Se observa cables mal ponchados, jacks sin face plate, cables torcidos con curvaturas menores a 90 grados, existen muy cerca cajas elctricas lo cual puede ocasionar interferencia electromagntica. j) Indicador: Data Center Anlisis: El rea posee un sistema de aire acondicionado domstico (como se puede apreciar en el siguiente grfico), que no permite regular la temperatura bajo

58

parmetros tcnicos adecuados, ocupa mucho espacio y su tiempo de vida til 8 aos - ha fenecido.

Grfico 10: Sistema de aire acondicionado domstico.

k) Indicador: Situacin actual del Software Anlisis: Se observa en los diferentes departamentos del GPI, que existen aplicaciones y que aunque con falencias si son utilizadas. 2.7.3. Documentos a) Indicador: Diagnstico de Equipos de Redes En la siguiente tabla se indica la informacin analizada:

EQUIPO

DIAGNSTICO

PROBLEMA

IMPACTO

59

EXISTENCIA

clon, con procesador core I7

Fallas continuas, daos peridicos en las piezas y partes

Compaq proliant ML370

10 aos de servicio, vida til ha caducado, presenta fallas continuas,

clon, pentium IV 3.0 GH.

5 aos de servicio, vida til ha caducado, su arquitectura no est diseada para ser servidor, fallas continuas

Es equipo de escritorio, arquitectura del equipo no est diseada para ser servidor, alto riesgo de prdida de informacin, prdida continua en conectividad de telefona Equipo descontinuado, no existen repuestos en el mercado, su falla total causara prdida de la informacin, sin opcin de recuperacin Es equipo de escritorio, arquitectura del equipo no est diseada para ser servidor, prdida continua en conectividad de telefona

conectividad

informacin

conectividad

HP proliant DL360G6 DELL POWER EDGE 2900 HP proliant DL360G6

Trabajo normal

informacin

Trabajo normal Trabajo normal No existe un equipo que realice backups en lnea, por una posible cada de la red.

informacin informacin

no existe

Prdida informacin

de

informacin

60

no existe

Por la red interna del GPI, se transporta todo tipo de informacin

Las aplicaciones y servicios no tienen control de acceso, seguridad cero en las aplicaciones informacin, los usuarios acceden a internet a cualquier pgina

Control

no existe

No se puede definir VLAN`s, todos los equipos trabajan en una sola red fsica y lgica

Exceso de broadcast en la red, ancho de banda saturado El nmero de puertos no satisfacen las necesidades de puertos de red en la institucin, se decrementa continuamente el nmero de puertos, se debe comprar switchs no administrables cada mes para suplir la necesidad Equipos descontinuados, no trabajan a capacidad total, producen corte en comunicaciones, propensos a broadcast

conectividad

no existe

Red existente presenta fallos continuos en transmisin, por exceso de broadcast, y porque existen muchos puertos de los switchs quemados, y cada semana se pierden uno o dos puertos

conectividad

3 switch 3com 24 puertos Presentan (presenta fallos continuas constantemente)

fallas

conectividad

1 switch Dyna trabajo normal de 36 puertos 2 switchs Maipu de 48 puertos Trabajo normal

conectividad conectividad

61

2 switchs linksys de 48 puertos (fallas constantes, trabajan 24 puertos en cada uno)

Continuas fallas

Equipos descontinuados, no trabajan a capacidad total, producen corte en comunicaciones, propensos a broadcast Apropiacin de ancho de banda de internet por ciertos usuarios, mediante aplicaciones difciles de detectar manualmente. No abastecen al nmero de equipos proyectados Cuando se daa, exceso de calor en el cuarto de equipos, riesgo de que se quemen las mainboards y procesadores de los servidores Riesgo de que se quemen las fuentes de poder de los equipos, con la consiguiente prdida de informacin de los discos duros de los servidores No estn conectados a la red

conectividad

no existe

En internet si un equipo se apodera del ancho de banda, este lo consume en gran parte, dejando al resto con velocidades muy bajas En buen estado Su vida til ha caducado, ha tenido 4 reparaciones, las reparaciones se demoran y los equipos corren el riesgo de colapsar por el sistema climtico Este equipo est funcionando como un regulador de voltaje, no como un verdadero UPS, ya que la potencia de los equipos instalados supera el 1KVA Funcionan, pero no estn conectados en red para trabajo en lnea

Control

2 rack de 48 RU

seguridad y conectividad

1 aire acondicionado domstico

seguridad

1 ups 1KVA minutos

de 10

Seguridad

3 equipos de control dactilar no conectados a la red

Control

62

En la mayora no se ve los nmeros del 92 telfonos IP teclado, fallas (76 % continuas en los adquiridos alimentadores de hace 6 aos) energa, los auriculares presentan ruido. No abastecen el nmero de usuarios que requieren este servicio, el 60 % no pasan los niveles bsicos de certificacin, continuamente se implementa parches switchs no administrables para la ampliacin . Los cables desde el cuarto de comunicaciones hasta los puntos de red no cumplen las normas de cableado horizontal y exceden la norma.

No funcionan correctamente

Higiene ocupacional

150 puntos de red (no certificados), de categora 5 y 6, que soportan mximo 100 Mbps

Problemas en la transmisin de datos en la red interna

Conectividad

No existe

Distancia entre patch panel y punto Conectividad de red son muy altos

No existe

Los equipos de patronato no tienen conectividad con la red del GPI

El trabajo del PAS, y otras dependencias que pudieran ubicarse ah no tienen conectividad con el GPI

Conectividad

Tabla 4: Diagnstico en Equipos del Cuarto de Comunicaciones

b) Indicador: Lista de servidores

63

En la siguiente tabla se muestra la lista de servidores con sus respectivas IP e interfaces del GPI. SERVIDOR Servidor de red Servidor de aplicaciones Servidor de telefona IP Servidor sistema financiero Servidor de Quipux Servidor POT IP 192.168.2.1 192.168.2.2 192.168.2.3 192.168.2.4 192.168.2.5 192.168.2.6
Tabla 5: Lista de Servidores del GPI

INTERFAZ FastEthernet FastEthernet FastEthernet GigabitEthernet GigabitEthernet GigabitEthernet

Ninguno de estos equipos cuenta con algn medio fsico o de software que garanticen su integridad fsica ni lgica, a excepcin de antivirus (eset) instalado en los equipos que utilizan Windows server 2008.

c) Indicador: Equipos de Red En la siguiente tabla se indican los equipos de red del GPI. CANTIDAD MARCA Switch 3Com 3 24 puertos Dyna de 1 puertos Linksys de 2 puertos Maipu de 2 puertos MODELO de 4400 36 2401 48 Srw248g4 48 My power s3152 ESTADO DEFECTUOSOS OPERATIVO DEFECTUOSOS OPERATIVOS

Tabla 6: Equipos de Red del GPI.

d) Indicador: Topologa Fsica

64

Anlisis: No se tiene documentada la descripcin de la topologa fsica y los elementos que conforman la red del GPI incluidas sus direcciones IP, cabe mencionar que no se ha realizado subneting, ni tampoco administracin por VLAN`s.

e) Indicador: Red de Internet Se analiz el documento correspondiente, se indica una parte del mismo: El proveedor actual del servicio de Internet al GPI es CNT, tiene dos medios fsicos para proveer el servicio; uno de ellos es Fibra ptica, y el otro es enlace de cobre que se lo utiliza como backup. stos medios fsicos llegan directamente a las instalaciones de cuarto de comunicaciones, desde donde se realiza la distribucin del servicio hacia los diferentes usuarios del GPI. El Internet llega hasta los equipos de enrutamiento (cisco 877-m) y servidor de red, los mismos que se encuentran instalados en el Cuarto de comunicaciones. Desde el servidor de red se distribuye el servicio de internet para todos los usuarios del GPI, utilizando como medio de transmisin utp cat 5e. No existe asignacin de ancho de banda ni grupos de acceso, se realiza un bloqueo bsico a algunos dominios. f) Indicador: Topologa Lgica El documento que nos facilita el jefe de infraestructura est indicado que no se tiene diseada la topologa lgica de la red. g) Indicador: Situacin actual del Software Segn informes departamentales, en los ltimos meses el GPI ha adquirido el sistema financiero Olimpo, que ha absorbido el 35% de las aplicaciones desarrolladas internamente, por lo tanto queda pendiente por desarrollar el 65%, ms la integracin que se deber hacer a causa de sta adquisicin.
65

h) Indicador: Aplicaciones desarrolladas hasta julio del 2009 Segn informe departamental, tenemos que las aplicaciones desarrolladas Direccin de Gestin de Tecnologas de la Informacin Comunicacin son: en la

NOMBRE ADMINISTRACIN SCOAD ANTICIPOS DE SUELDO BODEGA

DESCRIPCIN Administra las aplicaciones web en la Intranet y los usuarios Sistema de Costos por administracin Directa Verifica las remuneraciones de los tres ltimos meses de empleados y trabajadores Sistema que alimenta al SCOAD en cuanto a materiales y repuestos Sistema que emite los Certificado de No Adeudar al GPI previa consulta en Base de Datos Sistema de control de asistencia del personal Sistema que controla el uso de minutos de la central telefnica Sistema que genera y administra pines de acceso telefnico para los funcionarios Sistema de seguimiento de la documentacin que ingresa al GPI Verifica las remuneraciones de los tres ltimos meses de los jubilados Sistema que permite ver las Resoluciones, Ordenanzas y Actas Es un generador de noticias que se conecta a la WEB Mdulo del SCOAD Sistema que registra los mantenimientos vehiculares Ordenes de Ingreso a Bodega

PLATA FORMA WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL GPI WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL directamente WEB, PHP, MYSQL que permite la gestin de Obras WEB, PHP, MYSQL WEB, PHP, MYSQL

ESTADO OPERANDO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO OPERANDO OPERANDO OPERANDO

OBSER VACIN Migrar Migrar Migrar

1 2 3

Migrar

5 6 7

CERTIFICADO CONTROL DE ACCESO CONTROL TELEFNICO PINES

Migrar Migrar Migrar

OPERANDO

Migrar

DOCUMENTACIN EXTERNA

OPERANDO

Migrar

10

JUBILACIN

NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO

Reempla-zado por OLYMPO

11 12 13 14 15

LEGAL NOTICIAS OBRAS MANTENIMIENTO ORDENES DE BODEGA

Migrar Migrar Reempla zado por OLYMPO Reemplazado por OLYMPO

66

16 17 18 19 20 21 22 23 24 25 29 26 27

PERSONAL ROL DE PAGOS TRANSPORTE VITICOS ACTIVOS FIJOS BIENES DE CONTROL CONSUMO INTERNO ANLISIS DE PRECIOS UNITARIOS CONTROL DE CONTRATOS SISTEMA DE VIALIDAD ADMINISTRACIN DE CONTRATOS SISTEMA DE RECURSOS HUMANOS SISTEMA DE INFORMACIN GEOGRFICA TESORERA

Sistema de Administracin de Nmina Sistema que genera los roles de pago Sistema que registra la entrega de combustibles Sistema de registro de viticos Sistema que registra los Activos Fijos Sistema que registra los Bienes de Control Sistema que registra los consumibles Sistema que genera los presupuestos de obra Registro de Contratos Sistema de Administracin del Equipo Caminero Sistema de informacin de Contratos y Ordenes de Trabajo Sistema de gestin de Recursos Humanos Sistema que publica los resultados del GIS a travs de la WEB Control de los comprobantes de pago, ordenes de transferencia y timbre provincial

WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL FOX FOX FOX HARBOUR +DBASE CLIPPER WIN HARBOURMYSQL WEB, PHP, MYSQL WEB, PHP, MYSQL WEB, PHP, POSTGRES CLIPPER DOS

NO ESTA EN USO NO EST EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO NO ESTA EN USO OPERANDO OPERANDO DESARROLLO PARALIZADO OPERANDO POR DESARROLLA R OPERANDO

Reempla zado por OLYMPO Reempla zado por OLYMPO Reempla zado por OLYMPO Reempla-zado por OLYMPO Reempla-zado por OLYMP Reempla-zado por OLYMPO Reempla-zado por OLYMPO Migrar Migrar Retomar en nueva plataforma Migrar Cubierto por OLYMPO

28

OPERANDO

Migrar

Tabla 7: Aplicaciones Desarrolladas en la Direccin hasta julio del 2010

i) Indicador: Aplicaciones adquiridas a terceros Segn informe departamental, tenemos que las aplicaciones adquiridas a terceros son: N
29 30 31

NOMBRE
GUBWIN OLYMPO GEORUTA

DESCRIPCI N
Sistema Administrativo Financiero Sistema Financiero Integrado Posicionamiento Geogrfico de Vehculos

PLATAFORMA
VISUAL FOX SQL Server SQL Server

AUTOR

ESTADO
NO EST EN USO

OBSERVACIN
Reemplazado por OLYMPO

PROTELC OTELSA

OPERAN DO OPERAN DO

Tabla 8: Aplicaciones Adquiridas a Terceros

67

j) Indicador: Aplicaciones no concluidas Segn informe departamental, tenemos que las aplicaciones no concluidas son: PLATAFOR MA OBSERVACIN

NOMBRE

DESCRIPCIN Gestin de Equipo Caminero y Proyectos Viales Sistema para la Gestin de Vehculos y Talleres Sistema de Gestin del Talento Humano

ESTADO Paralizado Paralizado Paralizado

32 SISTEMA DE VIALIDAD 33 GPICAR 34 RECURSOS HUMANOS

Reemplazado por OLYMPO Reemplazado por OLYMPO

Tabla 9: Aplicaciones no concluidas

k) Indicador: Misin del GPI Coordinar, planificar, ejecutar y evaluar el Plan de Desarrollo Provincial Participativo; fortaleciendo la productividad, la vialidad, el manejo adecuado de sus recursos naturales y promoviendo la participacin ciudadana, a fin de mejorar la calidad de vida de sus habitantes.

l) Indicador: Visin del GPI El Gobierno Provincial de Imbabura, se consolida como una Institucin de derecho pblico, autnoma, descentralizada, transparente, eficiente, equitativa, incluyente y solidaria, lder del desarrollo econmico, social y ambiental provincial. m) Indicador: Misin de la Direccin de Gestin de tecnologas de la Informacin y Comunicacin Dirigir la formulacin y seguimiento del Plan Estratgico de Tecnologas de Informacin alineado al Plan Operacional y Estratgico del GPI, as como gestionar los proyectos de Tecnologa de Informacin y apoyar la gestin administrativa del Departamento. n) Indicador: Misin de la Unidad de Gestin de Proyectos Desarrollar, incorporar e implementar sistemas de informacin que requiera el GPI para su ptima operacin, administracin y gestin.

68

o) Indicador: Misin de la Unidad de Gestin de infraestructura Disear, instalar y optimizar la arquitectura de hardware, software, redes (voz, datos y telefona) y comunicaciones del GPI de manera que permita que los productos y servicios informticos puedan ser brindados en condiciones de alta disponibilidad y confiabilidad utilizando las ventajas que nos brinda la tecnologa. p) Indicador: Misin de la Unidad de Gestin de Servicios Velar por la correcta operatividad de la plataforma tecnolgica del GPI (hardware, software, redes y comunicaciones), protegiendo la informacin tanto de ingreso como de salida; asimismo, el soporte a usuarios de primer nivel y de la certificaci n de los productos puestos en operacin. Brindar en forma centralizada el soporte tcnico de primer nivel en la solucin de los problemas en equipos, software y servicios de computacin personal que reporten los usuarios internos y externos del GPI. q) Indicador: Funciones de la Unidad de Gestin de Proyectos Segn informe, le corresponde a esta unidad: Participar en el proceso de formulacin del Plan Anual Operativo del Departamento y el Plan Estratgico de TICs, alineado al Plan Estratgico del GPI. Centralizar en la Agenda de Proyectos Informticos, los proyectos inscritos en el Plan Anual Operativo del GPI, Planes Departamentales y aquellos proyectos derivados de requerimientos tanto internos como externos. Gestionar la Agenda de proyectos informticos, definiendo el alcance de los mismos en coordinacin con las reas usuarias, as como determinando su viabilidad tcnica y estableciendo los recursos requeridos. Mantener actualizada la Agenda de proyectos informticos, as como realizar el seguimiento peridico de la ejecucin de los mismos, de acuerdo a la planificacin, a fin de informar a las instancias correspondientes los avances, y sugerir las acciones correctivas de ser el caso.

69

Centralizar

coordinar

la

disponibilidad

de

facilidades

logsticas

administrativas requeridas para el desarrollo de los proyectos comprendidos en la agenda de proyectos informticos. Participar en la formulacin y actualizacin del Plan de Seguridad de la Informacin y Plan de trabajo del GPI, as como supervisar la implementacin de las polticas, procedimientos y recomendaciones asociadas a la Seguridad de la Informacin y Riesgos en TICs. Centralizar y coordinar con los organismos pblicos y privados la obtencin y renovacin de licencias de instalacin y operacin de software de libre distribucin y propietario en caso de ser necesario y que no se contraponga con el decreto 1014(uso y cesin de software de libre distribucin), igualmente de frecuencias del espectro radioelctrico y servicios telemticos; as como de asistencia tcnica que coadyuve al intercambio ptimo de informacin en las redes que genere el GPI. Proponer los indicadores de niveles de servicios informticos, as como analizar y evaluar la medicin de estos parmetros, a fin de sugerir acciones para el mejoramiento continuo de los procesos y uso de las TICs. Formular y controlar el Presupuesto de Inversiones de Tecnologas de Informacin y Comunicacin. Formular normas, metodologas y estndares aplicados a las TICs . Participar como representantes del Departamento, en los procesos de seleccin y/o adquisicin de bienes y/o servicios. Consolidar las necesidades de capacitacin del Departamento y formular el Plan de Capacitacin para su respectiva aprobacin. Revisar y actualizar los procesos del Departamento de acuerdo a los avances tecnolgicos. Realizar otras funciones afines que le sean asignadas por la Jefatura del Departamento. Funciones Particulares: Elaborar el perfil tcnico de los proyectos de sistemas de informacin, definidos en la Agenda de proyectos informticos.
70

Planificar las actividades y recursos de los proyectos de sistemas de informacin, de acuerdo a las normas establecidas en el GPI. Desarrollar los sistemas de informacin que requieran las dependencias del GPI, de acuerdo a las prioridades establecidas en la Agenda de proyectos informticos. Efectuar el mantenimiento y actualizacin de los sistemas de informacin garantizando su adecuacin a las necesidades de los usuarios, su continuidad y/o correcta operatividad.

Implementar las soluciones de sistemas de informacin desarrolladas por la Seccin, as como participar y supervisar la implementacin de las aplicaciones adquiridas o cedidas por terceros, a fin de garantizar su correcta operatividad e integracin con la arquitectura de aplicaciones del GPI.

Proponer soluciones en sistemas de informacin que optimicen los procesos y generen valor al GPI. Participar en la definicin de especificaciones tcnicas de los sistemas de informacin adquiridos o cedidos por terceros, as como supervisar el cumplimiento de las obligaciones contractuales respectivas.

Participar en las reuniones de coordinacin de proyectos de sistemas de informacin con entidades externas. Participar en la elaboracin de normas, metodologas, estndares y/o tcnicas, que mejoren y optimicen los procesos de planeamiento, desarrollo e implementacin de los sistemas de informacin.

Participar en la elaboracin de estndares y Plan de Seguridad de la Informacin, asimismo, implementar las polticas de Seguridad de Informacin. Apoyar al usuario final en el adecuado uso de los sistemas de informacin, proporcionndole las herramientas y los medios necesarios para tales fines. Participar en la formulacin del Plan Operativo y presupuestos de inversin del Departamento en recursos de hardware y software que requiera el GPI para la implementacin del Plan Estratgico de TICs y Plan Operativo Anual.

Administrar la documentacin de los sistemas de informacin; as como, la biblioteca tcnica que incluya los manuales y documentos que sirvan de apoyo a los usuarios finales y de actividades de investigacin.

71

r) Indicador: Funciones de la Unidad de Gestin de infraestructura Segn informe, le corresponde a esta unidad: Evaluar, planificar, disear y configurar la arquitectura de comunicaciones de los computadores centrales, servidores corporativos, redes de voz, telefona y datos, tanto interno como externo al GPI. Investigar nuevas tendencias tecnolgicas, evaluar y probar nuevos productos de hardware, software y servicios para considerar su posible aplicacin en el GPI. Planificar el crecimiento o expansin de la infraestructura de comunicaciones o telefona que requiera el GPI para el cumplimiento del Plan Operativo y de TICs. Brindar el soporte especializado en infraestructura y comunicaciones o supervisar el servicio de terceros en servicios de su competencia. Definir la arquitectura en infraestructura, comunicaciones y telefona asegurando su integracin con los servicios informticos que el GPI posee. Evaluar, disear, implementar, mantener y definir la configuracin de los medios de comunicaciones para los puntos de red rurales. Participar en la formulacin de los Planes de Tecnologa de Informacin y Presupuesto del Departamento en relacin a equipos y software de la infraestructura de cmputo y telefona, definiendo las especificaciones tcnicas de sus componentes. Disear, implementar, administrar, dar soporte y mantenimiento del sistema de gestin de redes de comunicacin y servicios garantizando la continuidad y correcta operatividad. Participar en la evaluacin e instalacin de sistemas, equipos informticos y telefona adquiridos por otras dependencias que requieran conexin a la red de comunicaciones del GPI. Coordinar con los proveedores de servicios de transmisin de datos as como realizar las coordinaciones para los mantenimientos preventivos y correctivos. Disear y mantener el modelo fsico de las bases de datos del GPI, permitiendo su eficiente utilizacin en los sistemas operacionales y de informacin. Coordinar, disear, evaluar e implementar la interconexin de equipos y redes del GPI con redes de otras instituciones.

72

Mantener actualizado el software base del GPI, planificando y ejecutando la instalacin de las nuevas versiones. Asegurar la permanente comunicacin, funcionalidad, confiabilidad y seguridad entre las dependencias del GPI, estableciendo normas que garanticen la seguridad en la transmisin y/o recepcin de voz, as como su buen uso.

Evaluar, planificar y disear las mejoras en la red de comunicaciones y telefona corporativa, en cuanto a recursos de hardware, software, ancho de banda y de la infraestructura de comunicaciones en la red interna y externa al GPI.

Evaluar, disear, controlar y definir la configuracin de los equipos de comunicacin, conformados por routers, switches, puntos de acceso y mdems, centrales telefnicas y/o servidores de llamadas, en las sedes administrativas y operativas del GPI.

Administrar el inventario de licencias de software y equipos de cmputo que el GPI adquiera, reciba en legacin o alquile. Realizar otras funciones afines que le sean asignadas por la Jefatura del Departamento.

s) Indicador: Funciones de la Unidad de Gestin de Servicios Segn informe, Le corresponde a esta unidad: Recibir y registrar las solicitudes de atencin de problemas reportados por los usuarios. Velar por la operatividad y seguridad fsica del centro de cmputo, protegiendo la informacin de ingreso, salida y almacenamiento. Participar en la elaboracin del Plan de Contingencia que har frente a las interrupciones en las operaciones del sistema de cmputo y las redes. As como tambin, la implementacin de acciones que mitiguen los riesgos en TICs. Aplicar las normas y estndares en la certificacin de productos informticos, as como de los procedimientos automatizados, a fin de incrementar la productividad de los recursos de cmputo. Supervisar los sistemas de monitoreo de la plataforma tecnolgica, a fin de garantizar su adecuado funcionamiento.

73

Centralizar y atender en primer nivel a los usuarios finales en la solucin de problemas de operacin de sus equipos de cmputo, software aplicativo y comunicaciones.

Aplicar las polticas y procedimientos de seguridad de acuerdo al Plan de Seguridad de la Informacin y Plan de trabajo del GPI, en lo relacionado a su competencia.

Procesar los datos generados por las reas y emitir oportunamente la informacin requerida por los usuarios y las aplicaciones. Ejecutar los planes de respaldo y las recuperaciones de informacin que se requieran para garantizar la continuidad operativa de la instalacin. Proponer, implementar y/o actualizar herramientas y de adecuados procedimientos de administracin de centros de cmputo. Otras funciones afines que le sean asignadas por la Jefatura del Departamento. Brindar el soporte tcnico de primer nivel a los usuarios, de ser necesario escalar la atencin a soporte especializado (a las oficinas del Departamento), manteniendo informado en todo momento al usuario.

Realizar la priorizacin, asignacin y el seguimiento de los requerimientos registrados. Absolver consultas tcnicas de los usuarios, incentivndolos en el mejor uso y operacin de las tecnologas de la Informacin. Facilitar el cumplimiento de su funcin con el uso de herramientas de distribucin de software, toma de inventario y control remoto. Administrar la Base de Conocimientos de Solucin de Incidentes, para un correcto uso y distribucin de informacin a los usuarios, como tambin para la elaboracin de un Plan de Capacitacin anual a usuarios finales.

Capacitar al usuario final, suministrando conocimientos del software aplicativo para su correcta utilizacin y explotacin. Ejecutar los planes de respaldo y la recuperacin de informacin que se requieran para garantizar la continuidad operativa del GPI. Administrar los medios de almacenamiento de datos que permitan una operatividad ptima de los recursos informticos.

74

Proponer mejoras en los procesos de ejecucin Batch y/o Distribuidos para un mejor uso de los recursos tecnolgicos del GPI. Elaborar y actualizar la documentacin de los sistemas de informacin desarrollados por el Departamento, centralizando en la biblioteca tcnica los manuales y documentos que sirvan de apoyo a los usuarios finales y de referencia tcnica a los integrantes de la Seccin.

Realizar otras funciones afines que le sean asignadas por la Jefatura del Departamento.

2.8. FODA 2.8.1. Fortalezas Know how6 del personal tcnico de la direccin de TIC. Estructura Organizacional adecuada de la Direccin de TICs. Predisposicin al cambio. Apoyo del Director de TICs. Presupuesto asignado para equipamiento tecnolgico.

2.8.2. Oportunidades Nuevo Marco Legal a favor de las competencias de GPI en aspectos tecnolgicos (COOTAD7). Colaboracin con CONCOPE8 para capacitacin e implementacin de herramientas tecnolgicas. Inters de empresas e instituciones pblicas para convenios de cooperacin Apoyo de la Direccin de Gestin de Cooperacin Internacional. Posibilidad de cooperacin con empresas pblicas venezolanas. Posibilidad de implementar software de uso libre, minimizando costos. Posibilidad de adquirir herramientas informticas forenses para inducir a un proceso preventivo de los ataques tecnolgicos.

6 7

Know how: Conocimiento que se adquiere en base a la experiencia COOTAD: Cdigo Orgnico de Ordenamiento Territorial Autonoma y Descentralizacin 8 CONCOPE: Consorcio de Gobiernos Provinciales del Ecuador.

75

Coyuntura poltica. Falta de personal tcnico para apoyo en procesos de administracin y proyectos de TI. Falta de planificacin de informtica adecuada. Carencia de un plan de capacitacin adecuado. Espacio fsico no funcional para el desarrollo de actividades de la direccin de TICs. Falta de normas y polticas sobre el uso de TICs. Insuficientes recursos financieros para contratacin de personal tcnico.

