ANÁLISIS DE SEGURIDAD DE LA INFORMACIÒN DE LA

ASOCIACIÓN COLOMBIANA DE DISTRIBUIDORES DE ENERGÍA

ELÉCTRICA DE COLOMBIA REALIZADO POR LA COMPAÑÍA VBP
TELECOMUNICACIONES

JULIAN ANDRES VALENCIA VILLA

HELBERD VELASQUEZ CADENA
ANA MILENA VELANDIA BENITEZ

ASESOR:
ING. DALMIRO BERMUDEZ
ING. EDUARD CRIOLLO

FUNDACIÓN UNIVERSITARIA PANAMERICANA

PROGRAMA DE INGENIERÍA DE SISTEMAS
DIPLOMADO EN REDES
BOGOTÁ D.C. 2010
 ANÁLISIS DE SEGURIDAD DE LA INFORMACIÒN DE LA
ASOCIACIÓN COLOMBIANA DE DISTRIBUIDORES DE ENERGÍA
ELÉCTRICA DE COLOMBIA REALIZADO POR LA COMPAÑÍA VBP
TELECOMUNICACIONES

Trabajo de grado para optar al título del Diplomado de Seguridad

Informática

JULIAN ANDRES VALENCIA VILLA

HELBERD VELASQUEZ CADENA
ANA MILENA VELANDIA BENITEZ

ASESOR:
ING. DALMIRO BERMUDEZ
ING. EDUARD CRIOLLO

FUNDACIÓN UNIVERSITARIA PANAMERICANA

PROGRAMA DE INGENIERÍA DE SISTEMAS
DIPLOMADO EN REDES
BOGOTÁ D.C. 2010
 Nota de Aceptación:

__________________________________

__________________________________

__________________________________

__________________________________

__________________________________

_________________________________

Firma del Presidente del jurado

_________________________________

Firma del jurado

________________________________

Firma del jurado

Bogotá D.C., de octubre de 2011

 CONTENIDO

INTRODUCCIÓN ................................................................................................... 12

1. MARCO TEÓRICO ......................................................................................... 13

1.1. ANTECEDENTES ........................................................................................ 13

1.1.1. ASOCODIS S.A.................................................................................. 14

1.1.2. VBP TELECOMUNICACIONES ......................................................... 15

1.2. BASES TEORICAS ...................................................................................... 17

1.2.1. LEY 1273 2009 PROTECCIÓN DE DATOS ...................................... 17

1.2.2. ISO 27000 .......................................................................................... 21

1.2.3. PROTOCOLOS DE SEGURIDAD ...................................................... 23

2. DISEÑO METODOLÓGICO ........................................................................... 24

2.1. TIPO DE DISEÑO ........................................................................................ 24

2.1.1. PLANEAR .......................................................................................... 25

2.1.2. HACER............................................................................................... 36

2.1.3. VERIFICAR ........................................................................................ 41

2.1.4. ACTUAR ............................................................................................ 56

3. RESULTADOS ............................................................................................... 58

4. CONCLUSIONES ........................................................................................... 59

5. GLOSARIO ..................................................................................................... 60

6. BIBLIOGRAFÍA ............................................................................................... 61
 LISTA DE DIAGRAMAS

1. Diagrama 1. Mapa geográfico proyección para las 10 ciudades 27

2. Diagrama 2: Configuración de red Bogotá. 36

3. Diagrama 3: Configuración actual de red Bogotá. 37

4. Diagrama 4. Mapa de proyección para las 10 ciudades. 38

 LISTA DE GRÁFICAS
1. Grafica N° 1: Monitoreo tráfico de red horario laboral 46

2. Grafica N° 2: Monitoreo tráfico de red horario laboral 47

3. Grafica N° 3: Monitoreo tráfico de red horario laboral 48

4. Grafica N° 4: Monitoreo tráfico de red horario laboral 49

5. Grafica N° 5: Monitoreo tráfico de red horario laboral 50

6. Grafica N° 6: Monitoreo trafico de red horario laboral 51

7. Grafica N° 7: Land Spy Horario Nocturno 52

8. Grafica N° 8: Land Spy Horario Nocturno 53

9. Grafica N° 9: Land Spy Horario Nocturno 54

10. Grafica N° 10: Land Spy Horario Nocturno 55

11. Grafica N° 11: Land Spy Horario Nocturno 56

12. Grafica N° 12: Land Spy Horario Nocturno 57

 DECLARACIÓN

Los autores certifican que el trabajo enviado es de su autoría, para su elaboración

se han respetado las normas de citación de fuentes y ninguna copia textual supera
las 400 palabras. Por tanto, no se ha incurrido en ninguna forma de plagio, ni por
similitud ni por identidad. Los autores son responsables del contenido y de los
juicios y opiniones emitidas.