2.8.3. Debilidades

2.8.4. Amenazas Falta de comunicacin y colaboracin con las diferentes reas. Carencia de definicin formal de procesos en las diferentes reas. Dependencia de terceros en la implantacin de software propietario Demora en el establecimiento formal de los cargos y funciones correspondientes a la nueva estructura orgnica vigente. Recortes presupuestarios debido a situaciones emergentes. El cambio en la definicin de polticas tecnolgicas en el pas. Incremento de nuevas formas de delinquir tecnolgicamente.

2.9. ESTRATEGIAS FA, FO, DO, DA

Amenazas Fortalecer las capacidades de gestin institucional para la gobernabilidad democrtica a travs del uso de las TICs. Disear una metodologa para implementar el anlisis informtico forense en el GPI. Oportunidades Disear e implementar los manuales de normalizacin para el desarrollo de las aplicaciones y el uso del hardware y software, de tal forma que el personal del rea de informtica como los usuarios tenga el conocimiento de las actividades que se puede realizar y las herramientas disponibles. Implementar una metodologa informtica forense para el control preventivo de ataques tecnolgicos.

Fortalezas

76

 Debilidades

Disear polticas y procedimientos a ser implementados en el GPI. Mejorar la seguridad en el rea fsica del Data Center. Implementar mecanismos de seguridad de acceso al software, en sus diferentes niveles: proteccin a la red, a la base de datos, a los sistemas y a los datos.

Realizar un anlisis de varias herramientas informticas forenses, que podran utilizarse en caso de presentarse un delito informtico. Establecer un plan de contingencia tanto de hardware como de software, para garantizar la continuidad en el procesamiento de datos. Promover mecanismos de respaldo tanto en hardware como software.

Tabla 10: Estrategias FA, FO, DO, DA

Nota: En el captulo V se desarrolla la siguiente estrategia, planteada en la tabla anterior. Disear polticas y procedimientos a ser implementados en el GPI.

En el captulo VI se desarrolla las siguientes estrategias, planteadas en la tabla anterior. Disear una metodologa para implementar el anlisis informtico forense en el GPI. Realizar un anlisis de varias herramientas informticas forenses, que podran utilizarse en caso de presentarse un delito informtico.

2.10. DETERMINACIN DEL PROBLEMA DIAGNSTICO El campo de accin de un departamento informtico siempre est en constante desarrollo y evolucin y no es ajeno a esta dinmica de cambio el departamento de Gestin de las Tecnologas de la Informacin y comunicacin del GPI. Del anlisis de la informacin diagnstica, se puede concluir que el problema principal es la falta de una Metodologa para el anlisis informtico forense en el Gobierno Provincial de Imbabura, causada bsicamente por: la falta de personal tcnico para apoyo en procesos de administracin y proyectos de tecnologas de informacin, la carencia de un plan de capacitacin, normas y polticas sobre el uso de TICs, combinadas con la falta de comunicacin y colaboracin en
77

las diferentes reas y adems el incremento sustancial de nuevas formas de delinquir tecnolgicamente, que conducen al GPI a estar expuesto a problemas de seguridad como: fraude, robo de informacin confidencial, espionaje institucional, competencia desleal, etc., presentando una vulnerabilidad alta, que al ser descubierta por un atacante, el GPI se encontrara en serios problemas.

78

CAPTULO III: ANLISIS DE LA SITUACIN JURDICA EN EL ECUADOR

3.1.

ANTECEDENTES

Gerberth Adn Ramrez Rivera, nos dice que para que todo lo realizado en la informtica forense sea exitoso, es necesario que se tengan regulaciones jurdicas que penalicen a los atacantes y que pueda sentencirseles por los crmenes cometidos. Cada pas necesita reconocer el valor de la informacin de sus habitantes y poder protegerlos mediante leyes. De manera que los crmenes informticos no queden impunes [8]. La Pirmide Kelseniana es un referente que ilustra la categorizacin de las leyes y normas legisladas en general [9]. La propuesta de Kelsen adaptada a la realidad ecuatoriana y al nuevo orden legal y de derecho, podemos resumirla en: La Constitucin del Ecuador, en su art. 24 establece: La Constitucin es la norma suprema y prevalece sobre cualquier otra del ordenamiento jurdico. Las normas y los actos del poder pblico debern mantener conformidad con las disposiciones constitucionales; en caso contrario carecern de eficacia jurdica. La Constitucin y los tratados internacionales de derechos humanos ratificados por el Estado que reconozcan derechos ms favorables a los contenidos en la Constitucin, prevalecern sobre cualquier otra norma jurdica o acto del poder pblico. La Constitucin del Ecuador, en su art. 425 reza: El orden jerrquico de aplicacin de las normas ser el siguiente: La Constitucin; los tratados y convenios internacionales; las leyes orgnicas; las leyes ordinarias; las normas regionales y las ordenanzas distritales; los decretos y reglamentos; las ordenanzas; los acuerdos y las resoluciones; y los dems actos y decisiones de
79

los poderes pblicos. En caso de conflicto entre normas de distinta jerarqua, la Corte Constitucional, las juezas y jueces, autoridades administrativas y servidoras y servidores pblicos, lo resolvern mediante la aplicacin de la norma jerrquica superior. La jerarqua normativa considerar, en lo que corresponda, el principio de competencia, en especial la titularidad de las competencias exclusivas de los gobiernos autnomos descentralizados Las Naciones Unidas, a travs del CNUDMI (Comisin de las Naciones Unidas para el Derecho Mercantil Internacional), en 1996 publica la Ley Modelo sobre comercio Electrnico, incluyendo una gua para que sea incorporada en el aparato legal de cada Pas, siendo sta la primera experiencia formal sugerida a los pases para poder utilizar los medios electrnicos y digitales como instrumentos para finiquitar tratos y negocios, facultando los principios de no discriminacin, neutralidad y equivalencia, tanto interna y externamente en cualquier pas. En el 2001, el CNUDMI, lanza la Ley modelo para utilizacin de firmas electrnicas y establece los criterios para su fiabilidad tcnica y su equivalencia entre firma manuscrita y la propuesta. En el 2005, este organismo convoc a una convencin para tratar sobre la utilizacin de las comunicaciones electrnicas en los contratos internacionales, garantizando la validez del comercio internacional utilizando medios electrnicos. En el 2006, se realiza una recomendacin a la convencin sobre reconocimiento y la ejecucin de las sentencias arbitrales extranjeras, como respuesta al incremento del comercio electrnico, nuevas leyes internas en los pases miembros y su jurisprudencia [10]. Como podemos inferir, el desarrollo de las comunicaciones, caus el aparecimiento de realizar trmites de comercio a travs de las redes, es aqu cuando se comienza a detectar ciertas vulnerabilidades que cuestionan seriamente este nuevo estilo de vida, y que necesita de una nueva forma de prevenir, controlar y sancionar delitos que puedan ejecutarse bajo esta modalidad.
En Sudamrica, el primer pas que se preocup por estos temas fue Chile, promulg ley contra

delitos informticos, la cual entr en vigencia el 7 de junio de 1983, En 1999 Colombia publica su ley 527, misma que regula el comercio electrnico, firmas digitales y la entidades de certificacin luego en el mes de mayo del ao 2000 Per publica la ley 27269,

80

sobre Ley de Firmas y Certificados Digitales. Luego, le siguen en el 2001 Argentina y Venezuela, luego Ecuador en el ao 2002. 3.2. LEGISLACIN ECUATORIANA SOBRE DELITOS INFORMTICOS

Desde el aparecimiento de la dependencia tecnolgica en el quehacer de la humanidad, la justicia encontr una nueva necesidad de tipificar los delitos que por esta causa iban apareciendo, siendo similares por su consecuencia a los delitos comunes (estafa, robo, suplantacin de identidad, etc.), pero por su origen y medio de ejecucin, totalmente diferentes, encontrando que todos aquellos dispositivos a travs de los cuales se transporta y se almacena informacin digital son los lugares recurrentes donde se cometen estos delitos y tambin por ende son los lugares donde se puede indagar por parte del perito para encontrar las evidencias del caso. Como consecuencia, las investigaciones se orientan a analizar la relacin entre Derecho e informtica, fueron causa de muchos congresos, foros, mesas redondas, etc, concluyendo en la aparicin de dos nuevos conceptos, esto es: Informtica Jurdica y Derecho Informtico; el primero engloba todas las actividades en las que apoya la informtica para la automatizacin del Derecho, el segundo concepto es ms complejo ya que se refiere a toda la legislacin y aparataje legal con fines de prevenir, investigar y sancionar delitos que por el uso de la informtica se producen. Los delitos informticos han tenido un crecimiento acelerado los ltimos aos y por ser cometidos dentro de una especialidad en constante evolucin, se ha vuelto necesario que tanto el aparato legal estatal como la polica judicial en nuestro pas y adems los tcnicos informticos de empresas pblicas y privadas estn en constante capacitacin, tanto en seguridad de infraestructura fsica como lgica, esto con el fin de integrar slidamente el cuerpo policial y peritaje de informtica forense. En entrevistas realizadas a Jueces de la Corte de Justica de Imbabura mencionan que no estn capacitados para interpretar y resolver sobre delitos informticos y que igualmente son contados los peritos informticos calificados para el efecto. En el Ecuador, paulatinamente ha ido ganando terreno el hecho de que la informacin es un bien jurdico, y que como tal debe precautelarse, para ello ha emitido la siguiente legislacin:
81

a. Constitucin Poltica del Ecuador (2008). Art. 66, numeral 19, Art. 92 b. Ley Orgnica de transparencia y Acceso a la Informacin Pblica (2004) c. Reglamento General a la Ley Orgnica de transparencia y Acceso a la Informacin Pblica (2005) d. Reformas al Reglamento General a la Ley Orgnica de transparencia y Acceso a la Informacin Pblica(2005) e. Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos (2002) f. Reglamento General a la Ley de Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos (2002) g. Reformas al reglamento general a la Ley de Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos (2008) h. Ley de Propiedad intelectual (1998) i. Ley Especial de Telecomunicaciones. (1992) j. Ley de Control Constitucional (Reglamento de Habeas Data) 3.3. CDIGO PENAL DEL ECUADOR

A continuacin se realiza un resumen de lo legislado en el Ecuador en lo que se refiere a delitos informticos y se relaciona con en el cdigo penal (CP) para el establecimiento de sanciones.

INFRACCIONES INFORMTICAS Delitos contra la informacin protegida (CP Art. 202) 1. Violentando claves o sistemas accede u obtiene informacin 2. Seguridad nacional o secretos comerciales o industriales 3. Divulgacin o utilizacin fraudulenta 4. Divulgacin o utilizacin fraudulenta por custodios 5. Obtencin y uso no autorizados

REPRESIN

MULTAS

6 meses a 1 ao 1 a 3 aos 3 a 6 aos 6 a 9 aos 2 meses a 2 aos

$500 a $1000 $1.000 - $1500 $2.000 - $10.000 $2.000 - $10.000 $1.000 - $2.000 ---

Destruccin maliciosa de documentos (CP Art. 262) Falsificacin electrnica (CP Art. 353)

3 a 6 aos 3 a 6 aos ---

82

Daos informticos (CP Art. 415) 1) Dao dolosamente 2) Servicio pblico o vinculado con la defensa nacional 3) No delito mayor Apropiacin ilcita (CP Art. 553) 1) Uso fraudulento 2) Uso de medios (claves, tarjetas magnticas, otros instrumentos Estafa (CP Art. 563) Contravenciones de tercera clase (CP Art. 606)

6 meses a 3 aos 3 a 5 aos 8 meses a 4 aos

$60 $150 $200 - $600 $200 - $600

6 meses a 5 aos 1 a 5 aos 5 aos 2 a 4 das

$500 - $1000 $1.000 - $2.000 $500 - 1.000 $7 - $14

Tabla 11: Infracciones informticas. Fuente: Cdigo Penal del Ecuador

3.4.

LOS DELITOS INFORMTICOS EN EL ECUADOR

Las Naciones Unidas, a travs de su organismo, CNUDMI, estableci los lineamientos generales para que en los pases miembros regulen y legislen estos nuevos actos delictivos que aparecan y se desarrollaban conforme avanzaba la tecnologa, fueron muchos los intentos por establecer estas normas, sin embargo la situacin poltica irregular que vivi el pas despus de la dictadura, no permitieron aterrizar en algo concreto y los intentos se desvanecan poco a poco, los primeros participantes en reuniones para proponer una ley al respecto fueron: superintendencia de bancos, banco central, asociacin de bancos privados, asociacin de financieras del Ecuador, ministerio de relaciones exteriores, servicio de rentas internas, corporacin aduanera del Ecuador, ministerio de comercio exterior, ministerio de turismo, cmaras de comercio de Quito y Guayaquil, universidades, operadores privados de telefona. Pese a que no existe tipificado como delito informtico, las infracciones cometidas en o sobre medios digitales o electrnicos, nuestra legislacin ya prev sanciones por ciertas acciones como se lo observa en la tabla 11, esto demuestra que se necesita establecer la metodologa que permita: definirlos, demostrarlos, prevenirlos y combatirlos. Las infracciones informticas son de diferente ndole de origen y de individuos o grupos que las realizan, de la informacin recolectada, propongo la siguiente clasificacin de delincuentes informticos:
83

Hacker: se refiere al delincuente ms comn en la infraestructura fsica y lgica de las comunicaciones digitales y electrnicas, comnmente se dedica a descifrar claves para ingresar a sitios no autorizados, utilizando los mnimos recursos. Es decir, su misin violar la seguridad informtica, aunque aparentemente tengan un cdigo de tica, que en su parte pertinente indica que la informacin deber ser libre y gratuita, desconfiando de la autoridad y promoviendo procesos descentralizados. Desde luego que la concepcin del hacker, difiere con la del procedimiento legal, ya que el hecho de ingresar sin autorizacin a algn sistema, ya es un delito, algunos hackers manifiestan que su ingreso a los sistemas lo hacen por diversin, para dar un paseo de diversin y suelen llamarlo JOY RIDING. Cracker: se denomina as al individuo que ingresa a un sistema informtico para hacer daos en la informacin o para robarla. Tambin suele realizar reingenieras del software para dejarlos abiertos y que no requieran claves para su activacin. Generalmente su accin se difunde a travs de la red para conocimiento general. Phreaker : Se relacionan con toda la actividad de telefona, sea esta convencional, celular, mvil, terrestre. Sus inicios fueron con la telefona analgica, pero actualmente tienen amplios conocimientos de telefona digital e inalmbrica, es decir sobre conmutacin de paquetes. Su propsito es apoderarse, interferir, daar, destruir, conocer, difundir, obviar pago por uso, lucrar con el servicio, hacer actos de sabotaje, o hacer uso de la informacin accediendo al sistema telefnico, busca sabotear, pinchar, pueden clonar lneas de celular, tarjetas y captar informacin del aire. Lammers: individuos que no poseen muchos conocimientos, y que actan con los procedimientos publicados en internet o a travs de otros medios por los hackers o crackers. Gurus: Personas que sirven de maestros de los hackers, no estn en actividad. Bucaneros - Pirata Informtico: Son aquellas personas que comercializan los productos de los crackers.

84

Trashing: aquellos que estn pendientes de la basura fsica y tambin de la basura lgica, para utilizarla por medios informticos con el fin de cometer delitos. Virucker: Generalmente una variante del hacker, que al realizar el hackeo procede a insertar cdigo en el sistema para daarlo, alterarlo o destruirlo, creando la consecuencia de inutilizar los sistemas. En los medios de comunicacin pblica constantemente se publican acciones delictivas cometidas a travs de medios electrnicos, pero tambin se especula que existen muchos afectados que no se atreven a denunciarlos, por esta razn, no existen estadsticas formales que permitan visibilizar el nmero, el tipo y la incidencia de los delitos informticos, pero lo que s se asegura en estos medios es el incremento paulatino en este tipo de actividad delincuencial. 3.5. TIPOS DE DELITOS INFORMTICOS

Luego de un anlisis exhaustivo de varias formas de tipificar los delitos informticos, a continuacin se detalla una tabla que recopila la mayor cantidad de delitos y sintetiza sus caractersticas:
Fraudes cometidos mediante manipulacin de computadoras Delitos Reconocidos por Naciones Unidas las Caractersticas Este tipo de fraude informtico conocido tambin como sustraccin de datos, representa el delito Informtico ms comn ya que es fcil de cometer y difcil de descubrir. Este delito no requiere de conocimientos tcnicos de informtica y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisicin de los mismos. Es muy difcil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos tcnicos concretos de informtica. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un mtodo comn utilizado por las personas que tienen conocimientos especializados en programacin informtica es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informtico para que pueda realizar una funcin no autorizada al mismo tiempo que su funcin normal.

Manipulacin de los datos de entrada

La manipulacin programas

de

85

Manipulacin de los datos de salida

Se efecta fijando un objetivo al funcionamiento del sistema informtico. El ejemplo ms comn es el fraude de que se hace objeto a los cajeros automticos mediante la falsificacin de instrucciones para la computadora en la fase de adquisicin de datos. Tradicionalmente esos fraudes se hacan a partir de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipos y programas de computadora especializados para codificar informacin electrnica falsificada en las bandas magnticas de las tarjetas bancarias y de las tarjetas de crdito.

Fraude efectuado por manipulacin informtica

Aprovecha las repeticiones automticas de los procesos de cmputo. Es una tcnica especializada que se denomina "tcnica del salchichn" en la que "rodajas muy finas" apenas perceptibles de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra.

Tabla 12: Fraudes mediante computadoras Fuente: http://www.monografias.com/trabajos17/delitos-informaticos/delitos-informaticos.shtml#tippos

Falsificaciones Informticas Delitos Reconocidos por las Naciones Unidas

Caractersticas

Como Objeto

Cuando se alteran datos de los documentos almacenados en forma computarizada. Las computadoras pueden utilizarse tambin para efectuar falsificaciones de documentos de uso comercial. Cuando empez a disponerse de fotocopiadoras computarizadas en color a base de rayos lser surgi una nueva generacin de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolucin, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que slo un experto puede diferenciarlos de los documentos autnticos.

Como instrumentos

Tabla 13: Falsificaciones informticas Fuente: http://www.monografias.com/trabajos17/delitos-informaticos/delitos-informaticos.shtml#tippos

86

Daos o modificaciones de programas o datos computarizados (Delitos reconocidos por las Naciones Unidas) Sabotaje informtico: Es el acto de borrar, suprimir o modificar sin autorizacin funciones o datos de computadora con intencin de obstaculizar el funcionamiento normal del sistema. Tcnicas que cometer informticos permiten sabotajes Caractersticas Es una serie de claves programticas que pueden adherirse a los programas legtimos y propagarse a otros programas informticos. Un virus puede ingresar en un sistema por conducto de una pieza legtima de soporte lgico que ha quedado infectada, as como utilizando el mtodo del Caballo de Troya. Se fabrica de forma anloga al virus con miras a infiltrarlo en programas legtimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En trminos mdicos podra decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruir puede dar instrucciones a un sistema informtico de un banco para que transfiera continuamente dinero a una cuenta ilcita. Exige conocimientos especializados ya que requiere la programacin de la destruccin o modificacin de datos en un momento dado del futuro. Ahora bien, al revs de los virus o los gusanos, las bombas lgicas son difciles de detectar antes de que exploten; por eso, de todos los dispositivos informticos criminales, las bombas lgicas son las que poseen el mximo potencial de dao. Su detonacin puede programarse para que cause el mximo de dao y para que tenga lugar mucho tiempo despus de que se haya marchado el delincuente. La bomba lgica puede utilizarse tambin como instrumento de extorsin y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba. Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informticos (Hacker) hasta el sabotaje o espionaje informtico. El acceso se efecta a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuacin. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informticos se hacen pasar por usuarios legtimos del sistema, esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseas comunes o contraseas de mantenimiento que estn en el propio sistema.

Virus

Gusanos

Bomba lgica o cronolgica

Acceso no autorizado a Sistemas o Servicios

Piratas informticos o Hackers

87

Reproduccin no autorizada de programas informticos de proteccin Legal.

Esta puede entraar una prdida econmica sustancial para los propietarios legtimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el trfico de esas reproducciones no autorizadas a travs de las redes de telecomunicaciones modernas. Al respecto, consideramos, que la reproduccin no autorizada de programas informticos no es un delito informtico debido a que el bien jurdico a tutelar es la propiedad intelectual.

Tabla 14: Daos o modificaciones de programas o datos computarizados Fuente: http://www.monografias.com/trabajos17/delitos-informaticos/delitos-informaticos.shtml#tippos

Realizando una compilacin general, se puede enumerar los delitos informticos de la siguiente manera: fraudes, ataques contra el derecho a la intimidad, infracciones a la propiedad intelectual, falsedades, sabotajes, terrorismo virtual, amenazas, trfico de drogas, calumnias, injurias, hostigamiento, acoso, pornografa infantil, entre los ms comunes.

88

CAPTULO IV: NIVELES DE SEGURIDAD

4.1. SERVICIOS DE SEGURIDAD INFORMTICA Todas las metodologas, actividades y acciones que se implementan para contrarrestar los impactos de los delitos informticos sobre la integridad y privacidad de datos, se denominan servicios de seguridad Informtica, mismos que se aplican de acuerdo a la realidad de cada empresa. Con el vertiginoso crecimiento de la Tecnologas de la Informacin y las Telecomunicaciones se han abierto cada vez ms las zonas vulnerables para una empresa y sus datos. 4.1.1. Importancia de la Seguridad Informtica Desde un simple contagio de virus informticos hasta verdaderas catstrofes han sido el producto de las acciones de los delincuentes informticos. La humanidad da a da incrementa el volumen de informacin, existen y aparecen ms organismos, lugares e instituciones estratgicas que manejan informacin de extrema confidencialidad, informacin que tiene carcter de misin crtica. Por ejemplo, organismos o institutos de investigacin, financieras, aeropuertos, lneas de transporte terrestre, gobierno, militares, educativos, etc. Tras esa informacin existen muchos grupos e individuos que le apuestan a todo con tal de conseguirla. El mtodo encontrado por estos interesados es vulnerar la transmisin de datos y los lugares donde se almacenan los mismos. Los perjuicios sociales, polticos y sobre todo econmicos son invaluables. Es importante anotar que las vulnerabilidades encontradas no solamente son de carcter digital, sino tambin ocurren por descuido de los responsables de la informacin, que fsicamente dejan puertas abiertas
89

que facilitan el acceso de los delincuentes. Algunos autores sostienen que cerca del setenta por ciento de las actividades delictivas en este sector, son iniciadas por personal interno de las organizaciones. Las ciencias computacionales y de comunicaciones estn en constante desarrollo y cambio, vertiginosamente aparecen equipos de nuevas generaciones al igual que el software que los gestiona, por tal razn los encargados de stas reas en las instituciones no tienen la capacitacin adecuada ni los conocimientos necesarios para protegerse totalmente de los intrusos. Realidad que afrontamos en vista de que la mayora de empresas en el mundo no cuentan con un Plan de seguridad eficiente y es ms el personal que labora en estas reas no estn capacitados para enfrentar este reto. Otro aspecto a destacar es la poca importancia que se da a la seguridad de la Informacin, en la mayora de los casos solamente se comienza a tomarla en cuenta, cuando ha sucedido una intrusin o cuando ha ocurrido algn desastre. 4.2. GESTIN PARA LA SEGURIDAD DE LA INFORMACIN Es hora de incentivar entre las empresas, la importancia y necesidad que tiene una acertada gestin de la informacin, misma que no solo garantizar la prolongacin de vida de la empresa, sino tambin llegar a obtener un apropiado sistema organizativo que permita optimizar el rendimiento productivo y minimizar los riesgos, sobre todo aquellos de fuga de informacin, de amenazas internas y externas, disponibilidad de recursos, etc. El marco de planificacin y gestin integral de la seguridad de la informacin, tiene tres actores que deben interactuar sistemticamente para optimizar las inversiones y resultados de su implementacin, esto es: recurso humano, procesos y tecnologa. Actualmente, se dispone de una normativa europea y estatal en materia de proteccin de datos de carcter personal cuya finalidad es proteger legal, tcnica y organizativamente los datos personales que son tratados por parte de las empresas, especialmente, a travs de los sistemas de informacin. Sin embargo, a travs de la presente investigacin, se desea
90

acercar al GPI a normas de estndar internacional, similares a las ISO 9000 y/o 14000 cuya finalidad es certificar el proceso de gestin en materia de seguridad de la informacin: UNE-ISO/IEC 17799, ISO 27001 y UNE 71502. El objetivo del conjunto de estndares UNE-ISO/IEC 17799, ISO 27001 y UNE 71502 es el establecimiento de metodologas, prcticas y procedimientos para proteger la informacin como activo valioso. Se propone los siguientes pasos con el fin de procurar minimizar las amenazas y apaliar los riesgos: a) Inventariar Activos: Es importante nominar, categorizar, describir, identificar usuarios y ubicacin de los dispositivos y activos relacionados con la informacin, esta es informacin base para el sistema de gestin de seguridad. b) Valorar Activos: En base al inventario, se debe realizar valoraciones peridicas, realizar clculos de incremento de valor y depreciacin, los parmetros que se utilicen deben estar normalizados en base a disponibilidad, integridad y confidencialidad. c) Analizar Riesgos: Utilizando cualquier metodologa para anlisis de riesgos, realizar una clasificacin de ellos de acuerdo a su impacto y recoger datos necesarios que permitan su tratamiento. d) Tratar los riesgos y definir controles: Son las actividades que se ejecutarn, esto es: una vez identificados los riesgos establecer los objetivos de control, es decir, establecemos criterios de aceptacin de riesgos, previo anlisis de los aspectos y normas legales y contractuales, estos riesgos deben ser controlados y revisados peridicamente de tal manera que no incrementen el poder del riesgo, de ser necesario subcontratar su tratamiento o en ltimo caso eliminar el riesgo. Desde luego, que pese a que pongamos todos los controles necesarios, no podremos garantizar seguridad absoluta, pues nos quedar un riesgo residual. Tambin se encuentra en pleno auge, la aplicacin del estndar TIA-942 y la categorizacin de tiers (niveles), ya que gracias a este se puede llevar a cabo un replanteo
91

de las necesidades de la infraestructura de un Data Center de una manera racional y alineada con las necesidades propias de disponibilidad del negocio en que se encuentran las organizaciones. La infraestructura debe funcionar ininterrumpidamente, el Data Center, se considera como la interrelacin de una serie de subsistemas de infraestructura que dan respaldo al equipamiento crtico (hardware). El estndar TIA-942 da recomendaciones y directrices para disear e instalar un Data Center. En este caso, para el GPI, servir para prever en la planificacin y en la integracin con el sistema de cableado y diseo de red. A continuacin se detalla, algunas normas que el diseador, implementador y

administrador del Data Center y sistemas de red, debe tomar en cuenta: 4.2.1. UNE-ISO/IEC 17799

Cdigo de buenas prcticas para la Gestin de la

Seguridad de la Informacin El objetivo es asegurar los parmetros bsicos de confidencialidad, disponibilidad e integridad, es decir que la informacin pueda ser accedida nicamente por personal autorizado, que se pueda acceder a ella en cualquier momento y que est operativa, sin ser manipulada en el origen ni en el destino, por ejemplo la norma sobre firmas electrnicas se basa en este principio, el funcionamiento del D.N.I. electrnico9, las acciones tomadas para proteccin de datos personales, etc. 4.2.2. Poltica de Seguridad De acuerdo a los procedimientos, realizamos la identificacin y evaluacin de los riesgos, vulnerabilidades y amenazas en el tratamiento de la informacin, luego delinear y definir la(s) poltica(s) de gestin de seguridad, que contendrn los siguientes aspectos:

DNI: Documento Nacional de Identidad Electrnico. En el 2006, Espaa logr poner en marcha este ambicioso proyecto de identidad electrnica, que ha situado a ste pas en la vanguardia tecnolgica mundial. En la actualidad, Espaa es lder en esta tecnologa, pues la Polica Nacional ha expedido hasta la fecha ms de 21 millones de DNI electrnicos.

92

Asignar y documentar los roles de usuarios para gestionar la informacin, ellos garantizarn el cumplimiento de las polticas de seguridad, en lo referente a: supervisin y revisin, soporte informtico, permiso de acceso a servidores y a equipos de escritorio y comunicaciones. La Institucin debe observar y dar cumplimiento a la normativa vigente: Constitucin, tratados internacionales, ley de comercio electrnico, propiedad intelectual, propiedad industrial, normas y reglamentos internos. Las principales funciones y competencias del personal que labore en esta rea se orientan a crear, monitorear y actualizar las normas catalogadas como polticas de seguridad; luego, el personal para fijar los roles de usuario en el acceso a la informacin, incluye permisos y soporte, control de entrada y salida de datos, caracterizacin y solucin de incidencias, etc.; adems, debe orientarse al usuario final a tratar la informacin con tica, sujetndose a las polticas y normas de gestin de la organizacin. Dentro de las normas es importante puntualizar el valor de la informacin que sirve de apoyo en las transacciones internas y sobre todo externas, asegurando su confidencialidad mediante firma de acuerdos entre pares. Definidas las polticas, normas, procedimientos y el personal relacionado con la seguridad informtica, se precisa establecer las acciones a implementar para asegurar la informacin, por ejemplo todo el proceso para almacenamiento de backups, proceso para cambio peridico de claves, proceso para elaboracin, revisin y custodio de manuales tcnicos, etc.

Comnmente, en el mbito de seguridad informtica se ha utilizado la norma ISO 27001, misma que sustituye a la BS 7799-2:2002 y que complementa a la UNEISO/IEC 17799. 4.2.3. UNE 71502 Esta norma fue certificada por AENOR (Asociacin Espaola de Normalizacin y Certificacin). Se le denomin: Especificaciones para los sistemas de Gestin de la Seguridad de la informacin (SGSI). Fue anulada por UNE-ISO/IEC 27001:2007, su
93

aparicin en el 2004, aport en procesos y procedimientos para adecuar la seguridad de la informacin, el principal producto desarrollado fue MAGERIT10, ampliamente utilizado en la administracin pblica espaola, dirigida especialmente para declarar, evaluar y gestionar los riesgos informticos. 4.2.4. ISO 27000 Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. A continuacin se presenta un resumen de las distintas normas que componen la serie ISO 27000 y se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI) basado en ISO 27001 [11]. La serie 27000 Enfrenta la seguridad de la informacin de una forma sistmica, metdica, con documentacin detallada y con una definicin de objetivos precisos de seguridad y evaluacin de riesgos informticos dentro de una organizacin.

10

MAGERIT: Es un mtodo formal para investigar los riesgos que soportan los Sistemas de Informacin y para recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos.

94

Se le denomina serie porque lo componen varios estndares, algunos normalizados oficialmente, otros en proceso por la ISO (Organizacin Internacional de Estandarizacin) y por la IEC (Comisin Internacional Electrotcnica). Con el fin de no obviar ciertos aspectos que podran ser excluidos en este trabajo, se propone al lector recurrir al sitio oficial: http://www.iso27000.es/iso27000.html, donde se encontrar a detalle la metodologa de acuerdo a estas normas de como una organizacin puede implementar un sistema de seguridad de la informacin, basada sobre todo en ISO 27001. A continuacin se muestra un grfico, que clarifica el proceso para implementar estas normas, identificando las fases de: planificacin, implementacin, seguimiento y mejora continua.

Grfico 11: Fases de: Planificacin, Implementacin, Seguimiento y mejora continua. Fuente: www.ISO27000.es

En cuestin de normas y metodologas relacionadas con la seguridad de la informacin y de los procesos informticos, existen diversas fuentes, el objetivo es el mismo, cambian ciertos pasos en las fases, a continuacin slo mencionaremos algunas:
95

ISO del comit SC27 (2010) .- http://www.jtc1sc27.din.de/cmd?level=tplhome&contextid=jtc1sc27&languageid=en ISO/IEC 20000 (2011).http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber =51988

Grfico 12: ISO/IEC 20000 (2011) Fuente: www.ISO27000.es

ITIL (IT Infraestaructure Library).- http://www.itilofficialsite.com/home/home.aspx

Grfico 13: ITIL (IT Infraestaructure Library) Fuente: http://www.itil-officialsite.com/home/home.aspx

NIST

(National

Institute

of

Standards

and

Technology)

Serie

800.-

http://csrc.nist.gov/publications/PubsSPs.html
96

CobiT (Objetivos de control para tecnologas de la informacin y similares).http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx

Grfico 14: Objetivos de control para tecnologas de la informacin y similares Fuente: http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx

COSO (Committe of Sponsoring Organizations of treadway Commission) .http://www.coso.org/publications.htm

Grfico 15: Committe of Sponsoring Organizations of treadway Commission Fuente: http://www.coso.org/publications.htm

97

Existen otras normas relacionadas como UNE 71502, BS 25999, BS 25777, algunas que ya han sido retiradas o sustituidas por las anteriores. 4.2.5. TIA_942 Esta norma se relaciona con las particularidades de todos los componentes y dispositivos que intervienen en la infraestructura sobre la cual corre o se guarda la informacin, desde su diseo, implementacin hasta el monitoreo y gestin. Nacionales Americanos), propone cuatro capas Fue aprobado por TIA que garantizan (Asociacin de Industrias de Telecomunicaciones) y ANSI (Instituto de Estndares redundantes, disponibilidad, confiabilidad y los costos en la construccin y mantenimiento. Se puede emplear una, dos, tres o cuatro capas, a mayor nmero, los parmetros sern ms elevados en su calidad. Esta norma toma en cuenta los siguientes mdulos: telecomunicaciones, arquitectura, sistema elctrico y sistema mecnico del Data Center; la siguiente tabla ilustra los aspectos concernientes a cada mdulo.

Tabla 15: Subsistemas de la Infraestructura de un Data Center Fuente: http://www.areadata.com

Las diligencias de la norma deben ejecutarse de acuerdo a la realidad de la organizacin y al grado necesario de seguridad. Para el efecto, se realiza un anlisis de
98

impacto de negocio, que cuantifica econmicamente el impacto que produce una parada del Data Center en el negocio de la organizacin [12]. (Ver grfico 16).

Grfico 16: Clasificacin de la Criticidad de los sistemas para distintas reas de actividad Fuente: http://www.areadata.com.

Un Data Center se lo calificar si cumple todos los requerimientos de la capa o nivel correspondiente, caso contrario se lo calificar en la inmediata anterior, como se ilustra en la siguiente tabla:

Tabla 16: Requerimientos de un data Center Fuente: http://onunezm.blogspot.com/2010/01/data-centers.html

A continuacin se describen brevemente lo que debe tomar en cuenta en cada capa o nivel:

99

Tier I: Se refiere a la Infraestructura bsica, es susceptible a complicaciones por cualquier suceso, planificado o no, sus fallos inciden en el funcionamiento del Data Center, generalmente se utiliza en negocios pequeos, que utilizan solo procesos internos y a la web como herramienta de mercadeo, organizaciones que no necesitan de calidad de servicios. Tier II: Infraestructura que ya incluye componentes redundantes, cumple con todos los requerimientos de la Tier I, adems es necesario el generador y UPS redundante, se aplica generalmente a negocios pequeos, es limitado el uso de equipos en las horas normales de trabajo, estas compaas no ofrecen servicios online o realtime, su negocio se basa en internet, pero igual no es necesaria la calidad de servicios. Tier III: En esta infraestructura se aplica el mantenimiento continuo o redundante, los paths de distribucin son redundantes (activa y pasivas), los componentes de preferencia son cambiables en caliente, sin interrumpir el sistema, pueden ocurrir eventos no planeados, se eleva el riesgo durante el mantenimiento. Se aplica a organizaciones que dan soporte continuo, es decir, online o realtime, trabajan ptimamente en empresas transnacionales. Tier IV: Infraestructura con tolerancia a fallas, cumple con las caractersticas de las capas anteriores, en este caso tiene varios paths de distribucin activos y pasivos de carcter redundante, los eventos no planeados no generan interrupcin, nicamente podra suceder por alarmas de incendio y apagado de energa de emergencia. Se aplican a organizaciones internacionales, que realicen operaciones de mercadeo activo y online, entidades financieras, etc. A continuacin se muestra una tabla de mximo tiempo fuera que puede estar el Data Center de acuerdo a la tier correspondiente:
TIER I Downtime anual Disponibilidad 28.8 h 99.671% TIER II 22.0h 99.741% TIER III 1.6h 99.982% TIER IV 0.8h 99.995%

Tabla 17: TIER - Mximo tiempo fuera de un Data Center Fuente: White Paper: Tier Classification Defines Site Infraestructure Performance UPTIME INSTITUTE, INC.

100

4.3. VULNERABILIDAD DE LOS SISTEMAS INFORMTICOS. La alta probabilidad de ocurrencia de un riesgo informtico, puede darse por: virus, cdigos malignos, caballos de troya, gusanos, intromisin de hackers, etc., que pueden afectar por diferentes medios y formas. Existe el denominado negacin de servicio, que bsicamente ocupa un equipo como intermediario para afectar a otro, ya sea eliminando el servicio de red, sobresaturando el ancho de banda, cambiar el sitio web de la organizacin, etc., como corolario podemos manifestar que el aparecimiento de las redes de computadoras y las interredes, elevaron el nivel de riesgo y aparecimiento de vulnerabilidades en el mundo informtico y de comunicaciones. Con el fin de contrarrestar las vulnerabilidades y sus efectos, es necesario establecer polticas de seguridad, procedimientos y normas especficas, basadas en leyes globales y particulares. Las polticas configurarn la seguridad utilizando soluciones tecnolgicas, la implantacin de un plan de accin que maneje incidentes y recuperacin, con ello se disminuir el impacto sobre los datos y tambin sobre los equipos. Es necesario realizar un estudio cuantitativo y cualitativo que demuestre un costo/beneficio positivo, al momento de planificar la implementacin de seguridades, ya que no existe la seguridad absoluta. Gastos que podran incurrir en: utilizacin de antivirus, firewalls, autenticacin, definicin de controles, establecimiento de polticas, elaboracin de procedimientos y redundancia de lo actuado. 4.4. AMENAZAS A LA SEGURIDAD INFORMTICA 4.4.1. Amenazas Lgicas Este tipo de amenazas se refieren a las puertas abiertas que se deja al instalar y configurar sistemas operativos y aplicaciones, tambin en ciertas empresas los usuarios desconocen el tema de seguridad de la informacin. Sin embargo los ltimos aos, las empresas se han
101

dado cuenta que proteger este activo intangible es prioritario y se asigna significativo presupuesto tendiente a solucionar este problema. Peridicamente la CERT11 publica los "advisories", que contienen avisos de seguridad, resultado de las investigaciones de vulnerabilidades y riesgos en el software. 4.4.2. Acceso - Uso - Autorizacin La combinacin de los tres conceptos pueden ocasionar que sea lcita o ilcita la accin, es decir, si a un usuario se le asigna acceso autorizado, quiere decir que est autorizado a usar cierto recurso; los atacantes no tienen acceso autorizado por lo tanto hacen uso de recursos de una forma desautorizada, pero internamente el sistema lo comprende como autorizado. Un ataque es el acceso o intento de acceso a un sistema de una forma desautorizada, usando recursos que tampoco estaban autorizados. Un incidente es un conjunto de ataques. John D. Howard [13] en un estudio realizado en 1995, sobre anlisis de seguridad en Internet, realiza una clasificacin del nmero de ataques que puede tener un incidente, concluyendo que vara entre 10 y 1000, estimando un promedio por incidente de 100 ataques. 4.4.3. Identificacin de las Amenazas El objetivo del atacante, el tipo de ataque, la forma de acceso y cmo opera, configuran la identificacin de las amenazas en un sistema informtico. Como consecuencia del ataque podra ocurrir: corrupcin de los datos, denegacin de servicios y fuga de informacin (o redireccionamiento en la comunicacin). A diario se producen ms ataques informticos, cuyas caractersticas son, ser ms sofisticados, difciles de encontrarlos y automticos. En el grfico 17 se muestra una breve sntesis de

CERT: Empresa de servicios especializados en las reas de consultora y educacin para la conectividad de redes y telecomunicaciones.

11

102

algunos tipos de atacantes, las herramientas que utilizan, mtodo de acceso para el ataque, los resultados y el objetivo de la infraccin [14].

Grfico 17: Detalle de Ataques Fuente: HOWARD, Jhon D. Thesis: An Analysis of security on the internet 1989-1995. Carnegie Institute of Technology. Captulo 6 pg. 73

4.4.4. Tipos de Ataques Las categoras generales de amenazas o ataques [15], son las siguientes: Interrupcin: afecta la disponibilidad, porque pueden llegar a destruir un recurso o dejarlo inhabilitado. Tpicos ejemplos: cdigo que formatea discos, produce cortos entre tarjetas, bajar lneas de comunicacin, etc.
x

Intercepcin: afecta la confidencialidad, usuario no autorizado logra acceder, el usuario puede ser un equipo, programa o persona. Se producen al pinchar lneas de comunicaciones, copiar ilcitamente programas o datos, etc. Modificacin: afecta la integridad, usuario no autorizado accede a los recursos y los modifica. Los programas luego del ataque funcionan de forma diferente, han cambiado valores de configuracin, administracin y/o gestin. Fabricacin: afecta la autenticidad, entidad o usuario no autorizado inserta objetos falsos en el sistema.
103

De acuerdo al impacto, los ataques se clasifican en pasivos y activos. Ataques pasivos El atacante lo que hace es escuchar y/o monitorizar la transmisin de datos, intercepta y analiza el trfico. Generalmente, se ocupa de obtener fuente y destino de un mensaje, medir el volumen de trfico, medicin de hbitos en las transmisiones para capturar informacin de misin crtica. sofisticados mtodos de cifrado. Ataques activos En este caso el atacante tiene como objetivo modificar los datos y redireccionar el destino de la transmisin. Los principales ataques categorizados en este tipo son: suplantacin de identidad, reactuacin, modificacin de mensajes y degradacin fraudulenta del servicio. Los ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc. Hace varios aos, los ataques involucraban poca sofisticacin tcnica. Los Insiders (operadores, programadores, data entrys que estn dentro de la empresa) utilizaban sus permisos para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando una password vlida. A travs de los aos se han desarrollado formas cada vez ms sofisticadas de ataque para explotar "agujeros" en el diseo, configuracin y operacin de los sistemas, a continuacin se exponen diferentes tipos de ataques perpetrados, principalmente, por hackers [13].
a) Ingeniera Social.- Es la manipulacin de las personas para convencerlas de

Su deteccin es

complicada por cuanto no altera a los datos, su contra es la utilizacin de

que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad.

104

b) Ingeniera Social Inversa.- Consiste en la generacin, por parte de los intrusos,

de una situacin inversa a la originada en Ingeniera Social.

c) Trashing (Cartoneo).- Generalmente, un usuario anota su login y password en

un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por ms inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema..."nada se destruye, todo se transforma". El Trashing puede ser fsico (como el caso descrito) o lgico, como analizar buffers de impresora y memoria, bloques de discos, etc. El Trashing fsico suele ser comn en organizaciones que no disponen de alta confidencialidad, como colegios y universidades.
d) Ataques de Monitorizacin.-Este tipo de ataque se realiza para observar a la

vctima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.
e)

Denial of Service (DoS).- Los protocolos existentes actualmente fueron diseados para ser empleados en una comunidad abierta y con una relacin de confianza mutua. La realidad indica que es ms fcil desorganizar el funcionamiento de un sistema que acceder al mismo; as los ataques de Negacin de Servicio tienen como objetivo saturar los recursos de la vctima de forma tal que se inhabilita los servicios brindados por la misma.

f) Ataques de Modificacin

(Dao.-Tampering o Data Diddling).- Esta

categora se refiere a la modificacin desautorizada de los datos o el software instalado en el sistema vctima (incluyendo borrado de archivos). 4.4.5. Errores de Diseo, Implementacin y Operacin Muchos sistemas estn expuestos a "agujeros" de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de "puertas invisibles" son descubiertas (cada da) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrnico y todas clase de servicios informtico disponible.

105

Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros ms conocidos y controlados que aquellos que existen en sistemas operativos cerrados (como Windows). La importancia (y ventaja) del cdigo abierto radica en miles de usuarios analizan dicho cdigo en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata. Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de seguridad (y herramientas de Hacking que los explotan), por lo que hoy tambin se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado. 4.4.6. Implementacin de las Tcnicas En internet existen diferentes tipos de programas que son la aplicacin de las distintas tcnicas, estn en versiones ejecutables, y de otros se encuentra el cdigo fuente, generalmente en lenguaje C, Java y Perl. Cada una de las tcnicas explicadas (y ms) pueden ser utilizadas por un intruso en un ataque. A continuacin se intentarn establecer el orden de utilizacin de las mismas, pero siempre remarcando que un ataque insume mucha paciencia, imaginacin acumulacin de conocimientos y experiencia dada (en la mayora de los casos) por prueba y error. a) Identificacin del problema (vctima): en esta etapa se recopila toda la informacin posible de la vctima. Cuanta ms informacin se acumule, ms exacto y preciso ser el ataque, ms fcil ser eliminar las evidencias y ms difcil ser su rastreo. b) Exploracin del sistema vctima elegido: en esta etapa se recopila informacin sobre los sistemas activos de la vctima, cuales son los ms vulnerables y cuales se encuentran disponibles. Es importante remarcar que si la victima parece apropiada en la etapa de Identificacin, no significa que esto resulte as en esta segunda etapa.

106

c) Enumeracin: en esta etapa se identificaran las cuentas activas y los recursos compartidos mal protegidos. La diferencia con las etapas anteriores es que aqu se establece una conexin activa a los sistemas y la realizacin de consultas dirigidas. Estas intrusiones pueden (y deberan) ser registradas, por el administrador del sistema, o al menos detectadas para luego ser bloqueadas.
d) Intrusin propiamente dicha: en esta etapa el intruso conoce perfectamente el

sistema y sus debilidades y comienza a realizar las tareas que lo llevaron a trabajar, en muchas ocasiones, durante meses. Contrariamente a lo que se piensa, los sistemas son difciles de penetrar si estn bien administrados y configurados. Ocasionalmente los defectos propios de la arquitectura de los sistemas proporciona un fcil acceso, pero esto puede ser, en la mayora de los casos, subsanado aplicando las soluciones halladas. 4.4.7. Cmo defenderse de estos Ataques? La mayora de los ataques mencionados se basan en fallos de diseo inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo. La solucin inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos. 4.5. NIVELES DE SEGURIDAD A IMPLEMENTAR EN EL GPI.

Los niveles de seguridad son: el nivel fsico y el lgico, en los cuales siempre se regirn los estndares ISO de la serie 2700 y tambin el TIA-942 En el Nivel Lgico, un aspecto vital para el GPI es la proteccin de datos confidenciales y delicados, en el posible evento de que tal informacin se haga pblica, el GPI puede llegar a enfrentar consecuencias legales o financieras. Por lo menos sufrirn la prdida de la
107

confianza de los ciudadanos. En la mayora de los casos, se puede recuperar de las prdidas a nivel financiero y de otras con una inversin o una compensacin apropiada. El tener informacin de diferentes niveles de seguridad en el mismo sistema implica una amenaza real. No es fcil aislar diferentes niveles de seguridad de informacin aunque los diferentes usuarios inician sesin utilizando diferentes cuentas con permisos diferentes y controles de acceso diferentes. Algunas organizaciones incluso llegan a comprar sistemas especiales para cada nivel de seguridad; sin embargo, con frecuencia esto es excesivamente costoso. Se requiere un mecanismo para habilitar a los usuarios en diferentes niveles de seguridad para acceder sistemas de manera simultnea sin el temor de sufrir contaminacin de la informacin. Al GPI se le recomienda utilizar una seguridad Multi-Nivel, en la cual se debe clasificar el tipo de usuario del sistema de informacin. Se debe otorgar a los usuarios las autorizaciones apropiadas antes de que puedan ver informacin clasificada. Aquellos con autorizacin confidencial solamente tienen autorizacin para ver documentos confidenciales y no se les permite ver informacin secreta o reservada. Las reglas que aplican al flujo de datos operan desde los niveles ms bajos a los ms altos y nunca de manera inversa (ver grfico 18).

Usuario con autorizacin reservada (Mxima a Seguridad) Segu

Usuario con autorizacin) (Seguridad uridad Secreta) S

Usuario Confidencial (Seguridad idad Moderada) M

Usuario sin ninguna clasificacin

Grfico 18: Seguridad Multinivel en el GPI

108

CAPTULO V: POLTICAS Y PROCEDIMIENTOS

5.1 DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD En el Gobierno Provincial de Imbabura, todos los empleados tienen acceso a Internet, se tiene aplicaciones que corren sobre la web, los ciudadanos tienen acceso a estas aplicaciones, por esta razn se ha definido los recursos que necesitan proteccin, de esta forma se controla el acceso a los sistemas y se administra los diferentes roles de usuario, tanto para acceso a la Intranet, as como el acceso desde Internet. Para los casos cuando los usuarios no se encuentran en sitio, o por algn motivo deben alejarse del lugar habitual de trabajo, los directivos y empleados pueden realizar su trabajo remotamente, especialmente en el sistema de gestin documental y en el sistema administrativo financiero, adems del uso de la telefona IP utilizando un tnel VPN, especialmente configurado para el efecto. Una de las polticas implementadas para salvaguardar la Informacin, es el realizar backups diarios de la informacin, misma que se graba en medios externos con el fin de protegerla y custodiarla con altos niveles de seguridad. El GPI, reconoce que la informacin tiene el carcter de: Crtica, porque es indispensable para garantizar la continuidad operativa de la institucin. Valiosa, que inclusive para el anlisis costo / beneficio, se ha tomado en cuenta la premisa que dice que el valor de la informacin es igual al patrimonio de la Institucin. Sensitiva, es apropiada para los funcionarios de acuerdo a su rol o competencia dentro de la Institucin.
109

Identificados los riesgos de la Informacin, se concluye que la seguridad informtica debe garantizar al menos: Disponibilidad Recuperacin de fallo. Integridad de la informacin. Confidencialidad de la informacin.

5.2 TIPOS DE MEDIDAS DE SEGURIDAD Tienen como objetivo definir las directrices que orientan al departamento de gestin tecnolgica, a implementar procesos para proteger la informacin del GPI y los recursos involucrados. Al entrar en el proceso de elaboracin de un nuevo Plan Informtico, la poltica de la Direccin se encaminan a la utilizacin de estndares internacionales, observando criterios de austeridad econmica, eficiencia, eficacia, efectividad, que tengan indicadores que puedan ser medibles y fciles de utilizar para optimizar su validez y desempeo. Uno de los problemas que enfrenta el proyectista informtico, es la falta de criterios estandarizados para cuantificar los riesgos y amenazas. Pero, al momento de poner en marcha un proyecto, se debe equilibrar la implementacin de medidas de seguridad interna o externa, ya que lo que ganemos en algo, podemos perder en otra actividad. En el GPI, se recomienda adoptar los siguientes tipos de medidas de seguridad: 5.2.1 Medidas Fsicas Se relacionan con los accesos fsicos que no han sido autorizados, tambin entran en este tipo las amenazas causadas por fenmenos naturales o efectos nocivos medioambientales, por lo que en este caso se recomienda seguridades fsicas en el permetro donde se ubica el Data Center. A manera de resumen, se procede a enumerar algunas medidas en concreto:
110

Control de condiciones medioambientales (temperatura, humedad, polvo, etc....). Prevencin de catstrofes (incendios, tormentas, cortes de fluido elctrico, sobrecargas, etc.). Vigilancia (cmaras, guardias, etc.). Sistemas de contingencia (extintores, fuentes de alimentacin elctrica ininterrumpida, estabilizadores de corriente, fuentes de ventilacin alternativa, etc.). Sistemas de recuperacin (copias de seguridad, redundancia, sistemas alternativos geogrficamente separados y protegidos, etc.). Control de la entrada y salida de material (elementos desechables, consumibles, material anticuado, etc.).

5.2.2 Medidas Lgicas En este caso, se recomienda medidas para preservar el acceso a los sistemas y a la informacin almacenada, a la implementacin de estrictas normas en la definicin de roles de usuarios. Las principales medidas que se sugiere al GPI, tomar en cuenta en este campo son: Definicin por escrito de polticas de control de acceso, que incluya normativa para autentificar e identificar a los usuarios autorizados, implementando altos niveles de seguridad. Definir un reglamento de instalacin y copia de software. Uso de la criptografa para proteger los datos y las comunicaciones. Uso de FireWall y reglas de control de acceso. Reglamento para sacar backups y su conservacin. Establecimiento de una base de datos maestra, que tenga controles de logeo y pistas de auditora. Definicin clara de los roles de usuario (administrador del sistema, administrador de seguridad, usuarios, operadores, etc.). 5.2.3 Medidas Administrativas

111

Son todas aquellas que se deben tomar en cuenta para la correcta aplicacin de la normativa general y la normativa particular acerca de la seguridad informtica de la institucin, para el efecto se debe socializar y difundir las polticas de seguridad, que todos los involucrados conozcan quienes son los que fijan estas polticas y se encargan de su ejecucin, debe considerarse en el plan de capacitacin del personal. El plan de capacitacin se debe organizar para anclar el trabajo o funcin del usuario con los mdulos de los sistemas que correspondan, haciendo hincapi en las cosas ms obvias que puedan suceder y que a veces se convierten en fallos involuntarios, pero que pueden causar serios inconvenientes de seguridad, es decir se debe crear conciencia en el funcionario sobre los problemas que pueden ocurrir y afectar a la seguridad de la informacin. 5.2.4 Medidas Legales Se recomienda en este caso, crear y adoptar un vademcum legal que se relacione con los procesos y procedimientos de la seguridad informtica, aspecto que debe publicarse, socializarse y concientizarse a lo interno y externo del GPI. Se debe crear un reglamento interno que sea concomitante con lo que dictaminan las prevenciones y sanciones estipuladas en el Cdigo Penal ecuatoriano. 5.3 RIESGO RESIDUAL A lo interno del GPI, se ha tomado muy en serio la administracin del riesgo informtico, no slo desde el campo de responsabilidad de los encargados de las TICs, sino tambin de las autoridades y dems miembros de la institucin. Se precisa realizar un anlisis inicial y continuo de los riegos informticos, mantener documentado y actualizado el desktop de activos tecnolgicos (tanto en hardware como en software), definir las principales vulnerabilidades y amenazas a las que son propensos esos activos y el impacto que generaran en la Institucin. En base a esa informacin, se aplica los controles necesarios que permitan mitigar los riesgos, inclusive en caso de que
112

existan vulnerabilidades que no puedan controlarse, debe declararse como riesgo sin control. Dentro del anlisis de riesgo es necesario elaborar una matriz de impactos en la que conste todo tipo de riesgo, proponer pesos para valorar los impactos tanto cuantitativa y cualitativamente y al final podamos priorizar los controles y acciones de mitigacin. Es importante que la administracin de riesgos identifique el riesgo residual y el riesgo total, as como la propuesta de tratamiento, evaluacin y gestin del riesgo. Se ha generalizado en el campo de la gestin de riesgos, la utilizacin de la siguiente frmula: [4] RT (Riesgo Total) = Probabilidad x Impacto Promedio Donde interviene la probabilidad anual de ocurrencia del riesgo multiplicada por el impacto promedio en trminos monetarios. Por definicin el riesgo remanente que queda luego de aplicar controles para mitigar el riesgo total es el riesgo residual. La norma BS ISO / IEC 27001:2005 nos seala que el riesgo residual no es el remanente que queda, sino que es un terico calculado durante el anlisis de riesgos. En el GPI, se realizar lo siguiente para analizar la gestin de riesgos: Identificar el parque computacional y de TICs. Identificacin de los procedimientos legales y de servicio que caracterizan los activos de TICs.
x x x x x

x x

Valoracin (tomando en cuenta depreciaciones) de los activos de TICs Valorar los impactos en riesgos de: confidencialidad, integridad y disponibilidad. Priorizar las amenazas y vulnerabilidades Evaluacin del riesgo. Clculo del riesgo.