NOMBRES

JULIAN ANDRES VALENCIA VILLA

HELBERD VELASQUEZ CADENA
ANA MILENA VELANDIA BENÍTEZ

Se autoriza a los interesados a consultar y reproducir parcialmente el contenido

del trabajo de investigación titulado ANÁLISIS DE SEGURIDAD DE LA
INFORMACIÒN DE LA ASOCIACIÓN COLOMBIANA DE
DISTRIBUIDORES DE ENERGÍA ELÉCTRICA DE COLOMBIA
REALIZADO POR LA COMPAÑÍA VBP TELECOMUNICACIONES.

Dirigido por los ingenieros DALMIRO BERMUDEZ y EDUARD CRIOLLO, siempre

que se haga la respectiva cita bibliográfica que dé crédito al trabajo y sus autores,
JULIAN ANDRES VALENCIA VILLA, HELBERD VELASQUEZ CADENA y ANA
MILENA VELANDIA BENITEZ.
 DEDICATORIA

A nuestras familias, por toda la comprensión, apoyo incondicional y toda la

paciencia que nos han tenido durante este proceso, por los momentos que hemos
dejado de compartir con ellos, pero que en un futuro cercano podamos recuperar
estos bellos momentos. Y muy especialmente a aquellos que hoy no se
encuentran con nosotros pero que sabemos que estarían orgullos de vernos
luchar por alcanzar nuestros sueños.
 AGRADECIMIENTOS

Antes que nada damos gracias a Dios por brindarnos la oportunidad de ofrecer
nuestros conocimientos para perfeccionarnos como profesionales íntegros,
agradecemos a todos las personas que de una u otra forma estuvieron
apoyándonos para llevar a feliz término este proyecto.

En especial agradecemos a ASOCODIS S.A. (Asociación Colombiana de

Distribuidores de Energía Eléctrica de Colombia), por permitirnos aportar un
granito de arena que le permita mejorar su rendimiento y seguridad en la
información, para aplicar los conocimientos adquiridos y desenvolvernos como
profesionales de ingeniería de sistemas.

Igualmente a los profesores mencionados anteriormente por el apoyo moral, ético,

personal y profesional que nos brindó, en especial en esta investigación ya que es
de gran importancia para el grupo de trabajo.
 RESUMEN

El trabajo de investigación se enfoca en la inseguridad y falta de disponibilidad de

información y recursos físicos, tecnológicos y logísticos en las sede de
ASOCODIS, y responde a los objetivos del diplomado de seguridad en redes de
información para brindar posibles soluciones de mejora que permita la seguridad
en la red de datos, la reducción de tiempo, la efectividad en el proceso de
consulta, manejo y resguardo de la información; por ende el aumento significativo
de la productividad.

PALABRAS CLAVE: Análisis de Seguridad, Algoritmo de seguridad, centro de

datos, servidor, UDP, TCP, ICP, flujo de información, canal de datos e ISP.
 ABSTRACT

The research work focuses on insecurity and lack of availability of information and
physical resources, technological and logistical headquarters in ASOCODIS, and
responds to the objectives of the degree of security in information networks to
provide improvement solutions that allow network security data while reducing the
effectiveness of the consultation process, management and safeguarding of
information, thereby significantly increasing productivity.

KEY WORDS: Analysis of Safety, Security algorithm, data center, server, UDP,
TCP, ICP, flow of information, data channel and ISP.
 INTRODUCCIÓN

En la actualidad se observa a nivel mundial la intensión de personas

inescrupulosas que se encargan causar grandes problemas a las compañías,
accesando de manera ilegal a las redes informáticas de las empresas para extraer
información importante con diferentes fines, esta situación se presenta debido a
los débiles esquemas de seguridad con los que cuentan la mayoría de las
compañías, puesto que no existe conocimiento afín con la planeación de un
modelo de seguridad optimo que proteja el capital informático de las amenazas de
las cuales son víctimas día a día. Algunos autores señalan que el activo más
valioso es la información por encima del dinero, Nos encontramos en la Era de la
Información por ello es de vital importancia para el departamento de sistemas
crear políticas de seguridad para protegerla de ataques.