113

Seguidamente se define las acciones o controles a implementar para mitigar el riesgo total y las acciones a tomar para los riesgos residuales. Las acciones deben tender a robustecer los controles existentes o proponer nuevos, en caso de necesidad eliminar los activos que son causa de riesgo, se debe continuar en acciones como el traspaso de riesgos a terceros (aseguradoras) o en ltimo caso en la imposibilidad de eliminar el riesgo, se recomienda convivir con l con el mximo cuidado. El siguiente esquema nos ilustra de mejor manera los pasos a seguir:

Grfico 19: Gestin del Riesgo en ISO 27005 Fuente: http://www.miguelangelhernandez.es/?p=607 [16]

114

En caso de que la evaluacin de riesgo no sea la adecuada, podemos repetir iterativamente, mejorando los anlisis contextuales, de acuerdo al siguiente esquema:

Grfico 20: Tratamiento del Riesgo Fuente: http://www.miguelangelhernandez.es/?p=607 [16]

5.4 EVALUACIN Y GESTIN DE RIESGOS La administracin de riesgos se convierte en el GPI, en una actividad continua, es decir, se debe evaluar constantemente los cambios en la estimacin de existencia de los riesgos por activo identificado, as como tambin la valoracin del impacto en los procesos y en la institucin. El grfico 21, ilustra este procedimiento.

Grfico 21: Proceso de Administracin del Riesgo Fuente: http://www.securityartwork.es/2009/01/30/seguridad-y-riesgos-en-las-tic-iv-proceso-de-administracion-delriesgo/ [17]

115

5.4.1

Los riesgos considerados en el GPI, se dividen en dos categoras:

Riesgos relacionados con el Proceso de Desarrollo (PD); Riesgos relacionados con el Talento Humano (RH). El rango de importancia definido es el siguiente: 1, importancia baja 10, alta importancia

Probabilidad De Ocurrencia

Importancia.

Descripcin

Impacto

Estrategia mitigacin

Desconocimiento de metodologa de desarrollo gil del personal de planta

Bajo. Puede ocurrir que no se apliquen estndares en el proceso de desarrollo, desviando los objetivos del proyectos y obteniendo resultados de baja calidad

Charlas y cursos sobre mtodos giles Investigacin de cada miembro del equipo sobre AD.

Una parte considerable del proyecto es la integracin con sistemas adquiridos

Alto. Establecer contacto Podra retrasar la integracin con autores para o definir de manera conocer detalles de inadecuada los aspectos los sistemas tcnicos para compartir adquiridos datos entre sistemas

Proceso de adquisicin de licencias sobre herramientas de desarrollo.

Bajo. Podra retrasar las tareas de Agilitar el proceso programacin debido a de compra problemas de licenciamiento de software.

Tabla 18: Riesgo Categora Proceso de Desarrollo en el GPI

116

Probabilidad De Ocurrencia

Importancia.

Descripcin

Impacto

Estrategia mitigacin

10

El talento humano posee actividades laborales que podran generar restricciones. Falta de personal tcnico para actividades de programacin.

Alto. Podra dilatarse el cumplimiento de tareas.

Establecer cronogramas de trabajo Evitar asignaciones de tareas fuera del contexto del proyecto Practicantes Contratar personal tcnico en programacin Practicantes

Alto. La magnitud del proyecto requiere la colaboracin de programadores

Tabla 19: Riesgo Categora Recurso Humano en el GPI.

5.4.2 Matriz de Riesgos en el GPI Para el anlisis y evaluacin de Riesgos en el GPI se toma en cuenta las amenazas tanto fsicas como lgicas. La matriz de riesgos, (ver tabla 20): x x En cada columna se presenta una Amenaza identificada En la fila de probabilidad se indica cun probable es que esa amenaza acte con independencia de los controles que existan o que se establezcan. La certeza es el 100% y la imposibilidad es del 0%. El porcentaje de cada columna es manejado independientemente. x En las filas siguientes se indica para cada uno de los Activos a proteger cul es el importe de la prdida media estimada que ocasionara esa amenaza en ese activo. Por ejemplo, por: Servidores se entiende las computadoras centrales que soportan las bases de datos, la gestin del correo electrnico, la red interna y otros servicios. Las terminales son los puestos de trabajo computarizados.
117

Los datos son la informacin de la organizacin. Instalaciones se refiere a toda la parte fsica, incluyendo edificio, mobiliario, componentes de red (cableados, routers, bridges, switches), etc. Personal son los recursos humanos.

Los datos precedentes permiten calcular la fila siguiente, Riesgo Total, el cual suma los productos de la probabilidad de la amenaza por el impacto, de toda la columna. A continuacin se presenta la Efectividad del Control actuante, o sea qu nivel de riesgo se puede mitigar. Por ejemplo los accesos no autorizados va internet pueden ser mitigados con un firewall, correctamente configurado. En la ltima fila, se indica el Riesgo Residual, que resulta de aplicar la efectividad del control al Riesgo Total.

118

RIESGO RESIDUAL DEL GPI SEGURIDAD LOGICA

SEGURIDAD FSICA

AMENAZAS Robo Fraude Ergometra Sabotaje

Incendio

Inundacin

Seales de Radar

Instalaciones Elctricas

Condiciones Climatolgicas

Seguridad con animales

Fallas

Virus

Riesgo con el P.D. 80% 10% 25% 50% 50% 100 1000 10 50 100 50 50 5 30 5 100 100 2 100 100 0 0 0 0 0 0 0 0 0 50 200 115 4,25 90 30% 50% 50% 80% 50% 60 57,5 2,15 72

Utilizacin de Detectores de Metal

Utilizacin de Sistema Biomtrico

Utilizacin de Guardias

Verificacin Automtica de Firmas

Probabilidad 80% Prdida media estimada que ocasionara la Amenaza 20 5 5 3 20 42,4 1899 30% 12,7 569,7 212,1 144 30% 15% 20% 30% 18 1414 720 60 0,7 10% 0,07 0 0 0 0 0 0 0,85 10% 0,085 10 0 0 0 2 2 5 5 107,5 30% 32,25 1000 1000 100 50 5 5 100 100 20 100 50 2 5 5 0 10 0 0 10 30% 3 1000 1000 1000 100 5 5 100 10 90% 70% 60% 30% 5% 5% 50% 50% 80% 80%

1%

5%

5%

10%

25%

Restringir acceso a los Programas y Archivos Asegurar que los operadores puedan trabajar sin supervisin minuciosa Utilizar correctamente Archivos Informacin recibida por el Destinatario

60 %

50%

Informacin Recibida sea igual que la transmitida Que existan Sistemas Alternativos de Transmisin

50%

ACTIVOS

(en miles de dlares) 1000 100 100 50 1000 100 0 0 5 5 1680 208 40% 20% 672 41,6 500 25 50 0 0 345 10% 34,5 100 25 50 0 0 87,5 20% 17,5 50 50 100 0 50 127,5 125 50% 63,75 62,5

Servidores

1000

200

50

10

Terminales

100

10

10

Datos

1000

50

50

50

Instalaciones

100

Personal

500

Riesgo Total

27

13,25

5,75

5,5

6,25

Efectividad del Control

30%

95%

95%

80%

95%

Riesgo Residual

8,1

12,6

5,4

4,4

5,9

Tabla 20: Riesgo Total - Riesgo Residual del GPI

Riesgo con el R.H.

119

5.4.3

CONTROLES

Del resultado de la matriz de riesgos del GPI (ver tabla 20), se observa que los valores son muy altos, por lo tanto es necesario que se realice una propuesta de acciones o controles que permitan mitigar las amenazas y vulnerabilidades tanto en la seguridad fsica como en la seguridad lgica. Se debe tomar en cuenta que la inversin en la implementacin del control no debe superar el estimado de prdida por presencia o actuacin del riesgo. 5.5 POLTICAS Y PROCEDIMIENTOS A SER IMPLEMENTADAS EN EL GPI El departamento de TICs del GPI en el 2011 ha propuesto una reingeniera de la red de datos y comunicaciones, as como tambin est elaborando el plan informtico tendiente a integrar los procesos de software, los mencionados proyectos al momento se encuentran en fase de aprobacin y asignacin de recursos econmicos. En ese sentido, al Gobierno Provincial de Imbabura se le propone adoptar las siguientes polticas y procedimientos, a ser tomadas en cuenta en el desarrollo de la reingeniera, durante y despus de que implementen sus proyectos. Definir un marco gerencial para iniciar y controlar la implementacin de la seguridad de la informacin, as como la distribucin de funciones y responsabilidades. x La gestin de activos informticos para que estos reciban un apropiado nivel de proteccin. x Asegurar a un nivel razonable que todos los medios de procesamiento o conservacin de informacin cuenten con medidas de proteccin fsica que evite el acceso o utilizacin indebida por personal no autorizado, as como permitan la continuidad de las operaciones. x Funcionamiento correcto y seguro de las instalaciones de procesamientos de la informacin y comunicacin. x Asegurar a un nivel razonable que la informacin y la capacidad de procesamiento manual y automtico, est disponible en el momento necesario para los usuarios
120

autorizados. Considerando la continuidad de la operacin tecnolgica que soporta los procesos institucionales. x Asegurar que los datos o transacciones cumplan con los niveles de autorizacin correspondiente para su utilizacin y divulgacin. x x x El registro e identificacin inequvoca de los usuarios de los sistemas. Evitar casos de suplantacin de identidad por medio de los recursos tecnolgicos. Mantener registro de auditora de los eventos ocurridos as como el responsable de su ejecucin. x Mantener los niveles de operacin razonables en los sistemas e infraestructura estratgica para el GPI. x La identificacin de riesgos relacionados al ambiente tecnolgico que no permitan soportar al GPI en su cumplimiento de objetivos. x Monitorear peridicamente eventos de intrusos en la red del GPI, utilizando herramientas adecuadas para el efecto. x x Uso adecuado de Passwords, con cambios peridicos de las mismas Establecer lineamientos necesarios que permitan resguardar la informacin institucional. x Establecer lineamientos necesarios que permitan resguardar los recursos tecnolgicos relacionaos a su gestin y consumo. x x x Mantener las mquinas actualizadas y seguras fsicamente Mantener personal especializado en cuestiones de seguridad (o subcontratarlo). Aunque una mquina no contenga informacin valiosa, hay que tener en cuenta que puede resultar til para un atacante, a la hora de ser empleada en un DoS12 coordinado o para ocultar su verdadera direccin. x No permitir el trfico "broadcast"(transmisin de un paquete que ser recibido por todos los dispositivos de la red) desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf (ataque de denegacin de servicio que utiliza mensajes de ping a la direccin de broadcast con spoofing que es el uso de tcnicas de suplantacin generalmente con usos maliciosos o de investigacin, para inundar).
12

DoS (Denial of Service): Servicios que deberan estar disponibles no lo estn.

121

x x x

Filtrar el trfico IP Spoof. Auditorias de seguridad y sistemas de deteccin. Mantenerse informado constantemente sobre cada una de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de informacin. Capacitacin continua al usuario.

Responsabilidades Se recomienda la integracin del Comit de Seguridad de la Informacin, que estar integrado por los Directores de: Tecnologas de la Informacin y Comunicacin, Administrativo, Financiero y de Recursos Humanos. La responsabilidad del comit ser: 9 Revisar y aprobar la Poltica de Seguridad de la Informacin. 9 Supervisar el Plan de Seguridad de la Informacin a travs de la revisin anual del Plan Estratgico del rea de Seguridad. 9 Definir proyectos de tecnologas que fortalezcan la seguridad de la informacin del servicio, producto e informacin. 9 Aprobar el manual de gestin de seguridad de la informacin y el plan de difusin respectivo hacia el interior del GPI. Entre otras responsabilidades se destacan: El rea de Seguridad de la Informacin, elaborar las polticas necesarias para proteger la informacin generada en el ambiente tecnolgico del GPI. x El director de cada dependencia, cumplir la funcin de notificar a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Poltica de Seguridad de la informacin y de todas las normas, procedimientos y prcticas que de ella surjan.

122

La Direccin de Tecnologas de la Informacin y Comunicacin, tiene la responsabilidad de otorgar las facilidades para la implementacin del sistema de Gestin de Seguridad de la Informacin y tomar decisiones estratgicas en el proceso. El responsable del rea Legal, brindar la asesora necesaria en el mbito legal y regulatorio, as mismo otorgar los lineamientos necesarios para no incurrir en incongruencias legales dentro del mbito de seguridad de la informacin. El rea de Control Interno del Departamento de Informtica, es responsable de practicar auditoras peridicas sobre el cumplimiento de las normas y procedimientos asociados al Sistema de Gestin de Seguridad de la Informacin.

Control de cumplimiento En caso de que haya incumplimiento de esta Poltica de Seguridad de la Informacin por parte de cualquier funcionario del GPI, se comunicar a la Direccin General de Recursos Humanos desde donde se tomarn las medidas de sancin respectivas.

123

CAPTULO VI: INGENIERA DEL PROYECTO

6.1.

MODELOS,

TCNICAS

HERRAMIENTAS

TECNOLGICAS

UTILIZADAS EN LA METODOLOGA DE INVESTIGACIN EN LA INFORMTICA FORENSE 6.1.1. La Evidencia Digital As como se han establecido diferentes definiciones para los delitos informticos, se han establecido diferentes y especiales consideraciones para su principal y especial insumo que es la evidencia digital. 9 Casey define la evidencia de digital como cualquier dato que puede establecer que un crimen se ha ejecutado (commit) o puede proporcionar una enlace (link) entre un crimen y su vctima o un crimen y su autor [18].
9

La evidencia digital es un tipo de evidencia fsica. Est construida de campos magnticos y pulsos electrnicos que pueden ser recolectados y analizados con herramientas y tcnicas especiales [18].

9 El conjunto de datos en formato binario, esto es, comprende los ficheros, su contenido o referencia a estos (metadatos) que se encuentran en los soportes fsicos o lgicos del sistema vulnerado o atacado [19]. 9 La evidencia digital es la materia prima para los investigadores, donde la tecnologa informtica es parte
fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafo para aquellos que la identifican y analizan en la bsqueda de la verdad: Es voltil, es annima, es duplicable, es alterable y modificable, es eliminable. Estas caractersticas advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informtica forense, tanto en procedimientos, como en tcnicas y herramientas tecnolgicas para obtener, custodiar, revisar, analizar y presentar la evidencia presente en una escena del delito. Adems, revela con respecto al tratamiento de la

124

evidencia digital, que se debe guardar especial cuidado a: su debido registro, admisibilidad, valor probatorio, preservacin transformacin y recuperacin

[20].

9 De acuerdo con el Guidelines for the Management of IT Evidence, la evidencia digital es: "cualquier informacin, que sujeta a una intervencin humana u otra semejante, ha sido extrada de un medio informtico". En este sentido, la evidencia digital, es un trmino utilizado de manera amplia para describir "cualquier registro generado por o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal [21]. 6.1.1.1. Dnde debe ser ubicada y cmo debe ser usada la Evidencia.

Segn Santiago Acurio Del Pino, es necesaria la categorizacin de la evidencia para diferenciar entre: un sistema informtico o hardware (evidencia electrnica) y la evidencia contenida en ste (evidencia digital), con el fin de establecer procedimientos adecuados para el manejo de cada tipo de evidencia, en la tabla 21 se muestra un detalle fsico y lgico para reconocimiento de la evidencia.
SISTEMA INFORMTICO 1. HARDWARE (Elementos Fsicos) EVIDENCIA ELECTRNICA

x El hardware es una mercanca ilegal cuando su posesin no

El hardware es mercanca ilegal o fruto del delito.

est autorizada por la ley. Ejemplo: en el caso de los decodificadores de la seal de televisin por cable, su posesin es una violacin a los derechos de propiedad intelectual y tambin un delito. El hardware es fruto del delito cuando este es obtenido mediante robo, hurto, fraude u otra clase de infraccin.

x Es un instrumento cuando el hardware cumple un papel

El hardware es un instrumento

x
El hardware es evidencia

importante en el cometimiento del delito, podemos decir que es usada como un arma o herramienta, tal como una pistola o un cuchillo. Un ejemplo seran los snifers y otros aparatos especialmente diseados para capturar el trfico en la red o interceptar comunicaciones. En este caso el hardware no debe ni ser una mercanca ilegal, fruto del delito o un instrumento. Es un elemento fsico que se constituye como prueba de la comisin de un delito. Por ejemplo el scanner que se us para digitalizar una imagen de pornografa infantil, cuyas caractersticas nicas son usadas como elementos de conviccin.

125

2. INFORMACIN (Elementos Lgicos) La informacin es mercanca

EVIDENCIA DIGITAL

cuando su posesin no est permitida por la ley, por ejemplo en el caso de la pornografa infantil. De otro lado ser fruto del delito cuando sea el resultado de la ilegal o el fruto del delito comisin de una infraccin, como por ejemplo las copias pirateadas de programas de ordenador, secretos industriales robados. x La informacin es un instrumento o herramienta cuando es usada como medio para cometer una infraccin penal. Son por ejemplo los programas de La informacin es un ordenador que se utilizan para romper las seguridades instrumento de un sistema informtico, sirven para romper contraseas o para brindar acceso no autorizado. En definitiva juegan un importante papel en el cometimiento del delito. x Esta es la categora ms grande y nutrida de las anteriores, muchas de nuestras acciones diarias dejan un rastro digital. Uno puede conseguir mucha La informacin es evidencia informacin como evidencia, por ejemplo la informacin de los ISPs, de los bancos, y de las proveedoras de servicios las cuales pueden revelar actividades particulares de los sospechosos
Tabla 21: Detalle fsico y lgico para reconocimiento de la Evidencia Fuente: Detalle fsico y lgico para reconocimiento de la Evidencia [22]

x La informacin es considerada como mercanca ilegal

Acurio Del Pino tambin sugiere clasificar las fuentes de evidencia digital, con el fin de que los investigadores forenses tengan una idea dnde buscar la evidencia digital, sta clasificacin es:
a) SISTEMAS DE COMPUTACIN ABIERTOS, son aquellos que estn compuestos de las llamadas computadores personales y todos sus perifricos como teclados, ratones y monitores, las computadoras porttiles, y los servidores. Actualmente estos computadores tiene la capacidad de guardar gran cantidad de informacin dentro de sus discos duros, lo que los convierte en una gran fuente de evidencia digital. b) SISTEMAS DE COMUNICACIN, estos estn compuestos por las redes de telecomunicaciones, la comunicacin inalmbrica y el Internet. Son tambin una gran fuente de informacin y de evidencia digital.

c) SISTEMAS CONVERGENTES DE COMPUTACIN, son los que estn formados por los
telfonos celulares llamados inteligentes o Smartphones, los asistentes personales digitales PDAs, las tarjetas inteligentes y cualquier otro aparato electrnico que posea convergencia digital y que puede contener evidencia digital [22].

126

6.1.1.2.

Procedimiento para la Incautacin de Equipos Informticos o Electrnicos

Cuando el investigador forense tiene sospecha o indicios de que existe evidencia digital en cualquier material (hardware y/o software), relacionado con un delito, debe seguir el siguiente procedimiento:
Antes de realizar un allanamiento e incautacin de Equipos Informticos o Electrnicos se debe tomar en cuenta lo siguiente: a) A qu horas debe realizarse? Para minimizar destruccin de equipos, datos. El sospechoso tal vez estar en lnea. Seguridad de investigadores. Utilizar seguridad. Evitar destruccin y alteracin de los equipos, o la evidencia contenida en esta. Embalajes de papel. Etiquetas. Discos y disquetes vacos. Herramienta. Cmara fotogrfica. Datos pueden estar en ms de un lugar, sistemas de red, conexiones remotas. Examen de equipos. Aparatos no especificados en la orden de allanamiento. Autorizacin para duplicar, reproducir datos encontrados (por ejemplo, un aparato contestador). f) Fijar/grabar la escena. g) Cmaras, videos, etiquetas. h) Cdigos/claves de acceso/contraseas. i) j) Buscar documentos que contienen informacin de acceso, conexiones en redes, etc. Cualquier otro tipo de consideracin especial (consideraciones de la persona involucrada: mdicos, abogados, informacin privilegiada, etc.).

b) Entrar sin previo aviso

c) Materiales previamente preparados (Cadena de custodia)

d) Realizar simultneamente los allanamientos e incautacin en diferentes sitios

e) Creacin de Respaldos en el lugar, creacin de imgenes de datos.

127

La falta de una orden de allanamiento e incautacin que ampare las actuaciones (sobre los equipos y sobre la informacin) de la Polica Judicial y la Fiscala puede terminar con la exclusin de los elementos probatorios por violacin de las Garantas Constitucionales. Art. 66 de la Constitucin [22].

6.1.1.3.

Escena del Delito

Los Investigadores que llegan primero a una escena del Delito tienen ciertas responsabilidades, las cuales segn Santiago Acurio Del Pino se resumen as:
a)

Observe y establezca los parmetros de la escena del delito : El primero en llegar a la escena,
debe establecer si el delito est todava en progreso, luego tiene que tomar nota de las caractersticas fsicas del rea circundante. Para los investigadores forenses esta etapa debe ser extendida a todo sistema de informacin y de red que se encuentre dentro de la escena. En estos casos dicho sistema o red pueden ser blancos de un inminente o actual ataque como por ejemplo uno de denegacin de servicio (DoS).

b) Inicie las medidas de seguridad: El objetivo principal en toda investigacin es la seguridad de los investigadores y de la escena. Si uno observa y establece en una condicin insegura dentro de una escena del delito, debe tomar las medidas necesarias para mitigar dicha situacin. Se deben tomar las acciones necesarias a fin de evitar riesgos elctricos, qumicos o biolgicos, de igual forma cualquier actividad criminal. Esto es importante ya que en una ocasin en una investigacin de pornografa infantil en Estados Unidos un investigador fue muerto y otro herido durante la revisin de una escena del crimen. c) Facilite los primeros auxilios: Siempre se deben tomar las medidas adecuadas para precautelar la vida de las posibles vctimas del delito, el objetivo es brindar el cuidado mdico adecuado por el personal de emergencias y el de preservar las evidencias. d) Asegure fsicamente la escena: Esta etapa es crucial durante una investigacin, se debe retirar de la escena del delito a todas las personas extraas a la misma, el objetivo principal es el prevenir el acceso no autorizado de personal a la escena, evitando as la contaminacin de la evidencia o su posible alteracin. e) Asegure fsicamente las evidencias: Este paso es muy importante a fin de mantener la cadena de custodia2 de las evidencias, se debe guardar y etiquetar cada una de ellas. En este caso se aplican los principios y la metodologa correspondiente a la recoleccin de evidencias de una forma prctica. Esta recoleccin debe ser realizada por personal entrenado en manejar, guardar y etiquetar evidencias. f) Entregar la escena del delito: Despus de que se han cumplido todas las etapas anteriores, la escena puede ser entregada a las autoridades que se harn cargo de la misma. Esta situacin ser diferente en cada caso, ya que por ejemplo en un caso penal ser a la Polica Judicial o al Fiscala

128

General del Estado; en un caso corporativo a los Administradores del Sistema. Lo esencial de esta etapa es verificar que todas las evidencias del caso se hayan recogido y almacenado de forma correcta, y que los sistemas y redes comprometidos pueden volver a su normal operacin.

g) Elaborar la documentacin de la explotacin de la escena: Es Indispensable para los

investigadores documentar cada una de las etapas de este proceso, a fi n de tener una completa bitcora de los hechos sucedidos durante la explotacin de la escena del delito

[22].

En el Manual de Manejo de Evidencias Digitales y Entornos Informticos, versin 2.0 del Dr. Santiago Acurio Del Pino Director Nacional de Tecnologa de la Informacin, se indica claramente los pasos a seguir en: la Reconstruccin de la Escena del Crimen, al encontrar un dispositivo Informtico o electrnico y cmo manejar sta situacin en el caso de que no exista un tcnico. 6.1.1.4. Ciclo de vida para la administracin de evidencia digital

Segn el Manual de Directrices para la Gestin de la evidencia Digital el ciclo de vida de la Evidencia Digital consta de seis etapas:

Grfico 22: Ciclo de Vida de la Administracin de la Evidencia Digital. Fuente: http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf [21]

a)

Diseo de la Evidencia.- En sta etapa se debe considerar la infraestructura tecnolgica, la correcta utilizacin de las medidas tecnolgicas de seguridad informtica, clasificar la informacin relevante de la institucin con el fin de que se pueda determinar los tiempos de retencin, la transformacin y la disposicin final de los documentos electrnicos.
129

b)

Produccin de la Evidencia.- Corresponde aqu disear, desarrollar y documentar los mecanismos de seguridad (certificados digitales), para las aplicaciones con el fin de poder contar y validar que es a aplicacin la que genera los registros electrnicos de una manera confiable e ntegra, de tal manera que se pueda identificar los cambios que se hayan presentado en dichos registros electrnicos.

c)

Recoleccin de la Evidencia.- A sta etapa concierne construir un razonamiento lgico para la recoleccin de la evidencia digital, asegurar el rea y registrar en medios fotogrficos y/o video la escena del delito en dnde se observe lo mayor posible todos los elementos informticos involucrados, sin olvidar de documentar todas y cada una de las actividades desarrolladas por el investigador informtico, sin dejar de lado el fortalecimiento permanente de la cadena de custodia de la evidencia.

d)

Anlisis de la Evidencia.- Se debe contar con profesionales capacitados tcnica y legalmente con el fin de que garanticen los trabajos realizados o a realizarse como: copias autenticadas de los registro electrnicos en medios forenses, validar y verificar la confiabilidad y limitaciones de las herramientas hardware y software utilizados en las labores forenses y sobre todo mantener la perspectiva de los anlisis efectuados sin descartar lo obvio.

e)

Reporte y Presentacin.- En sta etapa se debe mantener una copia de la cadena de custodia de la evidencia digital y preparar una presentacin lo ms clara y en trminos sencillos, el reporte debe tener caractersticas similares pero adems debe incluir las irregularidades encontradas, las conclusiones de los anlisis y evitar los juicios de valor no verificables.

f)

Determinar la Relevancia de la Evidencia.- La relevancia de la evidencia digital se demuestra con hechos y documentacin sobre los procedimientos aplicados en la recoleccin y anlisis de los registros electrnicos, stos pueden incluir la auditora peridica de los procedimientos realizados y el fortalecimiento de las polticas, procesos y procedimientos de la seguridad de la informacin asociados con el manejo de la evidencia digital.

6.2.

Modelos Conocidos

130

En internet existen varias guas que tienen por objetivo identificar la evidencia digital con el fin de que pueda ser usada en una investigacin y/o en un proceso legal, a continuacin se enuncian brevemente cinco guas existentes a nivel mundial de mejores prcticas en computacin forense. 6.2.1. RFC 3227

El RFC 3227: Gua Para Recolectar y Archivar Evidencia (Guidelines for Evidence Collection and Archiving) [23], es una gua de alto nivel para recolectar y archivar datos relacionados con delitos, muestra las mejores prcticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar la recoleccin y determinar cmo almacenar y documentar los datos, tambin explica algunos conceptos relacionados a la parte legal. 6.2.2. Gua de la IOCE La IOCE [24], public Gua para las mejores prcticas en el examen forense de tecnologa digital. (Guidelines for the best practices in the forensic examination of digital technology). Esta Gua provee una serie de estndares, principios de calidad y aproximaciones para la deteccin prevencin, recuperacin, examinacin y uso de la evidencia digital para fines forenses. Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todo el proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentacin en un proceso legal. Su estructura se resume en 4 fases principales, ver grfico 23:

131

Circunstancias de la Investigacin Recoleccin de la evidencia Autenticacin Anlisis Reporte Final

Presentacin de Resultados
Grfico 23: Metodologa Forense Fuente: http://www.ioce.org

6.2.3. Investigacin en la Escena del Crimen Electrnico (Gua DoJ 1) El Departamento de Justicia de los Estados Unidos de Amrica (DoJ EEUU), public Investigacin En La Escena Del Crimen Electrnico (Electronic Crime Scene Investigation: A Guide for First Responders) [25], sta gua se enfoca ms en la identificacin y recoleccin de evidencia. Su estructura es:
a) Dispositivos electrnicos (tipos de dispositivos que pueden encontrar y cul puede ser la posible evidencia). b) Herramientas para investigar y equipo. c) e) f) Asegurar y evaluar la escena. Recoleccin de evidencia. Empaque, transporte y almacenamiento de la evidencia. d) Documentar la escena.

g) Examen forense y clasificacin de delitos. h) Anexos (glosario, listas de recursos legales, listas de recursos tcnicos y listas de recursos de entrenamiento).

6.2.4. Examen Forense de Evidencia Digital El Departamento de Justicia de los Estados Unidos, tambin public la gua Examen Forense de Evidencia Digital (Forensic Examination of Digital Evidence: A Guide for

132

Law Enforcement) [25], la cual est pensada para ser aplicada en el momento de examinar la evidencia digital. Su estructura es:
a) c) e) f) Desarrollar polticas y procedimientos con el fin de darle un buen trato a la evidencia. Adquirir la evidencia. Documentacin y reportes. Anexos (casos de estudio, glosario, formatos, listas de recursos tcnicos y listas de recursos de entrenamiento). b) Determinar el curso de la evidencia a partir del alcance del caso. d) Examinar la evidencia.

6.2.5. Computacin Forense - Parte 2: Mejores Prcticas (Gua Hong Kong) El ISFS, Information Security and Forensic Society (Sociedad de Seguridad Informtica y Forense) creada en Hong Kong, public Computacin Forense - Parte 2: Mejores Prcticas (Computer Forensics Part 2: Best Practices). (Computer Forensics Part 2: Best Practices) [26], la cual cubre los procedimientos necesarios para el proceso forense, desde el examen de la escena del crimen hasta la presentacin de los reportes en un proceso judicial. Su estructura es:
a) c) e) f) Introduccin a la computacin forense. Evidencia digital. Consideraciones legales (orientado a la legislacin de Hong Kong). Anexos. b) Calidad en la computacin forense. d) Recoleccin de Evidencia.

6.3.

HERRAMIENTAS FORENSES.

A continuacin se presenta un anlisis de varias herramientas forenses, que podran ser utilizadas en caso de presentarse un delito informtico, no se intenta establecer una clasificacin o que la omisin de otras herramientas signifique la desaprobacin de las mismas, o que no existan otras posibles formas de delitos informticos (ver tabla 22).

133

HERRAMIENTAS FORENSES

SSL Proxis

NMAP

DEFT

FIRE

POF

SSL Checkers

SOAP UI

AIRCRACK

Tcptraceroute

Metasploit

WEB VULNERABILITY SCANNER

Cain&Abel

1 X daar X X

Violentando claves o sistemas. X X

Robo de claves para acceder a sistemas y daarlos u obtener informacin valiosa.

2 para

Obtencin y uso no autorizado.

El sabotaje o espionaje informtico.

Web Applicative Proxies

Network Login Auditors Brutter 2.0

Wireshark X X

Destruccin maliciosa de documentos.

Uso de instrucciones informacin.

4 X X X

Falsificacin informtica.

Edicin de contenido de documentos

Apropiacin ilcita claves Robo de claves mediante uso de aparatos tarjetas magnticas. computacionales y programabas.

Estafa.

Casinos en Internet, donde la ruleta virtual suele estar trucada.

Injurias y amenazas a travs del telfono mvil. X X

Enviar mensajes de amenazas a terminales mviles. X

Duplicar pginas de entidades bancarias.

Conseguir los datos necesarios para realizar transferencia bancaria.

Informaciones falsas sobre valores burstiles en Internet.

Difunde rumores sobre la valoracin. Su fin es alterar los precios X X X X X X X X X

10

Pornografa Infantil.

Carcter obsceno de una obra literaria.

11

Espionaje por medios informticos.

Registrar todo lo que la pc realiza. Se utiliza para obtener informacin confidencial

12

Piratera informtica.

Robar informacin de un servidor y propagarla.

EnCase X

Nro

DELITOS INFORMTICOS

DESCRIPCIN

134

13

Colocacin de bombas lgicas. X

Realizan ataques a la parte lgica del ordenador. Producen modificaciones o borrados de ficheros.

14

Trfico de rganos.

Poner en venta rganos en internet.

15

Uso ilegtimo de un terminal de telecomunicaciones. X X X

Se utiliza un terminal para realizar los fraudes. Ocasiona perjuicio en dinero para propietario.

16

Utilizacin de Internet como medio criminal. X X X

Difusin de contenidos o material ilcito. Incitacin al odio o a la discriminacin.

17

Acceso ilcito a sistemas informticos.

Es el acceso no autorizado a sistemas informticos ajenos, utilizando las redes pblicas de telefona.

18

Abuso de dispositivos que faciliten la comisin de delitos.

Uso de aplicaciones con fines maliciosos.

19

Interferencia en el funcionamiento de un sistema informtico. X X X

Interferencia a procesos importantes en un empresa.

20

Manipulacin de los datos de entrada.

Sustraccin de datos.

21

La manipulacin de programas.

Modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas. X X

22

Piratas informticos o hackers.

El acceso se efecta a menudo desde un lugar exterior, situado en la red de telecomunicaciones

23

Reproduccin no autorizada de programas informticos de proteccin legal X

Trfico de esas reproducciones no autorizadas a travs de las redes de telecomunicaciones. X

24

Infraccin al copyright de bases de datos.

Uso no autorizado de informacin almacenada en una base de datos.

135

25

Estratagemas.

Ocultar computadoras que se "parecen" electrnicamente a otras para lograr acceso a algn sistema. X X X

26

Terrorismo.

Mensajes annimos aprovechados por grupos terroristas, existencia de hosts que ocultan la identidad.

27

Fraude en la administracin de personas jurdicas. X

Cotizacin de acciones, bonos y valores o la venta de equipos de computadora en regiones donde existe el comercio electrnico.

28

El fraude de una compaa de seguros.

Incluyendo en los listados beneficiados de plizas inexistentes.

29

El fraude en un banco.

Adulterando movimientos o saldos de cuentas.

30 X X X

El fraude con tarjetas de La realizacin de copias ilegales de crdito. software, violando los derechos de autor. X

31

Interceptacin de email. X X X

Lectura de un mensaje electrnico ajeno.

32

Cracking.

Robar o destruir informacin valiosa, realizar transacciones ilcitas, o impedir funcionamiento de redes. X

33

Apropiacin de una cuenta de correo ajena.

Reenviar mensajes de la misma con informacin de carcter privado.

34

Ventas ilegales en Internet.

Empresas ficticias que se valen de la buena fe de las personas consiguen embolsar grandes cantidades X

35

Blanqueo de dinero.

Transferencia electrnica de mercancas o dinero para lavar las ganancias que deja el delito.

36

Clonacin de tarjetas.

Los ladrones conectan un skimer a una computadora para copiar la informacin de una banda magntica.

136

37

Revisin macrofilm.

Es una tcnica de archivamiento de documentos basado fundamentalmente en el cambio de soporte de los documentos electrnicos

38

Delitos informticos contra la privacidad. X X X

Quien sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carcter personal o familiar de otro.

39

Interceptacin de las comunicaciones.

Uso de artificios tcnicos de escucha, transmisin, grabacin o reproduccin del sonido o de la imagen o de cualquier otra seal de comunicacin

40

Variacin de los activos y pasivos en la situacin contable de las empresas. X

Alteracin de balances econmicos.

41

Interrupciones en la De igual manera programacin maliciosa lgica interna de los que afecte informacin valiosa programas.

42

Virus informticos.

Es una serie de claves programticas que pueden adherirse a los programas legtimos y propagarse a otros programas informticos

43

Obtencin de informacin residual impresa en papel luego de la ejecucin de trabajos. X X

Obtener informacin no autorizada.

44

Espionaje industrial.

Accesos no autorizados a sistemas informticos de grandes compaas, usurpando diseos industriales, frmulas, sistemas de fabricacin y know how estratgico.

137

45

Atentado fsico contra la Daos computacionales fsicos. mquina o sus accesorios. X X

46

Secuestro de soportes magnticos.

Entre los que figure informacin valiosa con fines de chantaje (pago de rescate, etc.)

47

Programacin de instrucciones que producen un bloqueo total al sistema. X

Programacin de aplicaciones que afecten al sistema de informacin

48

Xenofobia por web.

Insulto por medio de redes sociales

49

Montaje fotogrfico.

Se encuentra usted, su cara o algn rasgo que por el cual se le pueda identificar, y ese montaje se ha difundido a travs del correo electrnico o se ha publicado en Internet, y usted se siente daado o perjudicado.

50

Delito de defraudacin en el fluido de las telecomunicaciones.

Nota que alguien est utilizando su ordenador o el de su empresa para dar algn tipo de servicio en Internet porque los programas van ms despacio y siente que su sistema se ha vulnerado.

51

Acceso no autorizado.

Uso ilegitimo de passwords y la entrada de un sistema informtico sin la autorizacin del propietario.

52

Juegos de azar.

El juego electrnico de azar se ha incrementado a medida que el comercio brinda facilidades de crdito y transferencia de fondos en la Red. X

53

Pesca u "olfateo" de claves secretas

Engaar a usuarios nuevos e incautos de la Internet para que revelen sus claves personales.

138

54

Datos falsos o engaosos (data dinddling).

Manipulacin de datos de entrada al computador con el fin de producir o lograr movimientos falsos en transacciones de una empresa.

55

Manipulacin de datos de salida.

La falsificacin de datos de cmputo en la fase de adquisicin de datos.

56

Manipulacin informtica.

Acceso a los programas establecidos en un sistema de informacin, y manipulacin para obtener una ganancia monetaria.

57

Sabotaje informtico.

Cuando se establece una operacin tanto de programas de cmputo, como un suministro de electricidad o cortar lneas telefnicas intencionalmente. X

58

Gusanos.

Se fabrica de forma anloga al virus con miras a infiltrarlo en programas legtimos de procesamiento de datos o para modificar o destruir los datos. X

59

Acceso no autorizado en sistemas informticos o Acceso no autorizado a Sistemas o Servicios. de servicio.

60

La tcnica del salami (Salami Technique/Rounching Down).

Rodajas muy finas , Apenas perceptibles , de transacciones financieras , se van sacando repetidamente de una en una.

61

Pishing.

Diseada con la finalidad de robarle la identidad al sujeto pasivo.

62

Ciberterrorismo.

Acto de hacer algo para desestabilizar un pas o aplicar presin a un gobierno. X X

63

Ataque de denegacin de servicio.

Estos ataques se basan en utilizar la mayor cantidad posible de recursos del sistema objetivo.

139

64 uso de las

Fuga de datos (data leakage).

Una variedad del espionaje industrial que sustrae informacin confidencial de una empresa.

65

Hurto del tiempo de computador.

Hurto del tiempo de computadoras en Internet.

66

Apropiacin de informaciones residuales (scavening).

Aprovechamiento de la informacin abandonada sin ninguna proteccin como residuo de un trabajo previamente.

67

Parasitismo informtico (piggibacking) y suplantacin de personalidad.

El delincuente utiliza la suplantacin de personas para cometer otro delito informtico.

68

Puertas falsas (trap doors).

Consiste en la prctica de introducir interrupciones en la lgica de los programas con el objeto de chequear en medio.

69

La llave maestra (superzapping).

Abre en forma no permitida cualquier archivo por muy protegido que est, con el fin de alterar, borrar, etc. los datos. X

70

Pinchado de lineas (wiretapping).

Consiste en interferir las lneas telefnicas de transmisin de datos para recuperar la informacin que circula por ellas.

71

Phreacker.

Es el especialista en telefona(Cracker de telfono).Un Phreaker posee conocimientos profundos de los sistemas de telefona, tanto terrestres como mviles

72 la

Spam.

Correos electrnicos, no solicitados para propsito comercial. X

73

Estafa informtica.

Los estafadores recopilan toda informacin necesaria de las vctimas.

74

Alterar el ingreso de datos de manera ilegal.

Conocen bien las redes de informacin de una empresa y pueden ingresar a ella para alterar datos como generar informacin falsa que los beneficie.

140

75

Hostigamiento / acoso.

Se dirige de manera especfica a un individuo o grupo con comentarios peyorativos a causa de su sexo, raza, religin, nacionalidad, orientacin sexual, etc.

76

Narcotrfico.

Transmisin de frmulas para la fabricacin de estupefacientes, para el blanqueo de dinero.

77

Lammers.

Aquellos que aprovechan el conocimiento adquirido y publicado por los expertos. Si el sitio web que intentan vulnerar los detiene, su capacidad no les permite continuar ms all.

78

Gurus.

Son los maestros, ensean a los futuros Hackers. Normalmente se trata de personas adultas.

79

Bucaneros.

Se trata de comerciantes. Los bucaneros venden los productos crackeados como tarjetas de control de acceso de canales de pago.

80

Newbie.

Es alguien que empieza a partir de una WEB basada en Hacking. Inicial-mente es un novato, no hace nada y aprende. X

81

Trashing.

Apunta a la obtencin de informacin secreta o privada que se logra por la revisin no autorizada de la basura.

82

Espionaje.

Acceso no autorizado a sistemas informticos gubernamentales y de grandes empresas e interceptacin de correos.

83

Pharming.

Consiste en la manipulacin de las direcciones DNS logrando as que la URL tecleada en el navegador de Internet no nos lleve a la pgina web de la entidad bancaria buscada.

141

84

Clientes poco expertos, suscriben contratos Timos de ISP on-line sin haber ledo el clausulado, por lo (proveedores de servicio que pueden encontrarse amarrados a un de internet). contrato de larga duracin.

85

Inyeccin SQL.

Atacan los sitios Web que dependen de bases de datos relacionadas, en este tipo de pginas Web los parmetros se pasan como una consulta de SQL.

86

IP spoofing.

Sustituir la direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar, puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP,UDP o TCP. X

87

Jamming / flooding.

Desactivan o saturan los recursos del sistema aqu el atacante satura el sistema con mensajes que requieren establecer conexin.

88

Consisten en la ejecucin de cdigo Script, son ataques dirigidos contra los usuarios y no contra el servidor Web, un atacante Cross-site scripting (xss). puede realizar operaciones o acceder a informacin en un servicio Web en nombre del usuario afectado.

89

Arp poisoning o arp poison routing.

Es una tcnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que permiten al atacante husmear paquetes de datos en LAN, modificar el trfico o incluso detener el trfico.

142

90

Ping flood.

Consiste en saturar una lnea lenta con un nmero de paquetes ICMP suficientemente grande. Esta saturacin causar una degradacin del servicio importante. X X

91

Ping de la muerte.

Es un tipo de ataque enviado a una computadora que consiste en mandar numerosos paquetes ICMP muy pesados mayores a 65.535 bytes con el fin de colapsar el sistema atacado. X

92

Land attack.

Consiste en bug (error) en la implementacin de la pila TCP/IP de las plataformas Windows.

93

Website-vandalism.

Modificacin del contenido y de la apariencia de determinadas pginas Web las cuales podran tomar el control de estos equipos para extraer informacin. X

94

Keyhost.

Los mensajes de correo podran ser redirigidos hacia los servidores de correo autorizados donde podran ser ledos, modificados o eliminados.

95

Teardrop i y ii-newtearbonk-boink.

Afectan a fragmentos de paquetes, algunas implementaciones de colas IP no vuelven armar correctamente los fragmentos que se superponen haciendo que el sistema se cuelgue.

96

Envenenamiento de cache.

Puede afectar a los usuarios atendidos directamente por el servidor comprometido o indirectamente por los servidores dependientes del servidor, el atacante explota una vulnerabilidad en el software de DNS que puede hacer que este acepte informacin incorrecta.

97

Spyware.

Conexiones a redes no autorizadas.

X X

98

Hacking wireless.

Ingreso a redes inalmbricas privadas.

99

Fingerprinting.

Se basa en analizar una serie de patrones que se obtienen de diversas formas de la mquina remota de la cual quieren obtener informacin Tabla 22: Herramientas Forenses Vs Delitos Informticos

143

6.4. METODOLOGA PARA EL ANLISIS FORENSE DEL GPI 6.4.1. CONCEPTUALIZACIN DE LA METODOLOGA Considerando que el anlisis Forense Informtico es una tcnica de capturar, procesar e investigar informacin procedente de sistemas informticos utilizando tcnicas predefinidas y en base al estudio realizado se propone la siguiente metodologa para detectar o tratar un incidente en la seguridad de la informacin en el GPI. 6.4.2. Revisiones operativas 6.4.2.1. 6.4.2.2. Revisin y correlacin de eventos Revisin de alarmas

6.4.3. Metodologa. Si tenemos indicios de que existe algn evento irregular procedemos a seguir la siguiente, (Ver grfico 24):
METODOLOGA PARA EL ANLISIS FORENSE DEL GPI.

IDENTIFICAR

Documentar los antecedentes de la investigacin

Organizar y definir el equipo de investigacin

Realizar una investigacin preliminar

Cadena de custodia de la evidencia

PRESERVAR

Obtener copia exacta del Disco Duro

Recopilar Datos

Almacenar y archivar

ANALIZAR

Anlisis de datos de la red

Anlisis de Datos de Host

Anlisis de medios de almacenamiento

DOCUMENTAR

Organizacin de la documentacin

Informe final

Grfico 24: Metodologa del Anlisis Forense GPI

144

IDENTIFICAR los equipos que pueden tener evidencia, reconociendo la frgil naturaleza de los datos digitales. PRESERVAR la evidencia contra daos accidentales e intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. ANALIZAR la imagen copia de la original buscando la evidencia o informacin necesaria REPORTE, despus de terminada la investigacin se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, por ejemplo a un Juez.

6.4.3.1.

FASE DE IDENTIFICACIN:

En esta fase, realizamos una evaluacin de los recursos, alcance y objetivos necesarios para realizar la investigacin interna (ver grfico 25).

FASE DE IDENTIFICACIN

a) Autorizacin por escrito (Solicitud Forense)

b) Organizar y Definir el Equipo de Investigacin

c) Investigacin Preliminar

d) Cadena de Custodia de la Evidencia

Grfico 25: Fase de Identificacin

En forma secuencial seguimos los siguientes pasos:

145

a) Autorizacin por escrito.- Se refiere

a obtener la solicitud forense

que es un

documento donde el administrador del equipo afectado notifica de la ejecucin de un incidente y para ello solicita a la unidad de seguridad la revisin del mismo, donde incluye toda la informacin necesaria para dar inicio al proceso de anlisis, se debe tomar en cuenta los acuerdos de confidencialidad. Se procede a llenar el siguiente formulario de solicitud (ver tabla 23):
SOLICITUD DE ANLISIS FORENSE DESCRIPCIN DEL DELITO INFORMTICO Fecha del Incidente: Duracin del incidente: Detalles del incidente:

INFORMACIN GENERAL rea: Nombre de Dependencia: Apellidos y Nombres: Cargo: Responsable del sistema afectado E-mail: Telf. Convencional: Telf. Mvil: Fax: INFORMACIN SOBRE EL EQUIPO AFECTADO Direccin IP: Nombre del Equipo: Marca y modelo: Capacidad de la RAM: Capacidad de Disco Duro: Modelo del Procesador: Sistema Operativo (Nombre y Versin): Funcin del Equipo: Tipo de informacin procesada por el equipo:
Tabla 23 : Ejemplo de Solicitud Forense.

Extensin

146

Es necesario documentar todas las acciones y antecedentes que preceden la investigacin, los acontecimientos y decisiones que se adoptaron durante el incidente y su respuesta al incidente, esto determinar el curso de accin a seguir en la Investigacin. b) Organizar y definir el Equipo de Investigacin, estableciendo lmites, funciones y responsabilidades. Esto nos permite asegurar que tanto los procesos como las herramientas sean las ms idneas. c) Realizar una Investigacin preliminar (documentada) que permita describir la situacin actual, hechos, las partes afectadas, posibles sospechosos, gravedad y criticidad de la situacin, infraestructura afectada, para lograr una compresin total de la situacin actual del incidente y definir un curso de accin acorde a la situacin, se puede obtener el valor crtico de los daos producidos por el ataque, utilizando la siguiente tabla:

EFECTOS DEL INCIDENTE Y RECURSOS AFECTADOS Criticidad de los Daos Producidos Recursos Afectados Incidente Graves Moderados Leves Alta Media Baja Acceso no Autorizado Servidor Web Servidor de Archivos Servidor de Aplicaciones Otros Infeccin de Virus Servidor Estacin de Trabajo Otros Observacin:

Firma Responsable: Fecha: Hora:

Tabla 24: Ejemplo de formato para receptar Efectos del incidente y Recursos Afectados

147

Adems para la investigacin preliminar se recomienda Identificar el Impacto y la sensibilidad de la informacin (de clientes, financieros, comerciales, de Investigacin y Desarrollo, etc.). Analizar el Impacto de los servicios, negocios, transacciones o acciones a travs de la investigacin del Incidente. Como, tiempos de inactividad, costos de equipos afectados o daados, prdida en ingresos, costos de recuperacin, prdida de informacin confidencial, prdida de credibilidad e imagen, etc. Identificar la topologa de red y equipos afectados (servidores, estaciones, Sistemas Operativos, Router, Switches, etc). Identificar los dispositivos de almacenamiento o elementos informticos (Discos Duros, Pen drive, memorias, tarjetas flash, Tapes, Zip Disk, pticos, Disquetes, Cds, Dvd, etc) que se consideren comprometidos y sean determinados como evidencia, su marca, modelo, caractersticas, seriales, etc. Identificar a los posibles implicados o funcionarios que tengan relacin con la investigacin y efectuar entrevistas, con usuarios o administradores responsables de los sistemas, documentando todo, para lograr un conocimiento total de la situacin. Realizar una recuperacin de los logs13 de los equipos de comunicacin y dispositivos de red, involucrados en la topologa de la red. El producto final de la investigacin preliminar, es un documento detallado con la informacin que permita definir un punto de inicio para la adquisicin de datos y para la elaboracin del documento final. d) Cadena de custodia de la evidencia.- Iniciamos la cadena de Custodia, llenando el formato correspondiente, iniciando un registro de los procesos que se llevan a cabo y el embalaje de la Evidencia, se debe determinar: 13

Dnde, cundo y quin es el primero en tener la evidencia. Dnde, cundo y quin examino la evidencia. Quin va a tener custodia de la evidencia y por cuanto tiempo la tendr.

Logs: Es usado para registrar datos o informacin sobre quin, qu, cundo, dnde y por qu un evento ocurre para un dispositivo en particular o aplicacin

148

6.4.3.2.

Quin y cmo se embal y almacen la evidencia. Cundo se realiza el cambio de custodia y como se realiza la transferencia. FASE DE PRESERVACIN

En esta segunda fase, se procede a obtener la evidencia sin alterarla o daarla, se garantiza que la informacin de la evidencia sea igual a la original, es necesario definir los procesos adecuados para el almacenamiento y etiquetado de las evidencias. Cuando estn las evidencias listas es preciso conservarlas intactas ya que son las huellas del ilcito, se las debe asegurar y resguardar a toda costa, para ello se sigue el siguiente proceso, (Ver grfico 26).

FASE DE PRESERVACIN

a) Obtener copia de seguridad exacta del Disco Duro b) Recopilar Datos

c) Almacenar y archivar
Grfico 26: Fase de Preservacin.

a) Obtener una copia de seguridad exacta del disco.- Realizar copia imagen de los dispositivos (bit a bit), con una herramienta apropiada, y firmar su contenido con un hash de MD514 o SHA115, generando as el segundo original, a partir de este se
14

MD5 (Algoritmo de Hash, Message-Digest Algorithm 5 o Algoritmo de Firma de Mensajes 5): Desarrollado por Ron Rivest. Procesa mensajes de una longitud arbitraria en bloques de 512 bits generando un compendio de 128 bits. 15 SHA-1 (Secure Hash Algorithm 1 o Algoritmo de Hash Seguro 1): El SHA-1 toma como entrada un mensaje 64 de longitud mxima 2 bits (ms de dos mil millones de Gigabytes) y produce como salida un resumen de 160 bits.