En términos generales, se busca salvaguardar, prevenir y amparar la información

que es considerada como susceptible de robo, pérdida o daño, ya sea de manera
personal, grupal o empresarial. En el actual documento se encuentra registrado un
análisis a la seguridad (física/lógica) de la compañía ASOCODIS en donde se
evidencian las debilidades del actual esquema de seguridad y se propone una
plan de mejoramiento de las mismas, con el fin de aplicar los conocimientos y
destrezas adquiridos durante el diplomado en seguridad en redes certificado por
D-link bajo el apoyo de los docentes de la Fundación Universitaria Panamericana.
 1. MARCO TEÓRICO

1.1. ANTECEDENTES

En Estudios previos realizados con respecto a análisis de seguridad de

electrificadoras de Colombia, se distinguen varias normatividades que aportan a
este trabajo de investigación, referenciamos una de las impactantes en el mercado
nacional:

ENERTOLIMA

Con el propósito de garantizar una mejor calidad en los servicios a sus clientes, la
Compañía Energética del Tolima S.A. E.S.P.(Enertolima), establece el presente
documento como la norma que enmarca los CRITERIOS DE DISEÑO Y NORMAS PARA
CONSTRUCCIÓN DE INSTALACIONES DE DISTRIBUCIÓN Y USO FINAL DE ENERGÍA
ELÉCTRICA Y SU INFRAESTRUCTURA TECNOLOGICA, en su Zona de Influencia, de
conformidad con la reglamentación vigente, según la cual las empresas prestadoras del
servicio de energía eléctrica tienen la obligación de ofrecer a los clientes un punto de
conexión a sus redes.

SISTEMA ELECTRONICO DE CONTRATOS ESTANDARIZADOS “SEC”

ASOCODIS

Este trabajo tiene un enfoque que hace referencia a:

El nuevo esquema debe implicar al menos los mismos riesgos y menores costos
que el actual para alcanzar unos menores precios al Usuario Final. Ganancia de
eficiencia para el mercado. Mejorar los sistemas de información entre el usuario y
el proveedor.

Debe ser el mercado el que define la bondad del esquema y de sus productos.

Existen prácticas operativas en los sistemas electrónicos de negociación ya

definidas y probadas que garantizan la eficiencia, transparencia y óptima
formación de precios. 1

1
Tomado de: http://www.asocodis.org.co/
 1.1.1. ASOCODIS S.A.

QUIENES SOMOS

La Asociación Colombiana de Distribuidores de Energía Eléctrica - ASOCODIS -,

creada en 1999, es una entidad sin ánimo de lucro que congrega a las principales
empresas distribuidoras y comercializadoras de energía eléctrica que atienden
usuarios regulados y no regulados a lo largo y ancho de Colombia.

Las empresas públicas y privadas que integran ASOCODIS, representan un

segmento clave dentro de la industria Colombiana, ya que son responsables de
suministrar el servicio de energía eléctrica a 8.9 millones de usuarios que
representan el 98.5% de los usuarios de Colombia, y de atender el 97% de la
demanda de energía regulada del país.

El 88% de los usuarios son de estratos 1, 2 y 3, lo cual implica una

responsabilidad social de gran magnitud, con la cual estamos comprometidos.

En conjunto las distribuidoras asociadas en ASOCODIS administran el 93% de la

energía eléctrica que se distribuye en Colombia.
 ORGANIGRAMA

1.1.2. VBP TELECOMUNICACIONES

QUIENES SOMOS

Somos una empresa Colombiana Enfocada en la prestación de servicios de

tecnología de Información y comunicaciones con énfasis en la solución de
necesidades de usuario final de tecnología.

En nuestro portafolio de servicios se encuentra: Administración de cómputo,

administración de inventarios, alquiler de equipos de soporte, mantenimiento de
equipos de cómputo, mesa de ayuda, servicio de laboratorio y suministro de
personal técnico y especializado. Esta diseñado bajo el marco de referencia ITIL,
lo que permite que la gestión de incidentes se realice de una manera adecuada,
basados en niveles de servicios ajustados de acuerdo a las necesidades de cada
organización.

MISIÓN

Somos una empresa especializada en Outsorcing de servicios de

telecomunicaciones e informática, que busca satisfacer las necesidades de
nuestros clientes en el sector público y privado, enfocándonos en tres puntos
fundamentales: Calidad, Seriedad y cumplimiento, estableciendo relaciones de
largo plazo.