149

generaran las copias para la fase de Anlisis de datos, cada copia debe ser comprobada con firmas digitales nuevamente de MD5 o SHA1, cada copia debe estar totalmente etiquetada. b) Recopilacin de Datos.- Es importante considerar las buenas prcticas para conservar la informacin y la evidencia, tales como:
x

Asegurar de manera fsica un lugar para almacenar los datos, evitando su manipulacin y documentar. Proteger los equipos de almacenamiento de los campos magnticos (esttica). Realizar como mnimo el segundo original y una copia del segundo original para el anlisis y almacenar el segundo original en un sitio seguro, y documentar. Asegurar que la evidencia est protegida digital y fsicamente (por ejemplo, en una caja fuerte, asignar una contrasea a los medios de almacenamiento). Actualizar el documento de cadena de custodia (incluye informacin como el nombre de la persona que examina la evidencia, la fecha exacta y el tiempo que da un vistazo a las pruebas, y la fecha exacta y hora en que lo devuelva).

x x

De igual forma, se toman otras fuentes de informacin de los sistemas vivos, los datos voltiles como:
x x x x

Cache del Sistema Archivos temporales Registros de sucesos. Registros de internos y externos que los dispositivos de red, tales como firewalls, routers, servidores proxy, etc. Logs del sistema, Aplicaciones. Tablas de enrutamiento (arp, cache de Netbios, lista de procesos, informacin de la memoria y el kernel) Registros remotos e informacin de monitoreo relevante.

x x

Es importante documentar la evidencia con un documento del embalaje (y cadena de custodia) que puedan garantizar que se incluye informacin acerca de sus configuraciones, por ejemplo, anote el fabricante y modelo, configuracin de los puentes, y el tamao del dispositivo. Adems, tenga en cuenta el tipo de interfaz y de la condicin de la unidad.
150

b) Almacenar y archivar.- Iniciar una Bitcora, que nos permita documentar de manera precisa e identificar y autenticar los datos que se recogen. Se puede iniciar contestando el siguiente cuestionario: -

Quin realiza la accin y por qu lo hicieron. Qu estaban tratando de lograr? Cmo se realiza la accin, incluidas las herramientas que utilizaban y los procedimientos que siguieron. Cuando se realiz la accin (fecha y hora) y los resultados.

Se pretende que esta informacin sea: Autntica, Correcta, Completa, Convincente. Para que en caso de un proceso judicial sea legal y admisible. 6.4.3.3. FASE DE ANLISIS.

FASE DE ANLISIS

a) Anlisis de datos de la Red

b) Anlisis de Datos de Host

c) Anlisis de Medios de Almacenamiento

Grfico 27: Fase de Anlisis

Primeramente debemos preparar: un entorno de trabajo adecuado, las herramientas tcnicas, autorizaciones de monitoreo y soporte administrativo; luego empezamos a cumplir con el objetivo de sta fase que es reconstruir con todos los datos disponibles la lnea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento; siempre trabajando en
151

las imgenes de los dispositivos. Este anlisis se dar por terminada cuando se descubra cmo se produjo el ataque, quin o quienes lo llevaron a cabo, bajo qu circunstancias se produjo, cul era el objetivo del ataque, qu daos causaron, etc. En sta fase se seguir tres pasos: a) Anlisis de Datos de la Red.- Se identifica los dispositivos de comunicacin y de defensa perimetral (Servidores Web, Firewall, IDSs, IPSs, Proxys, Filtros de Contenido, Analizadores de Red, Servidores de Logs, etc) que estn en la Red, con la finalidad de recuperar los logs que se han tomado como parte de la gestin de red. b) Anlisis de los Datos del Host.- Generalmente se logra con la informacin obtenida de los sistemas vivos, de la lectura de las Aplicaciones y los Sistemas Operativos. Para nuestro caso, debemos de limitarnos a tratar de recuperar estos archivos de la evidencia en procesos de Data Carving (proceso de extraer una serie de datos de un gran conjunto de datos. La tcnica de Data Darving se utiliza habitualmente durante una investigacin digital cuando se analiza el espacio no ubicado de un sistema de ficheros para extraer archivos. Los archivos son desenterrados del espacio no ubicado utilizando valores para las cabeceras y pies especficos del tipo de archivo.) o recuperacin de datos, y definir criterios adecuados de bsqueda, debido a que lo ms probable es que encontremos una gran cantidad de informacin que nos puede complicar o facilitar el anlisis de datos, dependiendo de nuestros objetivos de bsqueda. Posteriormente se define a que archivos le realizaremos la bsqueda.
c) Anlisis de los Medios de Almacenamiento.-Igual que el punto anterior debemos

definir criterios de bsqueda con objetivos claros, debido a la gran cantidad de informacin disponible, que nos puede desviar la atencin o sencillamente complicar el proceso de anlisis de la informacin se debe tener en cuenta las siguientes puntos: No olvidemos, que se debe utilizar la copia del segundo original, a su vez el segundo original preservarlo manteniendo un buen uso de la cadena de custodia. Determinar si los archivos no tienen algn tipo de cifrado (varias claves del registro no lo pueden determinar). Preferiblemente descomprimir los archivos con sistemas de compresin. Crear una estructura de Directorios y Archivos recuperados.
152

Identificar y recuperar los archivos objetivo (determinados por algunos criterios, por ejemplo aquellos que han sido afectados por el incidente). Estudio de las Metadatos (en especial identificar las marcas de tiempo, creacin, actualizacin, acceso, modificacin, etc.). La evidencia debe ser cargada de solo lectura, para evitar daos o alteraciones sobre las copias del segundo original.

Si la intensin es plantear un procedimiento judicial, es necesario tambin averiguar quin o quienes lo hicieron para esto ser de utilidad consultar nuevamente algunas evidencias voltiles que se recopil en las primeras fases, revisar las conexiones que estaban abiertas, en qu puertos y qu direcciones IP las solicitaron, adems buscar entre las entradas a los logs de conexiones. Tambin se puede investigar entre los archivos borrados que se recuper por si el atacante elimin alguna huella que quedaba en ellos, se podra utilizar tcnicas Hacker, pero en una forma tica, todo depende de la pericia y habilidad del investigador forense. 6.4.3.4. FASE DE REPORTE Y DOCUMENTACIN

FASE DE REPORTE Y DOCUMENTACIN

a) Organizacin de la Documentacin

b) Informe Tcnico e Informe Final

Grfico 28: Fase de Identificacin

Es la fase ms delicada e importante (ver grfico 28), en donde ya se genera el documento que sustentar una prueba en un proceso legal, si fuera el caso, bsicamente tener en cuenta estos dos pasos:

153

a) Organizacin de la Informacin: Retomar toda la documentacin generada en las fases anteriores de la metodologa propuesta, e igual cualquier informacin anexa como notas, antecedentes o informe policial, documentos de custodia de la evidencia, formularios de: identificacin de equipos y componentes, publicacin, recogida de evidencias. etc. Identificar lo ms importante y pertinente de la investigacin. Realizar conclusiones (tenga en cuenta los hechos) y crear una lista de las pruebas para presentar en el informe. b) Informe Final: Debe ser claro, conciso y escrito en un lenguaje entendible para gente comn (no muy tcnico). Debe contener como mnimo: Propsito del Informe.-. Explicar claramente el objetivo del informe, el pblico objetivo, y por qu se prepar el informe. Autor del informe. Todos los autores y co-autores del informe, incluyendo sus posiciones, las responsabilidades durante la investigacin, y datos de contacto. Resumen de Incidentes.- Introducir el incidente y explicar su impacto. El resumen deber estar escrito de manera que una persona no tcnica, como un juez o jurado sera capaz de entender lo que ocurri y cmo ocurri. Pruebas.- Proporcionar una descripcin de las pruebas de que fue adquirido durante la investigacin. Cuando el estado de la evidencia que describen la forma en que fue adquirida, cundo y quin lo adquiri. Detalles: x x x x x Proporcionar una descripcin detallada de lo que en la evidencia se analiz y los mtodos de anlisis que se utilizaron. Explicar los resultados del anlisis. Lista de los procedimientos que se siguieron durante la investigacin y de las tcnicas de anlisis que se utilizaron. Incluir una prueba de sus resultados, tales como los informes de servicios pblicos y las entradas de registro. Justificar cada conclusin que se extrae del anlisis.
154

Sellar documentos de apoyo, el nmero de cada pgina, y se refieren a ellos por el nombre de la etiqueta cuando se examinan en el anlisis; por ejemplo, registro de Firewall de servidor, documento de apoyo D.

Adems, proporcionar informacin sobre aquellos individuos que realizaron o participaron en la investigacin. Si es necesario proporcione una lista de testigos.

Conclusin.- Resumir los resultados de la investigacin. La conclusin debe ser especfica de los resultados de la investigacin. Citar pruebas concretas para demostrar la conclusin, pero no dar excesivos detalles acerca de cmo se obtuvieron las pruebas (tal informacin debe estar en la seccin Detalles). Incluir una justificacin para su conclusin, junto con las pruebas y la documentacin. La conclusin debe ser lo ms clara y sin ambigedades como sea posible. Documentos Justificativos.- Incluir cualquier informacin de antecedentes a que se refiere en todo el informe, tales como diagramas de red, los documentos que describen los procedimientos de investigacin de equipos usados, y un panorama general de las tecnologas que intervienen en la investigacin. Es importante que los documentos justificativos proporcionen informacin suficiente para que el lector del informe pueda comprender el incidente tan completamente como sea posible. Los documentos de apoyo deben estar etiquetados con letras y nmeros en cada pgina del documento y adems proporcionar una lista completa de los documentos justificativos

Si el informe es presentado a un pblico heterogneo, considerar la creacin de un glosario de trminos utilizados en el informe. Un glosario es especialmente valioso si el organismo de aplicacin de la ley no est bien informado sobre cuestiones tcnicas o cuando un juez o jurado debe revisar los documentos. 6.4.4. Aplicaciones de Herramientas Forenses en el GPI Como objetivo principal de sta investigacin es el anlisis forense informtico en el GPI, es as que se ha seleccionado un grupo de herramientas gratuitas para cumplir con ste
155

objetivo, cabe recalcar que en el GPI no se ha reportado, ni presentado ataques informticos, pero la investigacin pretende poner en alerta a sus directivos para que consideren y minimicen las vulnerabilidades que les podemos hacer notar que existen en sus instalaciones. Si bien es cierto que en los ltimos aos el nmero de herramientas forenses se han diversificado y multiplicado y se puede encontrar en el mercado desde las ms sencillas y econmicas, como programas de prestaciones muy limitadas y con costos de menos de US$300, hasta herramientas muy sofisticadas que incluyen tanto software como dispositivos de hardware. Es necesario tomar en cuenta que no todos los productos sirven para todo, algunos estn diseados para tareas muy especficas y ms an, diseados para trabajar sobre ambientes muy especficos, como determinado sistema operativo. Se ha utilizado herramientas gratuitas por la facilidad de adquisicin ya que en el GPI por la eventualidades conocidas por todos no cuenta con presupuesto para un estudio de esta naturaleza. 6.4.4.1. Herramienta AIRCRACK NG 1.0

Aircrack es la herramienta por excelencia para el crackeo de redes WiFi [27]. Con esta herramienta se pueden lanzar gran cantidad de ataques estadsticos y de fuerza bruta sobre los protocolos WEP16 y WPA17. Adems tambin incluye en su suite, gran cantidad de herramientas adicionales que podran proporcionar a un atacante la capacidad de llevar complejos ataques informticos sobre las redes que ellos elijan. Se eligi esta herramienta porque permite obtener las contraseas a partir de capturas de trfico y los diccionarios de claves como: airodump: programa para la captura de paquetes 802.11 aireplay: programa para la inyeccin de paquetes 802.11 aircrack: crackeador de claves estticas WEP y WPA-PSK airdecap: desencripta archivos de capturas WEP/WPA

16

WEP (Wired Equivalent Privacy) "Privacidad Equivalente a Cableado". WPA (Wi-Fi Protected Access, Acceso Protegido Wi-Fi) es un sistema para proteger las redes inalmbricas (Wi-Fi);
17

156

Adems de esta herramienta se necesita utilizar los siguientes programas: COMMVIEW FOR WIFI: Permite capturar el trfico wifi de nuestros ingenuos vecinos. Ser el sustituto del programa "airodump-ng" de Wifislax. WIFI DECRYPTER: Genera el diccionario de posibles claves. Es el sustituto del programa "wlandecrypter" de Wifislax; pero mucho mejor, porque adems de generar diccionarios para las redes WLAN_XX, sirve tambin para redes DLINK, ADSLXXXXXX y SpeedTouchXXXX. a) Instalacin. Creamos una Carpeta comn en el escritorio y la llamamos "WIFI ATTACK". Commview for wifi. Este programa no soporta todas las tarjetas de red pero, probamos de todas formas y en caso de no funcionar adquirimos una compatible. Instalarlo es un poco tedioso, hay que aceptar unas cuantas licencias. En determinado momento, pregunta sobre las tarjetas Intel, buscamos la nuestra y damos ok. Tarjeta WiFi: Se debe averiguar la marca y modelo de la tarjeta wifi (por si es integrada o no aparece por ningn lado), para esto tenemos que ir al "Administrador de dispositivos" de Windows, cuya localizacin vara dependiendo del SO. Instalacin: Damos click en setup del programa y nos aparece la siguiente pantalla, donde nos da la bienvenida a esta herramienta. Damos click en Next para continuar con la instalacin, aceptando los trminos de instalacin.

157

Click en Next para la siguiente pantalla, en donde nos da dos opciones a escoger. Aqu escogemos la opcin 2 el modo estndar.

En esta pantalla nos indica el lugar donde se instalara el software, en este caso es en C:\ Program Files\CommViewWiFi.

158

Escogemos el idioma para la instalacin y damos Next y esperamos a que se instale.

Cuando se termine la instalacin nos aparecer la siguiente pantalla:

Cuando termine de instalar, movemos el acceso directo a la carpeta "Wifi attack". Si no hay icono en el escritorio, copiamos el del men inicio. WIFI DECRYPTER Para instalarlo, descomprimimos el contenido del archivo en la carpeta "Wifi Decrypter" dentro de la "Wifi Attack" (el programa descompresor, normalmente WinRar o WinZip, crear la carpeta automticamente). Copiamos el archivo ejecutable y lo pegamos como acceso directo en "Wifi Attack". AIRCRACK-NG PARA WINDOWS. Lo descomprimimos igual que el Wifi Decrypter, en la carpeta "Wifi Attack" del escritorio. En mi caso se encuentra en la carpeta "aircrack-ng-1.0-win", pero el
159

nombre puede variar segn la versin. Nos vamos a la carpeta "bin" dentro de la carpeta del aircrack, copiamos el archivo "Aircrack-ng GUI.exe" y lo pegamos como acceso directo en la carpeta "Wifi Attack". Una vez hecho todo lo anterior la carpeta nos queda de la siguiente manera:

b) Hacker. Buscar Redes. Abrimos el Commview.

Para iniciar la captura damos clic en el botn Play, ubicado en la parte superior izquierda; inmediatamente aparece una ventana en la que se puede observar todas las redes al alcance, para ello hacemos clic en el botn Iniciar exploracin. Al final aparecern todas las redes, se da clic en la red que sea de nuestro inters o que deseamos hackear (por tratarse de datos confidenciales no exponemos grficos de stas opciones) y damos clic en el botn capturar, all se puede observar que las
160

separa por canal y las nombra por la marca de router y los ltimos seis dgitos de la MAC, adems nos informa la calidad de la seal y el nombre de la red. Capturar trfico de una red en concreto. Se cerrar entonces la ventana del explorador de redes y volveremos a la ventana principal, donde aparecern las redes que operan en el canal 1. Cuando se ha capturado 4 ms paquetes de datos (ubicados en la antepenltima columna), hacemos clic en el botn stop (detener captura). Si no se logra hacer ninguna captura de datos se puede intentar varias cosas como ubicar el ordenador o el wifi usb por la ventana, hacerlo a otras horas del da, otro da, etc., en sta clase de trabajos la paciencia es de mucha importancia ya que no todo el mundo tiene el ordenador encendido las 24 horas del da. Es importante conocer que Commview for Wifi captura ms paquetes que Airodump-ng, esto es porque Commview captura, adems de los paquetes de datos (que son los que nos interesan a nosotros), los de control y los de gestin. Para ver cuntos paquetes de datos se han capturado realmente, deberemos pinchar en la pestaa Canales y mirar la columna Datos. Cuando ya tengamos los paquetes necesarios los guardamos dando clic en la red que nos interesa, luego clic en el men Archivo y seleccionamos Guardar registro de paquetes como., nos permite guardar el archivo en varios formatos, Seleccionamos "Archivos Wireshark/Tcpdump (*.cap)" y lo guardamos con el nombre que deseamos.

161

Para obtener la MAC del router, damos clic derecho en la red escogida y seleccionamos "Copiar direccin fsica (MAC)", la tendremos en el portapales, por lo que deberemos pegarla en el bloc de notas o similar para tenerla a mano. Podemos desmarcar "Mostrar nombre del fabricante en direcciones fsicas" para que no aparezca la marca del router y as poder ver la MAC completa. En nuestro ejemplo la direccin MAC es la siguiente: 1C:BD:B9:94:07:FE. c) Generar el Diccionario de Claves.
Para generar el Diccionario de claves abrimos el Wifi Decrypter.es recomendable no cerrar el Commview porque podemos volver a necesitar algo, sobre todo las primeras veces.

Lo primero que tenemos que hacer es ir al men desplegable y seleccionar el tipo de router que queremos atacar. En nuestro caso es D-LINK. Ahora escribimos la MAC, por pares de caracteres en BSSID, y escribimos el nombre de la red en ESSID (ejemplo D-LINK), y como archivo de salida escribimos: nombre.txt (ejemplo Diccionario.txt) y le damos a "Crear diccionario". d) Obtener la Clave.
Abrimos el Aircrack.

162

De las 5 pestaas que aparecen, las 4 primeras son diferentes herramientas; pero slo necesitaremos la primera, el aircrack-ng, para las dems se necesitan drivers especiales. En el primer campo, Filenames, seleccionamos el archivo .cap (que generamos en el Commview). En la encriptacin, dejamos la WEP de 128 bits y marcamos "Use wordlist". En el campo que aparece, seleccionamos el diccionario de claves que generamos con el Wifi Decrypter. Ahora damos clic en "Launch" y se abrir una ventana de MS-DOS con el resultado del aircrack. Si en el archivo .cap hay paquetes de ms de una red, preguntar qu red atacar. En tal caso debemos escribir el nmero de la red que nos interese y pulsar Enter. 6.4.4.2. Herramienta CAIN & ABEL.

Can&Abel es una herramienta de recuperacin de contraseas para sistemas operativos de Microsoft; diseada especialmente para administradores de redes con la que se puede comprobar el nivel de seguridad de una red local domstica o profesional. Recupera fcilmente varios tipos de password mediante el sniffing18 de la red en el cual captura los paquetes (informacin que se enva por Internet, como usuarios y contraseas) que enva por la Red; crackeando passwords encriptados usando diccionarios, fuerza bruta19 y ataques mediante criptoanlisis. Tambin graba conversaciones VoIP, decodifica passwords, recupera claves de red o claves almacenadas en cache. a) Instalacin y configuracin de sniffer Cain&Abel en una Red Ejecutamos el archivo de instalacin Cain&Abel v4.9.40 en una terminal conectada al HUB y procedemos con la instalacin:

18

sniffer, se define como una pieza de software o hardware que se conecta a una red informtica y supervisa todo el trfico que pasa por el cable.
19

La fuerza bruta se implementa con un programa que se encarga de probar mltiples claves hasta descubrir la correcta.

163

Next, y aceptamos los trminos de la licencia.

Seleccionamos en dnde se van a almacenar los archivos de instalacin.

Next, y luego finalizar. Una vez finalizada la instalacin del sniffer se nos pide instalar el WinPcap que sirve para configurar la Placa de Red en modo escucha.

Procedemos a instalar el WinPcap 4.1.2

164

Aceptamos los trminos de licencia

165

Instalamos WinPcap

Despus de finalizar la instalacin del sniffer, se debe reiniciar la mquina y luego procedemos con la configuracin. b) Configuracin. Ejecutamos Cain&Abel:

166

Configuracin de la placa de red, para que se capturen los paquetes que se transmiten en la red, de la siguiente manera: En la opcin Sniffer, Seleccionamos la placa de red a utilizar

En la opcin Filtres and ports, Filtramos los protocolos que se desean captar.

Se coloca una direccin IP que no exista en nuestra subred, pero que est en el rango de la misma.
167

Aplicamos los cambios realizados. Iniciamos el sniffer.- en esta ocasin vamos a recuperar wireless passwords. En la opcin Decoders, seleccionamos Wireless passwords y hacemos clic en el signo +.

Observamos los resultados indicados por la herramienta, en la columna password.

Tambin se puede encontrar las Pc que estn en la red. En la opcin Network, seleccionar Microsoft Windows Network y hacemos click en +
168

Inmediatamente se observa una ventana con los resultados, los cuales se pueden expandir en la opcin que deseemos, adems podemos explorar las opciones de cualquiera de las pc.

Para encontrar en la red dispositivos con sus propiedades: En la opcin sniffer, seleccionamos HSPR Routers y damos click en +

Como resultado obtenemos los dispositivos en encontrados con sus propiedades. En el caso de encontrar passwords encriptadas, stas son enviadas automticamente al Cracker.

169

6.4.4.3.

Herramienta ENCASE

EnCase es un ejemplo de herramientas forenses ms potentes. Desarrollada por Guidance Software Inc., la podemos encontrar en http://www.guidancesoftware.com, la cual permite asistir al investigador forense durante el anlisis de un crimen digital. Se detalla sobre esta herramienta por tratarse del software lder en el mercado, el producto ms ampliamente difundido y de mayor uso en el campo del anlisis forense. Algunas de las caractersticas ms importantes de EnCase son: x Copiado Comprimido de Discos Fuente. Encase emplea un estndar sin prdida (loss-less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera semejante a los originales. Esta caracterstica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, de esta forma permite trabajar en una gran diversidad de casos al mismo tiempo, examinndola evidencia y buscando en paralelo. x Bsqueda y Anlisis de Mltiples partes de archivos adquiridos. EnCase permite al investigador buscar y analizar mltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extrables, discos zip y otros tipos de dispositivos de almacenamiento de informacin. Con Encase, el investigador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo por el especialista. En varios casos la evidencia puede ser ensamblada en un disco duro grande o un servidor de red y tambin buscada mediante Encase en un solo paso. x Diferente capacidad de Almacenamiento. Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas.

170

Varios Campos de Ordenamiento, Incluyendo marcas de tiempo. Encase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres marcas de tiempo (cuando se cre, ltimo acceso, ltima escritura), nombres de los archivos, firma de los archivos y extensiones. Anlisis Compuesto del Documento. EnCase permite la recuperacin de archivos internos y metadatos20 con la opcin de montar directorios como un sistema virtual para la visualizacin de la estructura de estos directorios y sus archivos, incluyendo el slack21 interno y los datos del espacio unallocated. Bsqueda Automtica y Anlisis de archivos de tipo Zip y adjuntos de E-Mail. Al igual que un antivirus EnCase es capaz de leer este tipo de archivos, pero en este caso no en busca de virus, sino en busca de evidencia. Firmas de archivos, Identificacin y Anlisis. La mayora de los grficos y de los archivos de texto comunes contienen una pequea cantidad de bytes en el comienzo del sector, los cuales constituyen una firma del archivo. EnCase verifica esta firma para cada archivo contra una lista de firmas conocida de extensiones de archivos. Si existe alguna discrepancia, como en el caso de que un sospechoso haya escondido un archivo o simplemente lo haya renombrado, EnCase detecta automticamente la identidad del archivo, e incluye en sus resultados un nuevo tem con la bandera de firma descubierta, permitiendo al investigador darse cuenta de este detalle. Anlisis Electrnico del Rastro de Intervencin. Sellos de fecha, sellos de hora, registro de accesos y la actividad de comportamiento reciclado son a menudo puntos crticos de una investigacin por computador. EnCase proporciona los nicos medios prcticos de recuperar y de documentar esta informacin de una manera no invasora y eficiente. Con la caracterstica de ordenamiento, el anlisis del contenido de archivos y la interfaz de EnCase, virtualmente toda la informacin necesitada para un anlisis de rastros se puede proporcionar en segundos. Soporte de Mltiples Sistemas de Archivo. EnCase reconstruye los sistemas de archivos forenses de DOS, Windows (todas las versiones), Macintosh (MFS, HFS, HFS+), Linux, UNIX (Sun, Open BSD), CD-ROM, y los sistemas de archivos DVDR.

20

Metadatos: Los metadatos son datos altamente estructurados que describen informacin, describen el contenido, la calidad, la condicin y otras caractersticas de los datos. 21 Salck: Espacio que queda libre en un clster luego de almacenar un archivo.

171

Con EnCase un investigador es capaz de ver, buscar y ordenar archivos desde estos discos con otros formatos, en la misma investigacin de una manera totalmente limpia y clara. Vista de archivos y otros datos en el espacio Unallocated. EnCase provee una interfaz tipo Explorador de Windows y una vista del Disco Duro de origen, tambin permite ver los archivos borrados y todos los datos en el espacio Unallocated. Tambin muestra el Slack File con un color rojo despus de terminar el espacio ocupado por el archivo dentro del clster, permitiendo al investigador examinar inmediatamente y determinar cundo el archivo reescrito fue creado. Los archivos Swap y Print Spoolerson mostrados con sus marcas de datos para ordenar y revisar. Integracin de Reportes. EnCase genera el reporte del proceso de la investigacin forense como un estimado. En este documento realiza un anlisis y una bsqueda de resultados, en donde se muestra el caso incluido, la evidencia relevante, los comentarios del investigador, favoritos, imgenes recuperadas, criterios de bsqueda y tiempo en el que se realizaron las bsquedas. Visualizador Integrado de imgenes con Galera. EnCase ofrece una vista completamente integrada que localiza automticamente, extrae y despliega muchos archivos de imgenes como .gif y .jpg del disco. Seleccionando la Vista de Galera se despliega muchos formatos de imgenes conocidas, incluyendo imgenes eliminadas. El investigador puede despus escoger las imgenes relevantes al caso e inmediatamente integrar todas las imgenes en el reporte de EnCase. No es necesario ver los archivos grficos usando software de terceros, a menos que el formato de archivo no sea muy conocido y todava no sea soportado por EnCase.

EnCase es un software costoso, y permanentemente se est desarrollando nuevas versiones, es as que para marzo del 2011 ya se contaba con la versin 6.18 y en mayo del mismo ao ya se est hablando de la versin 7. Para nuestra prctica se ha descargado una versin libre, que es la versin 4.2, la cual encuentra en el siguiente enlace: http://rapidshare.com/files/37906345/Easyv4.20.rar , este enlace es una de las opciones que podemos utilizar para la descarga, de la cual obtendremos el instalador y un archivo .dll el cual nos permitir utilizar EnCase.
172

a) Instalacin y configuracin.
Procedemos a la instalacin del programa: lo usual siguiente, siguiente y finalizar.

Aceptamos las condiciones de la licencia

173

Una vez terminada la instalacin procedemos a ubicar el archivo .dll en la carpeta: C:\Windows\System32. Y ya podemos utilizar nuestro programa: clic en el acceso directo del escritorio.