VISIÓN

Ser para el año 2020, líder en la comercialización de productos y servicios en el

sector de telecomunicaciones, satisfaciendo las necesidades de nuestros clientes,
accionistas, capital humano y sociedad.
POLÍTICA

VBP TELECOMUNICACIONES, comercializa productos y servicios de

telecomunicaciones, basándose en un sistema de gestión de calidad eficaz que
permite el mejoramiento continuo de sus procesos, sobre la base de un personal
profesional, motivado y comprometido.

La empresa orienta su acción al crecimiento y fortalecimiento de nuestra red de

subdistribuidores a nivel nacional dentro de un modelo de tiendas multiproductos y
multiservicios, bajo el modelo de franquicia, donde la mejora de los procesos
enmarcada en el sistema de calidad ISO es fundamental para lograr nuestro éxito.

OBJETIVOS

Aportar políticas, normas, infraestructura y servicios para el sector de

telecomunicaciones adecuados para el desarrollo y beneficio para los socios.

Apoyar en la planificación y estructuración del sector dentro de los principios

comunitarios.

Proponer proyectos para el mejoramiento de la calidad de prestación de servicios

de telecomunicaciones.

Contribuir en la solución de conflictos que se presenten entre empresas y/o

entidades del sector, facilitando procesos.

Responder proactivamente a las exigencias y tendencias del entorno.

 1.2. BASES TEORICAS

1.2.1. LEY 1273 2009 PROTECCIÓN DE DATOS2

LEY 1273 DE 2009
(Enero 5)
Diario Oficial No. 47.223 de 5 de enero de 2009

CONGRESO DE LA REPÚBLICA
Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico
tutelado - denominado “de la protección de la información y de los datos”- y se
preservan integralmente los sistemas que utilicen las tecnologías de la información
y las comunicaciones, entre otras disposiciones.

EL CONGRESO DE COLOMBIA
DECRETA:
ARTÍCULO 1o. Adiciónase el Código Penal con un Título VII BIS denominado “De
la Protección de la información y de los datos”, del siguiente tenor:

CAPITULO I
De los atentados contra la confidencialidad, la integridad y la disponibilidad de los
datos y de los sistemas informáticos

Artículo 269A: Acceso abusivo a un sistema informático. <Ver Nota del Editor> El
que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un
sistema informático protegido o no con una medida de seguridad, o se mantenga
dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a
excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Artículo 269B: Obstaculización ilegítima de sistema informático o red de

telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema informático, a los datos
informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena
de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100
a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no
constituya delito sancionado con una pena mayor.

2
Tomado de: http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html
Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial
previa intercepte datos informáticos en su origen, destino o en el interior de un
sistema informático, o las emisiones electromagnéticas provenientes de un
sistema informático que los transporte incurrirá en pena de prisión de treinta y seis
(36) a setenta y dos (72) meses.

Artículo 269D: Daño Informático. El que, sin estar facultado para ello, destruya,
dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de
tratamiento de información o sus partes o componentes lógicos, incurrirá en pena
de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100
a 1.000 salarios mínimos legales mensuales vigentes.

Artículo 269E: Uso de software malicioso. El que, sin estar facultado para ello,
produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del
territorio nacional software malicioso u otros programas de computación de efectos
dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello,
con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases de datos o
medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa
y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales
vigentes.

Artículo 269G: Suplantación de sitios web para capturar datos personales. El que
con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda,
ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y
en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre
que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de

nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente
en la creencia de que acceda a su banco o a otro sitio personal o de confianza,
siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a
la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del
delito.
Artículo 269H: Circunstancias de agravación punitiva: Las penas imponibles de
acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las
tres cuartas partes si la conducta se cometiere:

1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o

del sector financiero, nacionales o extranjeros.

2. Por servidor público en ejercicio de sus funciones.

3. Aprovechando la confianza depositada por el poseedor de la información o por

quien tuviere un vínculo contractual con este.

4. Revelando o dando a conocer el contenido de la información en perjuicio de

otro.

5. Obteniendo provecho para sí o para un tercero.

6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.

7. Utilizando como instrumento a un tercero de buena fe.

8. Si quien incurre en estas conductas es el responsable de la administración,

manejo o control de dicha información, además se le impondrá hasta por tres
años, la pena de inhabilitación para el ejercicio de profesión relacionada con
sistemas de información procesada con equipos computacionales.

CAPITULO II
De los atentados informáticos y otras infracciones

Artículo 269I: Hurto por medios informáticos y semejantes. El que, superando

medidas de seguridad informáticas, realice la conducta señalada en el artículo 239
manipulando un sistema informático, una red de sistema electrónico, telemático u
otro medio semejante, o suplantando a un usuario ante los sistemas de
autenticación y de autorización establecidos, incurrirá en las penas señaladas en
el artículo 240 de este Código.

Artículo 269J: Transferencia no consentida de activos. El que, con ánimo de lucro

y valiéndose de alguna manipulación informática o artificio semejante, consiga la
transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre
que la conducta no constituya delito sancionado con pena más grave, incurrirá en
pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de
200 a 1.500 salarios mínimos legales mensuales vigentes. La misma sanción se le
impondrá a quien fabrique, introduzca, posea o facilite programa de computador
destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.

Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a
200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará
en la mitad.

ARTÍCULO 2o. Adiciónese al artículo 58 del Código Penal con un numeral 17, así:

Artículo 58. Circustancias de mayor punibilidad. Son circunstancias de mayor

punibilidad, siempre que no hayan sido previstas de otra manera:

17. Cuando para la realización de las conductas punibles se utilicen medios

informáticos, electrónicos o telemáticos.

ARTÍCULO 3o. Adiciónese al artículo 37 del Código de Procedimiento Penal con

un numeral 6, así:

Artículo 37. De los Jueces Municipales. Los jueces penales municipales conocen:

6. De los delitos contenidos en el título VII Bis.

ARTÍCULO 4o. La presente ley rige a partir de su promulgación y deroga todas las
disposiciones que le sean contrarias, en especial el texto del artículo 195 del
Código Penal.
El Presidente del honorable Senado de la República,
HERNÁN ANDRADE SERRANO.
El Secretario General del honorable Senado de la República,
EMILIO RAMÓN OTERO DAJUD.
El Presidente de la honorable Cámara de Representantes,
GERMÁN VARÓN COTRINO.
El Secretario General de la honorable Cámara de Representantes,
JESÚS ALFONSO RODRÍGUEZ CAMARGO.
REPUBLICA DE COLOMBIA - GOBIERNO NACIONAL
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 5 de enero de 2009.
ÁLVARO URIBE VÉLEZ
El Ministro del Interior y de Justicia,
FABIO VALENCIA COSSIO.
 1.2.2. ISO 270003

Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene

los requisitos del sistema de gestión de seguridad de la información. Tiene su
origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por
auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2,
habiéndose establecido unas condiciones de transición para aquellas empresas
certificadas en esta última. En su Anexo A, enumera en forma de resumen los
objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva
numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean
seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no
ser obligatoria la implementación de todos los controles enumerados en dicho
anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los
controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está
publicada en España como UNE-ISO/IEC 27001:2007.

Su contenido hace referencia a:

En esta sección se hace un breve resumen del contenido de las normas ISO
27001, ISO 27002, ISO 27006 e ISO 27799. Si desea acceder a las normas
completas, debe saber que éstas no son de libre difusión sino que han de ser
adquiridas.

Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia
organización:
http://www.iso.org/iso/en/prods-services/ISOstore/store.html

Las normas en español pueden adquirirse en España en AENOR (vea en la

sección:
Serie 27000 cuáles están ya traducidas):
http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp

Las entidades de normalización responsables de la publicación y venta de normas

en cada país hispanoamericano (es decir, las homólogas del AENOR español) las
puede encontrar listadas en nuestra sección de Enlaces, bajo Acreditación y
Normalización.

3
Tomado de: http://www.iso27000.es/download/doc_iso27000_all.pdf
ISO 27001:2005

• Introducción: generalidades e introducción al método PDCA.

• Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el
tratamiento de exclusiones.
• Normas para consulta: otras normas que sirven de referencia.
• Términos y definiciones: breve descripción de los términos más usados en la
norma.
• Sistema de gestión de la seguridad de la información: cómo crear,
implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos
de documentación y control de la misma.

•Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión

y provisión de recursos y concienciación, formación y capacitación del personal.

• Auditorías internas del SGSI: cómo realizar las auditorías internas de control y
cumplimiento.
• Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de
revisión del SGSI por parte de la dirección.

• Mejora del SGSI: mejora continua, acciones correctivas y acciones

preventivas.ES ©
7
•Objetivos de control y controles: anexo normativo que enumera los objetivos
de control y controles que se encuentran detallados en la norma ISO 27002:2005.