Una vez ejecutado Encase procedemos a utilizar la herramienta: Crear un nuevo caso asignndole un nombre y adems el nombre de su creador y seleccionamos finalizar:

174

Ahora aadimos un nuevo Device para seleccionar el disco que queremos analizar. Seleccionamos Local Drives y siguiente.

En ste caso seleccionamos una memoria USB para el anlisis, es necesario seleccionar un disco y adems un disco virtual (que en ocasiones se adiciona automticamente).
175

Ahora ya podemos analizar el dispositivo ya que nos aparecer todos los ltimos datos que fueron contenidos en la memoria

176

Se puede manipular el programa para obtener los datos que se encontraban en la memoria. En la parte inferior se muestran los datos y cul era su ubicacin en la memoria. Dando clic derecho, seleccionamos el archivo que nos interese recuperarlo, procedemos a restaurarlo y seleccionamos una ubicacin para el archivo y finalmente lo podemos visualizar. Creamos un registro en el cual nos va a devolver un informe del anlisis realizado.

177

Ir al archivo que recuperamos:

178

Para el e informe seleccionamos la pestaa Scripts y seleccionamos:

Una vez seleccionado este archivo se nos mostrar un cdigo de utilizacin el cual, inclusive, podemos modificar para su mejor presentacin, en ste caso lo mostraremos el dado por defecto.

179

Clic derecho en la pantalla y seleccionamos Run.

Aparece una pantalla para agregar nuestros datos y la ubicacin del archivo.

180

Entramos a la ubicacin que pusimos anteriormente y procedemos a abrir la pgina web que se crea, y observamos todo lo que hemos realizado.

181

CAPTULO VII: ANLISIS DE IMPACTOS

A continuacin se presenta un anlisis prospectivo de los posibles impactos que el proyecto pueda presentar en las diferentes reas o mbitos. Para que el anlisis a realizar sea vlido tcnica y cientficamente se ha utilizado una metodologa que bsicamente consta de: 1. Seleccin del rea o mbito donde se realizar el anlisis de impactos, para ello se ha determinado las reas: acadmica, cientfica, socio-cultural y econmica. 2. Establecer una tabla de niveles para obtener una ponderacin, as tenemos: negativos, cero y positivos, segn se muestra a continuacin. PONDERACIN -3 -3 -1 0 1 2 3 NIVEL DE IMPACTO Alto Negativo Medio Negativo Bajo Negativo No hay impacto Bajo Positivo Medio Positivo Alto Positivo

Tabla 25: Niveles de Ponderacin

3. Para cada rea o mbito se construye una matriz en la que se determina los indicadores de impacto. 4. Previo a un anlisis de cada indicador, se asigna un nivel o ponderacin de impacto sea positivo, cero o negativo dependiendo del caso. 5. En cada matriz se realiza la sumatoria de los niveles de impacto, valor que se divide para el nmero de indicadores, obtenindose de esta manera el nivel de impacto en esta rea o mbito.

182

6. Bajo cada matriz y por cada indicador se redacta el anlisis o argumento del porque se asign ese valor numrico al indicador. 7. Finalmente, se elabora una matriz e impacto global o general, en la que en lugar de los indicadores, se plantean las reas o mbito de impacto con su respectivo valor numrico para determinar el impacto general del proyecto. 7.1. IMPACTO ACADMICO Nivel de Impacto Indicadores 1. Universidades que ofrecen carreras de Ingeniera en Sistemas, Computacin, Derecho o afines 2. Inclusin de materias en pensum acadmico de carreras Ingeniera en Sistemas, Computacin, Derecho o afines, orientadas a la Informtica Jurdica y Derecho Informtico 3. Profesionales con conocimientos de Informtica Forense. 4. Creacin de Maestras en Informtica Forense o Afines 5. Fuente de apoyo instituciones pblicas o privadas Totales
Tabla 26: Impacto Acadmico.

-3

-2-

-1

3 x

x x x 2 4 6

Nivel de Impacto Acadmico = 12/5 = 2,4 El nivel de Impacto Acadmico es Medio Positivo ANLISIS Existen muchas personas graduadas en las universidades con especialidades de Ingeniera en Sistemas, Computacin o afines, que expresan inters en formarse acadmicamente en Informtica forense.

183

Las universidades que ofrecen carreras afines a la computacin, informtica y derecho, manifiestan su intencin de incluir en el pensum de las mismas, materias como la Informtica jurdica y Derecho Informtico.

Cada vez los profesionales en Informtica y computacin estn ms interesados en capacitarse en sta rama relativamente nueva. Por la necesidad imperiosa de cubrir esta necesidad, las universidades ya analizan la creacin de un Posgrado orientados a cubrir estos aspectos. El estudio y diagnstico realizado en este proyecto, servirn de base, fuente de apoyo y consulta para profesionales y otras universidades que requieran formular una propuesta acadmica de postgrado.

7.2. IMPACTO CIENTFICO Nivel de Impacto Indicadores 1. Investigaciones en Seguridad Informtica. 2. Investigaciones en Procedimientos Forenses. 3. Deteccin de intrusos en la red. 4. Informacin resultante con caractersticas de: confidencialidad, integridad, disponibilidad, auditabilidad, no repudio, proteccin a la rplica. Totales
Tabla 27: Impacto Cientfico.

-3

-2-

-1

2 x x x

Nivel de Impacto Cientfico = 9/4 = 2,25 El nivel de Impacto Cientfico es Medio Positivo. ANLISIS Los centros de educacin superior son por excelencia los centros de investigacin y desarrollo en todo el mundo, la universidad es el organismo rector de la sociedad
184

en materia de ciencia y tecnologa, la sociedad acude a ella en bsqueda del consejo equilibrado, de un punto de vista imparcial que le sirva de referencia. Por tal motivo, son las universidades las que propondrn y/o apoyarn a las investigaciones que surjan como consecuencia de la necesidad de brindar seguridad de la informacin en la empresa privada y pblica. x La polica es la ms interesada en estandarizar, conocer y practicar los procedimientos forenses y adems utilizar adecuadamente herramientas forenses; por lo cual desde ya, muestra un gran inters en generar investigaciones rigurosas sobre ste tema. x Gracias a la adecuada utilizacin de los procedimientos y herramientas forenses, se puede terminar en la deteccin de los intrusos en la red. x En lo cientfico, las mquinas informticas son capaces de elaborar informacin, y ofrecernos informacin resultante con las caractersticas que la seguridad informtica nos ofrece, muchas veces desconocidas por el hombre, aunque, si bien es verdad, que el hombre a de ensear a la mquina cmo obtener la nueva informacin, y darle, aunque no siempre (ya que los sensores son capaces de recoger de la Naturaleza datos con una rapidez, precisin y sensibilidad que en muchos casos el hombre no puede igualar), los datos a partir de los cuales obtenerla. 7.3. IMPACTO SOCIO CULTURAL Nivel de Impacto Indicadores 1. Garanta en la gestin de la informacin (Seguridad de la Informacin). 2. Cambios en la produccin de bienes materiales y/o servicios y la forma de distribucin de los mismos. 3. Calidad de vida de la sociedad. 4. Mejoramiento de las facultades morales e intelectuales, mediante la educacin. Totales
Tabla 28: Impacto Socio-Cultural

-3

-2-

-1

3 x x

x x 2 9

185

Nivel de Impacto Socio-Cultural = 11/4 = 2,75 El nivel de Impacto Socio-Cultural es Alto Positivo ANLISIS Con la adecuada utilizacin de los principios de la Seguridad de la Informacin se garantiza la gestin de la informacin, lo cual permite a la sociedad librarse de preocupaciones. Las personas aprenden a aceptar los avances tecnolgicos sin temor a lo desconocido, o al descontento al saber que necesitarn capacitacin. Ya que se requiere personal con mayor preparacin. La sociedad en general alcanzarn un conocimiento bsico de la ejecucin de operaciones forenses, lo cual redunda en mejoramiento de la calidad de vida. Se incrementa los niveles de tica en las personas al generar su trabajo (bienes materiales y/o servicio), ya que sabe que nada est oculto. 7.4. IMPACTO ECONMICO Nivel de Impacto Indicadores 1. Garanta de la Informacin (Seguridad Informtica). 2. Prevencin de ocurrencia de delitos informticos. 3. Inversin en la seguridad de la informacin 4. Asignacin de presupuestos para la implementacin de la seguridad de la informacin. Totales
Tabla 29: Impacto Econmico.

-3

-2-

-1

3 x x

x x 1 2 6

Nivel de Impacto Econmico = 9/4 = 2,25 El nivel de Impacto Econmico es Medio Positivo

186

ANLISIS La garanta de la informacin a travs de un proceso de seguridad informtica permite participar en forma eficiente y eficaz en los procesos productivos y como consecuencia aparece un nuevo sector econmico en el que la inteligencia e informacin son esenciales. La prevencin de ocurrencia de delitos informticos en el procesamiento crtico como redes financieras y de confidencialidad, constituye la tarea principal en este mundo globalizado. Conocer que las instituciones estn prevenidas y alerta en lo que a ocurrencia de delitos informticos se refiere, brinda a las personas mayor confianza en las instituciones y de acuerdo a la ndole de la entidad puede redundar en inversin econmica. En el mundo globalizado y altamente competitivo en que nos desarrollamos, las empresas reconocen la necesidad de ofrecer al cliente mayor garanta, eficiencia y eficacia, en el producto o servicio que ofrecen, por lo cual ya ven la necesidad de invertir en planes de seguridad de la informacin que manejan. En el caso de la empresa pblica el gobierno ya reconoce la imperiosa necesidad de apoyar con recursos econmicos, para comenzar o continuar con los proyectos de proteccin y seguridad a la informacin que manejan. En cambio en la empresa privada ya lo manejan como una poltica interna en la cual ya cuentan permanentemente con recursos para afianzar la seguridad de la informacin. 7.5. MATRIZ DE IMPACTOS GENERAL Nivel de Impacto Indicadores 1. Acadmico 2. Cientfico 3. Socio-cultural 4. Econmico Totales
Tabla 30: Matriz de Impactos General.

-3

-2-

-1

2 x x

x x 6 3

187

Nivel de Impacto General del Proyecto es = 9/4 = 2,25 El nivel de Impactos General es Medio Positivo ANLISIS Crear una metodologa para el anlisis informtico forense, en ste caso para el Gobierno Provincial de Imbabura, es un proyecto que tendr a corto, mediano y largo plazo un impacto medio positivo, sobre todo en beneficio de la sociedad en los mbitos: Por ste motivo, se propone la acadmico, cientfico, socio-cultural y econmico.

implementacin de medidas preventivas para poder detectar a tiempo situaciones delicadas que ayuden a evitar y/o minimizar las consecuencias del cometimiento de un delito, en el seno de la institucin.

188

CONCLUSIONES 1. La informacin es un activo intangible, difcil de precisar su valor y sin normas exactas para aplicar una amortizacin real, pero en lo que s se ponen de acuerdo los autores y quienes trabajan cerca de ella, es que es un activo relevante en el trabajo de cualquier organizacin, lo cual motiva para que se tomen las debidas precauciones y apliquen mtodos de seguridad tanto fsica como lgica, que permita al usuario o dueo de esa informacin estar con una alta sensacin de tranquilidad. 2. El vocabulario informtico ha ido incrementando su acervo, conforme se han desarrollado las TIC`s y algunos trminos tienden a ser confundidos al momento de utilizarlos, esto amerita tener claros los siguientes conceptos: informtica forense, computacin forense, seguridad informtica, derecho informtico, informtica jurdica. Sobre todo para tener claro los estados de la informacin. 3. Las metodologas orientadas a garantizar seguridad informtica, deben ser aplicadas en todo el proceso de vida del software, desde su anlisis hasta la implementacin, monitoreo y puesta en produccin, de una manera especfica y tambin con procedimientos de retroalimentacin. 4. Es importante que todos los niveles de la estructura orgnica de la institucin, conozcan la infraestructura tecnolgica instalada, esto permitir que el funcionario tambin conozca sus deberes y derechos frente a la utilizacin de las herramientas computacionales, as tambin aprender a apropiarse y defenderlas. 5. De suma importancia que los administradores de sistemas, tengan implementados eficientes niveles de seguridad que puedan ser monitoreados en lnea, incluidas alarmas que posibiliten la deteccin y solucin oportuna de intentos de ataque. 6. Los organismos de regulacin tecnolgica, sean estos estatales o privados deben trabajar conjuntamente con universidades y entidades de legislacin para incentivar y hasta obligar a que el personal encargado de la seguridad de la informacin sea aceptablemente capacitado, certificado y calificado en las reas de seguridad y forensia informtica. 7. Sucedido el delito informtico, es necesario la conformacin de un equipo multidisciplinario, que sea capaz de precisar y determinar las reas afectadas, que generalmente no es solamente los programas, sino ms bien el rea de trabajo en la
189

que fue delinquida la informacin, de tal manera que se pueda cuantificar el dao y determinar la necesidad o no de aplicar mtodos sofisticados de bsqueda de rastros, que generalmente se lo hace utilizando programas de deteccin de bajo nivel, de los cuales existen muchos en el mercado, o en su defecto el departamento de administracin de sistemas puede armarse una estrategia en base a la presente metodologa. 8. Aunque en nuestro pas se cuenta con algunas leyes y normas que se refieren a los delitos informticos, el cdigo penal no cubre todo el abanico de posibilidades, ya que fue reformado en base a los artculos de penalizacin ordinaria, por tal razn es necesario se proponga una nueva legislacin al respecto que sea precisa dentro del campo de la tipificacin de los delitos informticos y de la penalizacin de los mismos, proyectada en base a la cuantificacin del dao. 9. Es necesario fortalecer el organismo de la Polica, encargado de la delincuencia informtica, en todas sus etapas, que no solamente se dedique a esperar las denuncias, sino tambin a monitorear posibles ataques antes de que lleguen a los firewalls internos, y de ser posible certificar las seguridades de las empresas. 10. La falta de una verdadera estadstica de los delitos informticos, no permite visualizar el nmero de casos reales ni tampoco averiguar las principales tendencias de ataques. 11. La aplicacin de herramientas forenses, es un proceso continuo que permite evaluar controles y seguridades implementadas en la institucin. 12. Dada la variedad de formas de delinquir, no existe un especialista que cubra esta necesidad, as como tampoco existe ciencia o centro de estudios donde pueda aprender todo al respecto, el informtico forense se hace en la prctica. 13. La heterogeneidad del software y del hardware ha generado que la informtica forense no tenga un estricto mtodo de resolucin de problemas, es por esta razn que todos los das aparecen herramientas que solucionan tal o cual situacin, esto ha supuesto la diaria investigacin de nuevos casos por parte del informtico forense. 14. El sistema de control interno en el GPI, aparte de ser una poltica institucional, se constituye como una herramienta de apoyo para las autoridades para modernizar, cambiar y producir los mejores resultados, con calidad y eficiencia en los servicios que ofrecen.

190

15. Es imperante hacer conocer a todos los usuarios del GPI, la poltica de seguridad en la informacin con que cuenta la institucin, para que aumente la colaboracin voluntaria en la aplicacin de las mismas. 16. Las prcticas del anlisis forense se realizan utilizando la presente metodologa, de forma continua e iterativa, sin embargo si el delito ha sido consumado y como consecuencia se ha inutilizado el sistema, el anlisis se convierte en post mortem. 17. No existe una metodologa que sea estandarizada, sin embargo las metodologas y las herramientas pueden combinarse para de acuerdo a criterios expuestos en este trabajo, construir reglas apropiadas para casos particulares. 18. Proponer la metodologa para el Anlisis Informtico Forense del GPI, ha permitido alcanzar una mejor percepcin de la seguridad, tanto a nivel empresarial como personal, ya que en la actualidad nadie est libre de verse implicado en algn tipo de delito, donde est involucrado un ente informtico. 19. La metodologa para el GPI, o para cualquier otra institucin representa un impacto positivo el cual ser reflejado en la confianza del ciudadano comn y especializado. 20. Importante para las empresas u organizaciones certificarse con cualquiera de las normas internacionales establecidas, referidas en este trabajo, esto redundar en beneficio de los usuarios de los productos digitales ofertados a travs de las redes empresariales o institucionales.

191

RECOMENDACIONES 1. El Gobierno Provincial de Imbabura, debe crear un reglamento e instructivos para fortalecer el rea de administracin de Sistemas, que apunte a prever los casos de delincuencia informtica a travs de la seguridad, monitoreo y auditora permanente de las posibles puertas que queden abiertas al delincuente de esta clase, generando documentacin histrica 2. Las organizaciones y en este caso el Gobierno Provincial de Imbabura, a travs de su Direccin de Gestin de TICs debe proponer un esquema organizacional en el que conste una unidad de administracin de sistemas y sus ramas de seguridad, monitoreo y auditora, de tal manera que se establezca claramente las funciones de seguridad informtica, informtica forense continua y post mortem, adems de derecho informtico. 3. En el departamento de TICs se debe generar una lnea de documentacin de gestin de continuidad, que permitir la formulacin de planes reales de contingencia, estableciendo puntos o nudos crticos donde se deba aplicar esta metodologa iterativa o en su defecto la post mortem. 4. Se debe publicar internamente un manual de polticas, estrategias y normas referentes a los delitos informticos, a la vez dar a conocer de una forma bsica, la infraestructura instalada tanto en software como en hardware, con el objetivo de promover el uso adecuado de las aplicaciones internas, previniendo de posibles actos maliciosos y su consecuencia en caso de no acatarlos. 5. De todas las herramientas existentes en el mercado, o tambin de las de acceso libre, se debe escoger las ms adecuadas, de acuerdo al tamao de la institucin, de tal manera que se implemente aceptables niveles de seguridad, que entre otras bondades tenga el monitoreo en lnea, alarmas de deteccin de intrusos y soluciones de primer nivel. 6. El GPI o cualquier organizacin, debera capacitar al personal encargado de la administracin de sistemas en temas de seguridad e informtica forense. 7. El departamento de TIC`s debe identificar las principales reas de trabajo y priorizar las vulnerabilidades por reas, con el fin de conformar comits de seguridad

192

multidisciplinarios, que evalen la seguridad especfica de la informacin de cada rea de forma constante y peridica, respetando polticas preestablecidas para el efecto. 8. La Universidad y el sector empresarial tanto pblico como privado, deben conformar un equipo de trabajo para realizar una propuesta de cambio en la legislacin y el cdigo penal, que trate directamente los delitos informticos. 9. Dentro de la legislacin ecuatoriana, se debe considerar la creacin de un organismo nacional que regule los requisitos para avalar los centros o departamentos de TICs de las instituciones, como una forma de prevencin de los delitos informticos y certificacin de seguridad informtica. 10. El gobierno debe realizar campaas para que las empresas, instituciones y ciudadanos en general, formalicen las denuncias que por delitos informticos hayan sido vctimas, de tal forma que puedan elaborarse estadsticas y se formulen proyecciones y mtodos de prevencin. 11. Se debe verificar continuamente la evaluacin de controles y seguridades, aplicando herramientas catalogadas como forenses. 12. Se debe capacitar mnimo a dos funcionarios, para que se encarguen del monitoreo y dar las facilidades necesarias para que puedan formarse continuamente a travs de intercambio de experiencias. Los delitos informticos son una especie de delincuencia emergente en constante crecimiento, globalmente se le ha dado la importancia del caso y se han creado verdaderas redes que apuntan a solucionar los problemas que genera esta actividad y a encontrar herramientas que faciliten la bsqueda de evidencias, por lo que es imperativo que las empresas u organizaciones se asocien a estas redes, algunas mencionadas en este trabajo. 13. Se debe documentar todos los casos de intentos o hechos de ataques informticos, definir las principales vulnerabilidades y ayudarse de la presente metodologa para formular estrategias propias del Gobierno Provincial de Imbabura, que prevengan y combatan estos riesgos. 14. En el sistema de control interno del GPI, debe reflejarse transversalmente el uso de tcnicas y mecanismos orientados a satisfacer la necesidad de seguridad de la informacin en todos sus niveles. 15. Publicar y dar a conocer a todos los funcionarios las resoluciones, polticas, normativa acerca de la seguridad informtica y sus implicaciones.
193

16. La informacin de las aplicaciones que funcionan en el GPI deben ser debidamente respaldadas de forma continua, de tal manera que faciliten la comparativa y poder definir si ha sido alterada o no por un ataque externo para de esta manera implementar una forensia continua o post mortem. 17. Al aplicar herramientas forenses continuas se debe investigar paralelamente las novedades que oferta el mundo informtico, con el fin de mesclar las bondades de cada uno y mejorar la posibilidad de prevencin y resolucin de ste tipo de problemas. 18. Se recomienda utilizar la presente metodologa en su forma estructural, ya que las herramientas estn en constante cambio y actualizacin. 19. Se debe informar al ciudadano acerca del nivel de seguridad que tienen las aplicaciones informticas del GPI, con el fin de generar confianza en el acceso y sus transacciones en lnea. 20. Se recomienda al Gobierno provincial emprender en la certificacin COBIT.

194

BIBLIOGRAFA
[1.] FBI. Federal Bureau of Investigation. [En lnea] 1995. [Citado el: 27 de 12 de 2010.] www.fbi.gov. [2.] ACURIO DEL PINO, Santiago. PERFIL SOBRE LOS DELITOS INFORMTICOS EN EL ECUADOR. FIACALA GENERAL DEL ESTADO. [Online] Diciembre 2009. [Cited: Noviembre 7, 2011.] http://www.criptored.upm.es/guiateoria/gt_m592d.htm. [3.] ZUCCARDI, Giovanni and GUTIRREEZ, Juan David. Informtica Forense. [Online] 2006. [Cited: 11 10, 2010.] http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Fore nse%20v0.6.pdf. [4.] WIKIPEDIA. La Enciclopedia Libre. [Online] 2011. http://es.wikipedia.org/wiki/Seguridad_de_la_informacin . [5.] HUERTA, Antonio Villaln. SEGURIDAD EN UNIX Y REDES. Versin 1.2 Digital-Open Publication License v.10 o Later. [Online] Octubre 2, 2000. [Cited: 11 7, 2010.] http://www.kriptopolis.org. [6.] CP4DF Codes of Practices for digital Forensics. Digital Forensics. [Online] 2006. [Cited: Noviembre 8, 2010.] http://cp4df.sourceforge.net/. [7.] BEVILACQUA, Matas. Sourceforge. Open Source Computer Forensics Manual . [Online] Julio 17, 2009. [Cited: 11 8, 2011.] http://sourceforge.net/projects/oscfmanual/. [8.] Informtica forense. ADN RAMREZ, Gerberth. Guatemala : s.n., 2005, Universidad San Carlos, p. 4. [9.] Kelsen, Hans. General Theory of Law an State. [aut. libro] Hardward university. s.l. : Porruo, 1945. [10.] CNUDMI. Ley Modelo sobre firmas Electrnicas. Comisin de las Naciones Unidas para el Derecho Mercantil Internacional. [Online] 2001-2002. http//www.uncitral.org. [11.] ISO27000.es El portal del . [Online] 2011. http://www.iso27000.es/iso27000.html#section3b. [12.] GARCA ENRICH, Gustavo. READATA. EL ESTNDAR TIA-942. [Online] 2011. [Cited: junio 1, 2011.] [13.] HOWARD, John D. Thesis: An Analysis of security on the internet. 1989 - 1995. [14.] SEGU-INFO. SEGURIDAD DE LA INFORMACIN. Amenazas Lgicas - Tipos de Ataques. [Online] http://www.segu-info.com.ar/ataques/ataques.htm .

195

[15.] LVAREZ MARAN, Gonzalo. SEGURIDAD INFOMTICA PARA EMPRESAS Y PARTICULARES. 2005 : McGraw-Hill. [16.] HERNNDEZ, Miguel A. EL Mundo Real por Miguel A. Hernndez. Consultor de Seguridad, Perito Informtico. [Online] [Cited: Marzo 2, 2011.] http://www.miguelangelhernandez.es/?p=607. [17.] ZAMORA, Salvador. Seguridad y riesgos en las TIC (IV): Proceso de Administracin del Riesgo. [Online] Enero 2009, 2009. [Cited: Marzo 3, 2011.] [18.] CASEY, Eoghan. Digital Evidence and Computer Crimen. 2da. s.l. : Elsevier Ltda, 2004. pg. 9. [19.] LPEZ DELGADO, Miguel. Anlisis Forense Digital. 2da. 2007. p. 5. [20.] Introduccin a la Informtica forense. CANO M., Jeimy. Colombia : s.n., 2006, Revista de Sistemas. 96. [21.] Ajoy Ghosh. Guidelines for the Management of IT Evidence. Directrices para la Gestin de la evidencia de TI. [Online] 2004. http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf. [22.] ACURIO DEL PINO, Santiago. Detalle Fsico y Lgico para reconocimiento de la Evidencia. Quito : s.n., 2009. [23.] BRESINSKI, Dominique and KILLALEA, Tom. Guidelines for Evidence Collection and Archiving. Networking Group. 2002. [24.] IOCE. EVIDENCE, INTERNACIONAL ORGANIZACON OF COMPUTER. [Online] http://www.ioce.org. [25.] Department of Justice Office of Justice Programs National Institute of Justice. Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition. [Online] [Cited: Marzo 7, 2011.] https://www.ncjrs.gov/pdffiles1/nij/219941.pdf. [26.] Computer Forensics, Part 2: Best Practices. Information Security and Forensics Society (ISFS). [Online] Agosto 2009. [Cited: Marzo 7, 2011.] http://www.isfs.org.hk/publications/ISFS_ComputerForensics_part2_20090806.pdf. [27.] Aircrack | Aircrack-ng . Red Inalmbrica 2.0. [Online] [Cited: Mayo 20, 2011.] http://aircrack.red-inalambrica.net/. [28.] CNUDMI. Ley modelo sobre el Comercio Electrnico. Comisin de las Naciones Unidas para el Derecho Mercantil Internacional. [Online] 1996-1998. [Cited: 01 4, 2011.] http//www.uncitral.org. [29.] Faro, Grupo. Accin Colectiva para el bienestar pblico. Cumplimiento de la ley Lotaip. [Online] 2007. http://www.grupofaro.org/.

196

[30.] Convenio, Ciber- delincuencia. [Online] http://www.coe.int. [31.] Defonsora, del Pueblo. Transparencia en la informacin pblica. El Telgrafo. Nro.45119, 2008/10/27. [32.] CORREAS, Marta and DE MATEO, Natividad. Principales amenazas de seguridad para el 2009. Mundopc.net. [Online] 2009. http://mundopc.net/principales-amenazas-deseguridad-para-2009. [33.] LVAREZ MARAN, Gonzalo and PREZ GARCA, Pedro. SEGURIDAD INFORMTICA PARA EMPRESAS Y PARTICULARES. s.l. : McGraw-Hill, 2005. [34.] ASSOCIATION OF CHIEF POLICE OFFIERS. Good Practice guide for Computer bases Electronic Evidence. [Online] http://www.digital-detective.co.uk/documents/acpo.pdf. [35.] GHOSH, Ajoy. Guidlines for the Managenent of IT Evidence. Incident Response and Forensics Workshop. [Online] http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf. [36.] LIMA, Mara de la Luz. DELITOS ELECTRNICOS. Mxico : Puaorr, 1994. [37.] TLLES VALDS, Julio. DERECHO INFORMTICO. Mxico : Mc Graw Hill, 1996. [38.] www.microsoft.com. Centro para Empresasy Profesionales. [Online] 2011. [39.] BUSINESS, SOFTWARE ALLIANCE BSA. Estudio Anual Global de la Piratera de Software por BSA e IDC. 2007. [40.] POSSO YPEZ, Miguel ngel. Mtodologa para el Trabajo de Grado. 4 a Edicin. Ibarra : Ecuador, 2009.