• Relación con los Principios de la OCDE: anexo informativo con la

correspondencia entre los apartados de la ISO 27001 y los principios de buen
gobierno de la OCDE.

• Correspondencia con otras normas: anexo informativo con una tabla de

correspondencia de cláusulas con ISO 9001 e ISO 14001.

• Bibliografía: normas y publicaciones de referencia.

 1.2.3. PROTOCOLOS DE SEGURIDAD

Un protocolo de seguridad define las reglas que gobiernan estas comunicaciones,

diseñadas para que el sistema pueda soportar ataques de carácter malicioso.

Protegerse contra todos los ataques posibles es generalmente muy costoso, por lo
cual los protocolos son diseñados bajo ciertas premisas con respecto a los riesgos
a los cuales el sistema está expuesto.

Taxonomía de Protocolos

Los protocolos pueden ser clasificados en base a su modo de funcionamiento en:

• Protocolos arbitrados: Aquellos en los que es necesaria la participación de

un tercero para garantizar la seguridad del sistema.

• Protocolos adjudicados: Son protocolos que tienen dos partes, una parte
no-arbitrada y una arbitrada. El subprotocolo arbitrado se activa solo en
caso de disputa.

• Protocolos auto-reforzados o auto adjudicados: No se requiere de una

árbitro para garantizar el protocolo. Se puede abortar la secuencia de pasos
en cualquier momento, dejando sin efecto las acciones tomadas (similar a
una transacción atómica). No todas las situaciones son apropiadas para
este tipo.4

4
Tomado de: http://es.wikipedia.org/wiki/Criptograf%C3%ADa
 2. DISEÑO METODOLÓGICO

2.1. TIPO DE DISEÑO

El tipo de investigación que se utilizara es: el estudio de caso por ser una
herramienta valiosa para la investigación y su fortaleza radica en que mide y
registra las conductas de las personas involucradas en el fenómeno estudiado.

Para el diseño y desarrollo de la herramienta tecnológica que soporta el ANÁLISIS

DE SEGURIDAD DE LA INFORMACIÒN DE LA ASOCIACIÓN COLOMBIANA DE
DISTRIBUIDORES DE ENERGÍA ELÉCTRICA DE COLOMBIA REALIZADO POR
LA COMPAÑÍA VBP TELECOMUNICACIONES el grupo de trabajo manejó una
estrategia metodológica conocida como PHVA ciclo metodológico complementario
que consiste en planear, hacer, verificar y actuar. Este ciclo ayudará a controlar y
organizar la información conseguida durante el proyecto, ubicándola en fases que
facilitara la comprensión de la solución

Planear: En esta etapa se establecerán los objetivos y procesos necesarios para

conseguir resultados de acuerdo con los requisitos del cliente y las políticas de la
organización. Se identificara especificaciones de los requisitos del software.

Hacer: En esta etapa se implementaran los procesos o actividades generadas en

la etapa anterior, se identificaran las mejoras del producto y se desarrollara un
plan piloto para seguir adelante con el ciclo

Verificar: En esta etapa se efectuara el rastreo y la medición de los procesos y los

productos, se comprobaran los caminos de los objetivos y los requisitos para el
desarrollo adecuado del proyecto y se trazara un análisis informacional de los
resultados obtenidos y de las retroalimentaciones del proyecto

Actuar: en el último paso se hará la entrega final del proyecto

 2.1.1. PLANEAR
Identificamos las siguientes actividades en planear:

• Identificación de servicios

En el área de informática de la empresa ASOCODIS se tiene como servicio

principal dar soporte a los usuarios que están en la sede Bogotá.

Servir como puente entre Bogotá y las demás sedes de Colombia para
cualquier tipo de transferencia de información, es decir servir de ayuda para el
envió y recibido de datos según corresponda la necesidad de información.

• Identificación del cliente

ASOCODIS es una empresa dedicada a la regulación de energía y cuenta con

un proceso de informática.

La Ing. Gloria Sarmiento es la encargada del equipo de sistemas, este equipo

está conformado por:

o 10 equipos de computo
o Servidor
o Router
o Switch inalámbrico.

• Identificación de las necesidades, planteamiento del problema.

Para realizar la identificación de las necesidades se realiza el levantamiento de

información de la empresa por medio de la Ing. Gloria Sarmiento quien nos indica
que ASOCODIS posee las siguientes necesidades:

o Un sistema de cableado estructurado: actualmente la infraestructura

de cable destinada a transportar información no cumple con los
requerimientos en la confiabilidad y seguridad en la transmisión de
datos.
 o Topologías de redes: en la actualidad la empresa no cuenta con la
implementación de topologías de redes claras para la distribución,
organización y conexión con los equipos o dispositivos de red.

o Planeación de recursos: se necesita realizar la planeación para el

centro de cómputo, ya que establece los objetivos y determina como
constitutivos los siguientes elementos:
o Instalaciones: Edificios y acondicionamiento del mismo,
plantas de emergencia, dispositivos de seguridad, etc.
o Equipo: Equipo de cómputo necesario para su funcionamiento,
periféricos, etc.
o Materiales de producción: Materias primas para su
funcionamiento, así como materiales directos e indirectos.

o Planeación de instalación y ubicación física:

La ubicación física e instalación del Centro de Cómputo de la
empresa no es la adecuada porque no cumple con el servicio que se
pretende ofrecer y disponibilidad de espacio físico.

o Iluminación: No hay mejora en el sistema de iluminación el cual debe

debe ser apropiado para evitar reflejos en las pantallas, falta de luz
en determinados puntos, y se evitará la incidencia directa del sol
sobre los equipos.

En este proyecto se planeara el montaje de la infraestructura de red a la empresa

ASOCODIS, se desea crear una red WAN, la cual tendrá una cadena de
comunicación usada por los nodos que conforman la red para comunicarse por
medio de la topología estrella; debido a que corresponde al modelo de gestión
centralizada con la que cuenta la organización, esta es la que está configurada en
el interior de las ciudades y de topología anillo, a nivel de comunicación con las
otras diez ciudades las cuales son:

o Riohacha / ELECTRIFICADORA DEL CARIBE S.A. E.S.P.

o Barranquilla / EMPRESA DISTRIBUIDORA DEL PACIFICO S.A.
E.S.P.
o Cúcuta / CENTRALES ELECTRICAS DEL NORTE DE SANTANDER
S.A. E.S.P
o Medellín / EMPRESAS PUBLICAS DE MEDELLIN E.S.P.
o Cali / EMPRESAS MUNICIPALES DE CALI E.S.P.
 o Bogotá / CODENSA S.A. E.S.P.
o Tunja / ELECTRIFICADORA DE BOYACA S.A. E.S.P.
o Villavicencio / ENELAR Electrificadora de Arauca
o Pasto / CENTRALES ELECTRICAS DE NARIÑO S.A. E.S.P
o Florencia /ELECTRIFICADORA DEL CAQUETA S.A. E.S.P.

Para este proyecto de investigación se tomara como fase inicial la aplicación lo

determinado en el centro de cómputo de la ciudad de Bogotá de la empresa
ASOCODIS.

Este esquema de la red se visualizara en las diez ciudades de la siguiente

manera.

Diagrama 1. Mapa geográfico proyección para las 10 ciudades

 • Identificación de quipos actualmente utilizados en la compañía.

Cada ciudad posee diez equipos de cómputo, un servidor, un router y un Switch

en la ciudad de Bogotá. La descripción de cada equipo se referencia a
continuación:

• 10 EQUIPOS Cómputo Accesorios-Software Sistema Operativo OEM

EQUIPOS
Cómputo
Accesorios-
Software
Sistema
Desc. Operativo Windows 7
Accesorio OEM Nombre Professional Serial N/A
Windows 7
Marca MICROSOFT Modelo Professional Referencia N/A
Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Windows 7 Observaciones En buenas
Professional condiciones
OEM

Nombre Windows 7
Software Professional Licencia N/A

4/20/2011 01/01/1900
Fecha Incia 12:00:00 AM Fecha Vence 00:00
ASOCODIS
Versión Empresa S.A.
EQUIPOS
Cómputo
Accesorios-
Desc. Software Antivirus
Accesorio Antivirus Nombre Kaspersky Serial N/A
KASPERSKY
Marca KASPERSKY Modelo 6.0.4 Referencia N/A
Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Antivirus Observaciones En buenas
Kaspersky condiciones
version 6.0.4

Nombre
Software Licencia

Fecha Incia Fecha Vence

Versión Empresa ASOCODIS

EQUIPOS
Cómputo
Accesorios-
Software
Desc. Microsoft Offices 2007
Accesorio Office VLS Nombre Plus Serial N/A
 Office
Professional
Marca MICROSOFT Modelo 2007 Plus Referencia N/A
Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Offices 2007 Observaciones En buenas
Profesional condiciones
Plus

Nombre
Software Licencia

Fecha Incia Fecha Vence

Versión Empresa ASOCODIS

EQUIPOS
Cómputo
Accesorios-
Desc. Disco Duro
Accesorio SATA Nombre Disco Duro Serial N/A

Marca N/A Modelo N/A Referencia N/A

Estado Funcionando Valor Medida 500.00 Tipo GigaBytes
Medida
Descripciones Disco duro Observaciones En buenas
de 500 GB condiciones
sata II.