197

GLOSARIO ACTIVO. Es un objeto o recurso de valor empleado en una empresa u organizacin. AMENAZA. Es un evento que puede causar un incidente de seguridad en una empresa u organizacin produciendo prdidas o daos potenciales en sus activos. ANLISIS. Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relacin entre sus principios y elementos. ANCHO DE BANDA.- Volumen de datos que un sistema de comunicaciones puede soportar por unidad de tiempo, se mide en bits por segundo (bps). ATAQUE INFORMTICO.- es un mtodo por el cual un individuo, mediante un sistema informtico, intenta tomar el control, desestabilizar o daar otro sistema informtico. BOTNET.- Es un trmino que hace referencia a un conjunto de robots informticos que se ejecutan de manera autnoma y automtica. CERT.- Es una empresa de servicios especializados en las reas de consultora y educacin para la conectividad de redes y telecomunicaciones. CIBERDELINCUENCIA.- Tambin conocido como delito informtico que son aquellas acciones que se han cometido mediante la utilizacin de un bien o servicio informtico. CIFRAR.- Escribir en clave. CLON.- Un clon en informtica es un sistema de computacin basado en los diseos y desarrollos de otra compaa, fabricado para tener una compatibilidad del cien por ciento con el modelo. Comercio Electrnico.- Actividad comercial realizada a travs del Internet que incluye principalmente la compra y venta de productos y servicios. CONTROL. Es un mecanismo de seguridad de prevencin y correccin empleado para disminuir las vulnerabilidades

198

DATA CENTER.- Centro de procesamiento de datos (CPD), ubicacin donde se concentran los recursos necesarios para el procesamiento de la informacin de una organizacin. DATA CORRUPTION: La informacin que no contena defectos pasa a tenerlos. DENIAL OF SERVICE (DOS): Servicios que deberan estar disponibles no lo estn. EVIDENCIA DIGITAL.- Es un tipo de evidencia fsica que est construida de campos magnticos y pulsos electrnicos que pueden ser recolectados y analizados con herramientas y tcnicas especiales. EXPLOIT.- Trmino con el que se denomina en el entorno "hacker" a un mtodo concreto de usar un error de algn programa (bug) para entrar en un sistema informtico. FIRMA DIGITAL.- Es la equivalencia electrnica de la firma manuscrita, tiene la misma validez legal y se encuentra amparada por la ley de comercio electrnico, firmas electrnicas y mensaje de datos del Ecuador. IEEE 802.11.- Estndar, define el uso el uso de dos niveles inferiores de la arquitectura OSI (capa fsica y la de enlace de datos). INFORMACIN.- En sentido general, la informacin es un conjunto organizado de datos procesados. INFORMTICA FORENSE.- La informtica forense, es la rama de la informtica que se encarga de la recuperacin, preservacin y anlisis de evidencias electrnicas y digitales. INTERNET.- Red de computadoras extendida por todo el mundo que permite la comunicacin y transferencia de informacin entre personas u organizaciones conectadas a dicha red. ISO.- Es la organizacin internacional para la estandarizacin, que regula una serie de normas para: fabricacin, comercio y comunicacin, en todas las ramas.

199

KNOW HOW.- Conocimiento que se adquiere en base a la experiencia LEAKAGE: Los datos llegan a destinos a los que no deberan llegar. MD5.- (Algoritmo de Hash, Message-Digest Algorithm 5 o Algoritmo de Firma de Mensajes 5): Desarrollado por Ron Rivest. Procesa mensajes de una longitud arbitraria en bloques de 512 bits generando un compendio de 128 bits. METADATOS: Los metadatos son datos altamente estructurados que describen informacin, describen el contenido, la calidad, la condicin y otras caractersticas de los datos. PATCH PANELS.- Es el elemento encargado de recibir todos los cables del cableado estructurado. Sirve como un organizador de las conexiones de la red. PERITAJE INFORMTICO.- Estudios e investigaciones orientados a la obtencin de una prueba informtica de aplicacin en un asunto judicial para que sirva a un juez para decidir sobre la culpabilidad o inocencia de una de las partes. PERITO INFORMTICO.- es un perito judicial, que en su carcter de auxiliar de la justicia tiene como tarea primordial la de asesorar al juez respecto a temas relacionados con la informtica PHISHING.- Es un trmino informtico que denomina un tipo de delito encuadrado dentro del mbito de las estafas cibernticas. POST MORTEN.- Despus de la muerte. RED.- Una red de computadoras, tambin llamada red de ordenadores o red informtica, es un conjunto de equipos informticos conectados entre s por medio de dispositivos fsicos que envan y reciben impulsos elctricos, ondas electromagnticas o cualquier otro medio para el transporte de datos con la finalidad de compartir informacin y recursos. RIESGO. Es la probabilidad de ocurrencia de un evento que puede ocasionar un dao potencial a servicios, recursos o sistemas de una empresa.

200

ROUTES.- Dispositivo de hardware para interconexin de red de ordenadores. SALCK.- Espacio que queda libre en un clster luego de almacenar un archivo. SERVIDORES.- Es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes. SNIFFER.- Es un programa de para monitorear y analizar el trfico en una red de computadoras, detectando los cuellos de botellas y problemas que existan en ella. SPOOFING.- En trminos de seguridad de redes hace referencia al uso de tcnicas de suplantacin de identidad generalmente con usos maliciosos o de investigacin. SWITCHS.- Es un dispositivo digital de lgica de interconexin de redes de computadores. TIC.- Las tecnologas de la informacin y la comunicacin (TIC) son un conjunto de servicios, redes, software y dispositivos que tienen como fin la mejora de la calidad de vida de las personas dentro de un entorno, y que se integran a un sistema de informacin interconectado y complementario VLANS.- Es un mtodo de crear redes lgicamente independientes dentro de una misma red fsica VULNERABILIDAD.- Es una debilidad que puede ser explotada con la materializacin de una o varias amenazas a un activo. WEB.- Es el sistema de documentos (o pginas web) interconectados por enlaces de hipertexto, disponibles en Internet; WEP.- (Wired Equivalent Privacy) "Privacidad Equivalente a Cableado". WEP.- (Es un protocolo) acrnimo de Wired Equivalent Privacy o "Privacidad Equivalente a Cableado", es el sistema de cifrado incluido en el estndar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la informacin que se transmite.

201

WIFI.- Es una de las tecnologas de comunicacin inalmbrica mediante ondas ms utilizada hoy en da. WIRELESS.- Es la transferencia de informacin entre dos o ms puntos que no estn conectados fsicamente. WPA.- (Wi-Fi Protected Access, Acceso Protegido Wi-Fi) Es un sistema para proteger las redes inalmbricas (Wi-Fi).

202

ANEXOS A1 A2 Cuestionario para la entrevista dirigida a los funcionarios del departamento de Gestin de Tecnologas de la Informacin y Comunicacin del GPI. Plan de Trabajo de Grado (Anteproyecto).

203

PONTIFICIA UNIVERSIDAD CATLICA DEL ECUADOR SEDE IBARRA

A 1: Cuestionario para la entrevista de los funcionarios del Departamento de Gestin de Tecnologas de la Informacin y comunicacin del GPI. El Departamento de Gestin de Tecnologas de la Informacin y Comunicacin cuenta con infraestructura fsica, diseo e implementacin adecuada y necesaria para que sus funcionarios realicen sus labores? Cuentan con equipos robustos en tecnologa? Existe una planificacin informtica? En el GPI se desarrolla el software para fortalecer la integracin de la informacin? Cmo ha sido la gestin de la informacin en el GPI? Se cumple con las normas y estndares de cableado estructurado en el GPI? Conocen cuntos puntos de red tienen en el GPI y si stos funcionan adecuadamente? Qu tipo de cableado horizontal tienen? El cableado horizontal est diseado apropiadamente siguiendo las reglas, normas y estndares? El cableado vertical est diseado apropiadamente siguiendo las reglas, normas y estndares? El ambiente del cuarto de telecomunicaciones cuenta con un ambiente fsico apropiado para su buen funcionamiento? Qu accesos de seguridad tiene el cuarto de equipos? Monitorean los canales utilizados y las frecuencias en tiempo real? Conoce Ud. los requerimientos de los usuarios? Los puntos de red cuentan con una certificacin en base a las normas y estndares internacionales? Cuentan con un mapa de cableado? Defina las caractersticas del Data Center del GPI? La red de datos est instalada de acuerdo a las normas y estndares internacionales?

Conoce Ud. hace que tiempo se implement la primera red LAN en el GPI? A qu estructura corresponde la red LAN? Cmo se podra mejorar la situacin actual del software en el GPI? Qu porcentaje de aplicaciones desarrolladas hasta julio del 2009, presentan un nivel de integracin con el resto de software? Cmo trabajan stas aplicaciones? Para qu actividades del GPI han contratado aplicaciones a terceros? Para qu actividades del GPI estn desarrollando aplicaciones y todava no estn concluidas?

A2: Plan de Trabajo de Grado (Anteproyecto)

PONTIFICIA UNIVERSIDAD CATLICA DEL ECUADOR SEDE IBARRA

ESCUELA DE INGENIERA

PLAN DE TRABAJO DE GRADO

(MODALIDAD PROYECTO)

TEMA:

Metodologa para el Anlisis Informtico Forense del Gobierno Provincial de Imbabura (GPI)

LINEA DE INVESTIGACIN:

I: 4 Investigacin de nuevas tendencias tecnolgicas

PREVIO A LA OBTENCIN DEL TITULO DE: Magister en Gerencia Informtica Autora: Ing. Alexandra Elizabeth Jcome Ortega Docente revisor: Dr. Miguel ngel Posso Ypez.

Ibarra, Diciembre del 2010

TABLA DE CONTENIDO
NOMBRE DEL PROYECTO: .......................................................................................... 4 CONTEXTUALIZACIN DEL PROBLEMA ................................................................... 4 JUSTIFICACIN ............................................................................................................. 4 OBJETIVOS ......................................................................................................................... 6 GENERAL ........................................................................................................................ 6 ESPECIFICOS ...................................................................... Error! Marcador no definido. PRINCIPALES IMPACTOS ............................................................................................ 7 DESCRIPCIN DEL PROYECTO .................................................................................. 8 Descripcin terica........................................................................................................ 8 Descripcin Operacional .............................................................................................. 9 Esquema de Contenidos ............................................................................................. 10 Conclusiones y Recomendaciones ........................................................................... 11 ORGANIZACIN METODOLGICA ..................................................................................... 13 CRONOGRAMA DE ACTIVIDADES ...................................................................................... 14 RECURSOS ........................................................................................................................ 15
a. b. c. d. Humanos ___________________________________________________________ 15 Materiales ___________________________________________________________ 15 Tecnolgicos ________________________________________________________ 15 Econmicos _________________________________________________________ 15

Resumen_________________________________________________________________ 165

FINANCIAMIENTO ................................................................................................... 166 FUENTES DE INFORMACIN...................................................................................... 166

NOMBRE DEL PROYECTO: Metodologa para el Anlisis Informtico Forense del

Gobierno Provincial de Imbabura (GPI)

CONTEXTUALIZACIN DEL PROBLEMA

Los ltimos aos se ha intensificado la globalizacin por el crecimiento vertiginoso y la alta influencia de la Tecnologa Informtica, dado que permite procesar datos de forma prctica, fcil y cmoda. Estos datos son, en muchos casos, objetivo de personas mal intencionadas, que aprovechando las vulnerabilidades que presentan las tecnologas tanto en hardware como software, son capaces de acciones no autorizadas, generalmente con fines ilegales. El Gobierno Provincial de Imbabura, con su departamento de Tecnologas informticas y de Comunicacin, hace seis meses aproximadamente, pretende obtener una solucin a conflictos tecnolgicos relacionados con seguridad informtica y proteccin de datos; ya que gracias a ella, se obtendrn una respuesta a problemas de privacidad, competencia desleal, fraude, robo de informacin confidencial y/o espionaje institucional, que surgen a travs de uso indebido de las tecnologas de la informacin. Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrnicamente para que puedan ser aceptadas en un proceso legal. Todo esto, justifica inminentemente que sea impostergable y urgente el desarrollo de una metodologa para el anlisis Informtico Forense.

JUSTIFICACIN
Informtica Forense, tambin llamado Cmputo Forense, Computacin Forense, Anlisis Digital o Examinacin Forense Digital; se denomina al soporte conceptual y de procedimiento, a la investigacin de la prueba indiciaria informtica, es decir, es la aplicacin de tcnicas cientficas y analticas especializadas en la infraestructura
4

tecnolgica que permite identificar, preservar, analizar y presentar datos que sean vlidos dentro de un proceso legal; lo cual involucra el desarrollo de un conjunto multidisciplinario de teoras, tcnicas y mtodos de anlisis; dichas tcnicas incluyen reconstruir el bien informtico, examinar datos residuales, autenticar datos y explicar las caractersticas tcnicas del uso aplicado a los datos de bienes informticos. De esto se deduce que se requiere de un alto grado de conocimientos en materia informtica y sistemas para poder detectar dentro de cualquier dispositivo electrnico lo que ha sucedido, ya que por ejemplo el simple hecho de darle doble clic a un archivo, modificara la fecha de acceso del mismo. La informtica forense sirve para garantizar la efectividad de las polticas de seguridad y la proteccin tanto de la informacin como de las tecnologas que facilitan la gestin de esa informacin; consiste en la investigacin de los sistemas de informacin con el fin de detectar evidencias de la vulneracin de los sistemas. Su finalidad es perseguir objetivos preventivos, anticipndose al posible problema u objetivos correctivos, para una solucin favorable una vez que la vulneracin y las infracciones ya se han producido. Las metodologas que la Informtica Forense utiliza son distintas, pero todas incluyen la recogida segura de datos de diferentes medios digitales y evidencias digitales, sin alterar los datos de origen; cada fuente de informacin se cataloga preparndola para su posterior anlisis y se documenta cada prueba aportada. Las evidencias digitales recabadas permiten elaborar un dictamen claro, conciso, fundamentado y con justificacin de las hiptesis que en l se barajan a partir de las pruebas recogidas. Todo el procedimiento debe hacerse, teniendo en cuenta los requerimientos legales para no vulnerar en ningn momento los derechos de terceros que puedan verse afectados. Todo ello para que, llegado el caso, las evidencias sean aceptadas por los

tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable. Para realizar un adecuado anlisis de Informtica forense se requiere un equipo multidisciplinario que incluya profesionales expertos en derecho de las TI y expertos tcnicos en metodologa forense. Esto es as porque se trata de garantizar el cumplimiento tanto de los requerimientos jurdicos como los requerimientos tcnicos derivados de la metodologa forense. En nuestro pas, se han comenzado a dar los pasos necesarios para crear mecanismos y hasta organizaciones tanto en el orden jurdico como policial, orientados a definir leyes claras con respecto a los delitos informticos y tambin reglamentos que posibiliten declarar a las evidencias informticas como vlidas en juicios que tengan a la informtica de por medio.

OBJETIVOS
GENERAL Proponer, aplicar y evaluar una gua metodolgica para realizar Anlisis Informtico Forense, en el Gobierno Provincial de Imbabura. ESPECFICOS Recopilar, revisar y analizar informacin, conceptos fundamentales,

herramientas y procedimientos de la informtica forense en general. Diagnosticar la situacin del Departamento de Informtica del GPI, a travs de un anlisis estadstico informtico, en un perodo determinado. Analizar la situacin jurdica y normativa legal en el Ecuador, referente a los delitos informticos y Aplicar los estndares y procedimientos que se utilizan en una investigacin de crmenes e incidentes informticos.
6

 Disear e implementar informacin del GPI.

varios niveles de seguridad dentro del sistema de

Definir polticas y procedimientos de: Seguridad fsica y del entorno informtico. Defensa de red y de equipos Defensa de aplicaciones y de datos

Analizar los impactos que genere la gua metodolgica del anlisis informtico forense en las instituciones pblicas locales. PRINCIPALES IMPACTOS Los impactos del presente proyecto inciden en los aspectos:

9 Acadmico, Pocas son las Universidades que en el pas han tomado en cuenta esta nueva tarea, a excepcin de un posgrado sobre derecho informtico, organizado en la Universidad de Cuenca, los dems intentos han tenido menor impacto, por ello estoy segura, que las universidades en general debern incluir en sus pensum de estudios, tanto de derecho como de ingeniera de sistemas, materias orientadas a la informtica jurdica y al derecho informtico. Adems por la necesidad imperiosa de cubrir esta necesidad, creo que nuestra Universidad debe pensar en la creacin de Diplomado, Especialidad y Posgrado orientados a cubrir estos aspectos. Por lo tanto, la expectativa es que, el impacto de esta investigacin en el aspecto acadmico es de alta incidencia ya que generar algunos campos de especializacin y motivar muchas investigaciones, y estimo hasta sern las universidades quienes propongan nuevas leyes es estos aspectos. 9 Cientfico, las mquinas informticas son capaces de elaborar informacin, y ofrecernos informacin resultante con caractersticas de: confidencialidad, integridad, disponibilidad, auditabilidad, no repudio, proteccin a la rplica,
7

referencia temporal (certificacin de fechas), muchas veces desconocidas por el hombre, aunque, si bien es verdad, que el hombre a de ensear a la mquina cmo obtener la nueva in formacin, y darle, aunque no siempre (ya que los sensores son capaces de recoger de la Naturaleza datos con una rapidez, precisin y sensibilidad que en muchos casos el hombre no puede igualar), los datos a partir de los cuales obtenerla. Por lo tanto el impacto cientfico, propone nuevas investigaciones en seguridad informtica y en procedimientos forenses. 9 Cultural, esta nueva alternativa de garantizar en todos sus aspectos la gestin de la informacin permite a la sociedad liberarse preocupaciones, ya que la informacin est ocasionando cambios en la forma de producir bienes materiales y/o de servicios, que necesariamente har cambiar tambin la forma de distribucin de los mismos (para lo que se encontrarn criterios distintos al salario) y, por tanto, cambiar todo el entramado social. 9 Econmico, la informacin garantizada a travs de un proceso de seguridad informtica, participar en forma eficiente y eficaz en los procesos productivos y como consecuencia aparece un nuevo sector econmico en el que inteligencia e informacin son esenciales. Adems, la tarea principal es prevenir la ocurrencia de delitos informticos sobre sistemas de procesamiento crtico, como redes financieras y de confidencialidad.

DESCRIPCIN DEL PROYECTO

Descripcin terica Hace unos cuantos aos se comenz a masificar el uso de expertos en informtica para que desarrollen tareas como peritos. Debiendo cumplir en su labor como asesor en carcter de testigo, respecto del tribunal que ha requerido sus servicios. Lo cual trajo aparejado el desarrollo de un conjunto multidisciplinario de teoras, tcnicas y
8

mtodos de anlisis, que brindan soporte conceptual y de procedimiento, a la investigacin de la prueba indiciaria informtica. A lo que se denomin Informtica Forense. El anlisis forense en computadoras pretende averiguar lo ocurrido durante un delito o intrusin informtica. Busca dar respuesta a los interrogantes que se desatan luego de haber sido detectado en incidente o el delito: quin lo realiz, que hizo y como lo hizo, qu activos de informacin se vieron afectados; la metodologa de la informtica forense con todas sus normas trata en lo mximo de evitar contaminar la evidencia en la fase de anlisis presentando unos resultados fiables, pudiendo ser presentados como prueba en cualquier instancia dentro de un proceso legal o extrajudicial. Siendo este uno de los propsitos de la aplicacin del anlisis de la informtica forense. Descripcin Operacional En el presente proyecto se detallan los pasos a seguir para el cumplimiento de cada uno de los objetivos, tal y como se muestra a continuacin: Bases tericas: Se recopilar informacin cientfica sobre: conceptos, mtodos, estndares, tcnicas y procedimientos concerniente a la aplicacin de la Informtica Forense, x Diagnstico situacional: Se realizar un anlisis estadstico sobre los delitos informticos que ha sufrido el gobierno provincial en el perodo enero 2009 junio 2010, lo cual permitir tener una perspectiva especfica de dnde es prioritario aplicar de manera inmediata la informtica forense. La informacin se la obtendr de los empleados, autoridades del GPI. x Anlisis de la situacin jurdica en el Ecuador y aplicacin de estndares y procedimientos. Se realizar un anlisis sobre delitos informtico de la Legislacin ecuatoriana y se aplicar los estndares y procedimientos

estndar que se utilizan en una investigacin de crmenes e incidentes, para

9

enfocarlos hacia el anlisis de datos y evidencia digital, todo esto soportado por herramientas tecnolgicas de extraccin y anlisis de datos x Diseo de niveles de seguridad: Del anlisis y los resultados estadsticos que se obtengan en el anlisis situacional del Departamento de Informtica se definirn los niveles de seguridad a implementar en el GPI. x Definir polticas y procedimientos: Se elaborar las polticas y procedimientos a ser implementadas en el GPI, para proteger y salvaguardar el entorno informtico, red, equipos, aplicaciones y datos. x Anlisis de impactos: Se realizar un anlisis de los impactos que producir la elaboracin de la Metodologa para el Anlisis Informtico Forense del GPI.

ESQUEMA DE CONTENIDOS
Captulo I: Bases terico cientficas 1.1 Principios de seguridad informtica 1.1.1.1. 1.1.1.2. 1.1.1.3. Seguridad Fsica Seguridad Lgica Anlisis Forense en Sistemas informticos

1.1.2. Estndares, Tcnicas y procedimientos para el anlisis forense Captulo II: Diagnstico Situacional 2.1. 2.2. 2.3. 2.4. 2.5. Antecedentes diagnsticos Objetivos diagnsticos Variables diagnsticas Indicadores Resultados estadsticos

Captulo III: Anlisis de la situacin jurdica en el Ecuador y aplicacin de estndares y procedimientos. 3.6. 3.7. Legislacin ecuatoriana sobre delitos informticos Modelos conocidos
10

3.8. 3.9.

Tcnicas y procedimientos Herramientas forenses

3.10. Ciclo de vida para la administracin de evidencia digital Captulo IV: Niveles de Seguridad 4.6. 4.7. 4.8. 4.9. Servicios de Seguridad informtica Gestin en la seguridad en la informacin Vulnerabilidad de los sistemas informticos Amenazas de la seguridad informtica

Captulo V: Polticas y Procedimientos 5.1. 5.2. 5.3. 5.4. Defensas, salvaguardas o medidas de seguridad. Tipos de medidas de seguridad Riesgo residual Evaluacin y gestin de riesgos

Captulo VI: Anlisis de impactos 6.5. Impacto acadmico 6.6. Impacto cientfico 6.7. Impacto socio - cultural 6.8. Impacto econmico

CONCLUSIONES Y RECOMENDACIONES
En conclusin, estamos hablando de la utilizacin de la informtica forense con una finalidad preventiva, en primer trmino, que sirva a las instituciones para auditar, mediante la prctica de diversas pruebas tcnicas, que los mecanismos de proteccin instalados y las condiciones de seguridad aplicadas a los sistemas de informacin sean suficientes.
11

 Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestin que pasa por redactar y elaborar las oportunas polticas sobre uso de los sistemas de informacin facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas. Cuando la seguridad de la empresa ya ha sido vulnerada, la informtica forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrnicas, el origen del ataque (si es una vulneracin externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos.

12

ORGANIZACIN METODOLGICA
Mtodo Captulo Bases terico cientficas (Captulo I) Anlisis Sntesis Inductivo Deductivo Diagnstico situacional (Captulo II) Anlisis de la situacin jurdica en Anlisis el Ecuador Estndares estndares. (Captulo III) Niveles de Seguridad (Captulo IV) Polticas y Procedimientos (Captulo V) Principales Impactos (Captulo VI) Anlisis Sntesis Inductivo Deductivo Encuesta Descriptivo Notas Cuadernillo de notas Cuestionario estructurado Descriptivo Practico Notas Cuadernillo de notas y aplicaciones de Sntesis y procedimientos Fichaje Ficha Descriptivo FODA Ficha Fichaje Ficha Tcnica Instrumento

13

CRONOGRAMA DE ACTIVIDADES
Tiempo Objetivos /Actividades
Meses Semanas

1 mes

2 mes

3 mes

4 mes

5 mes

Bases terico cientficas 1 Investigacin en textos referentes Informtica Forense 2 Redaccin del captulo 3 Revisin para su mejoramiento Diagnstico situacional 1 Estructurar el instrumento para obtener la informacin 2 Aplicacin del instrumento 3 Tabulacin de los resultados 4 Anlisis de los resultados 5 Socializacin de resultados con el Director de Tecnologas y Comunicacin del GPI. Aplicaciones de Estndares y procedimiento estndares 1 Versin 1 2 Versin 2 3 Versin 3 Niveles de Seguridad 1 Versin 1 2 Versin 2 3 Versin 3 Polticas y Procedimientos Propuesta 1 Propuesta 2 Propuesta final Anlisis de impactos 1 Realizar el anlisis de impactos Elaborar las conclusiones y recomendaciones Redaccin y presentacin del informe final Digitacin

14

RECURSOS
a. Humanos Recursos Ing. Sistemas Dr. en Jurisprudencia Encuestadores Subtotal Costo actual 1000 1000 300 2300 Costo real 1000 1000 300 2300

b. Materiales Recursos Papel Tinta Copias y anillados, empastados Subtotal c. ecnolgicos Recursos Computadora Internet Subtotal d. Econmicos Recursos Movilizacin Subtotal Costo actual 20 20 Costo real 20 20 Costo actual 1100 100 1200 Costo real 0 100 100 Costo actual 15 50 100 165 Costo real 15 50 100 165

15

Resumen

Recurso Humanos materiales Tecnolgicos Econmicos SUBTOTAL 15% IMPREVISTOS TOTAL

Costo actual 2300 165 1200 20 3685 552,75 4237,75

Costo real 2300 165 100 200 2765 414,74 3179,75

FINANCIAMIENTO

Todos los materiales necesarios y la asistencia en asesora tcnica y legal , para la elaboracin del presente proyecto ser facilitada por el Gobierno Provincial de Imbabura .
FUENTES DE INFORMACIN

BIBLIOGRFICA [P0S09] [GOM06] [ALV08] POSSO, Miguel. (2009): Metodologa para el trabajo de Grado. GMEZ, lvaro. (2006): Enciclopedia de seguridad informtica LVAREZ GONZALO. (2008): Seguridad informtica para empresas particulares INTERNET [WWW01] [WWW02] [WWW03]
http://es.wikipedia.org/wiki/Cmputo_forense http://www.segu-info.com.ar http://www.forensic.mspx

16