EQUIPOS
Cómputo
Accesorios-
Desc. CD-ROM
Accesorio Universal Nombre Unidad Optica Serial N/A

Marca HP Modelo N/A Referencia N/A

Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Unidad Observaciones En buenas
Optica DVD- condiciones
RAW

EQUIPOS
Cómputo
Accesorios-
Desc. Tarjeta de Tarjeta
Accesorio Red Nombre alambrica Serial N/A

Marca N/A Modelo N/A Referencia N/A

Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Tarjeta de Observaciones En buenas
red condiciones
alambrica

EQUIPOS
Cómputo
Desc. Accesorios-
Accesorio Bolso Morral Nombre Morral Targus Serial N/A

Marca TARGUS Modelo N/A Referencia N/A

Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Morral Observaciones En buenas
Targus color condiciones
Negro

EQUIPOS
Cómputo
Accesorios-
Desc. Disco Duro Disco Duro
Accesorio Externo Nombre Externo Serial WX71AA074340

Marca HP Modelo N/A Referencia

Estado Funcionando Valor Medida 500.00 Tipo GigaBytes
Medida
Descripciones Disco Duro Observaciones En buenas
Externo de condiciones
500GB de
USB 3.0

EQUIPOS
Cómputo
Accesorios-
Desc. Soporte de Soporte para
Accesorio equipo Nombre portatil Serial N/A

Marca N/A Modelo N/A Referencia

Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Base para Observaciones En buenas
portail Marca condiciones
Lapstation

EQUIPOS
Cómputo
Desc. Accesorios-
Accesorio Teclado USB Nombre Teclado USB Serial N/A

Marca GENIUS Modelo KB-220E Referencia

Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Teclado USB Observaciones En buenas
Multimedia condiciones
con 12 teclas

EQUIPOS
Cómputo
Accesorios-
Desc. Bateria
Accesorio Universal Nombre Bateria Serial N/A

Marca HP Modelo 4320s Referencia

Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Bateria de Observaciones En buenas
Lition condiciones
 EQUIPOS
Cómputo
Accesorios-
Desc. Cargador
Accesorio Aguja Nombre Cargador Serial WBGSUAL9ZVKGL

Marca HP Modelo 4320s Referencia

Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones cargador de Observaciones En buenas
aguja de condiciones
18.5V a3.5A

EQUIPOS
Cómputo
Accesorios-
Desc. Software
Accesorio Plugin Nombre Plugings Serial N/A

Marca N/A Modelo N/A Referencia N/A

Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Internet Observaciones En buenas
Explorer 8, condiciones
Mozilla
Firefox,
Windows
Media
Player, PDF
Creator,
7ZIP,
Acrobat
Reader,
Java, Show
Player, Flash
Player
Nombre
Software Licencia

Fecha Incia Fecha Vence

Versión Empresa ASOCODIS

EQUIPOS
Cómputo
Accesorios-
Desc. Memoria
Accesorio RAM DDR3 Nombre Memoria Ram Serial N/A

Marca N/A Modelo N/A Referencia N/A

Estado Funcionando Valor Medida 3072.00 Tipo MegaHertz
Medida
Descripciones Memoria de Observaciones En buenas
DDR3 de condiciones
3072MB

EQUIPOS
Cómputo
Desc. Accesorios-
Accesorio Mouse USB Nombre Mouse Optico Serial N/A
Netscroll 200
Marca GENIUS Modelo Laser Referencia
Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Mouse Observaciones En buenas
Optico condiciones
NETSCROLL
200 Laser

EQUIPOS
Cómputo
Accesorios-
Tarjeta de
Desc. Red Tarjeta
Accesorio Inálambrica Nombre Inalambrica Serial N/A

Marca N/A Modelo N/A Referencia N/A

Estado Funcionando Valor Medida 1.00 Tipo Unidad
Medida
Descripciones Tarjeta de Observaciones En buenas
red condiciones
Inalambrica
5

• 1 SERVIDOR-Software Sistema Operativo OEM

PowerEdge T112

23/05/2010
02:39:28
a.m. Central
Date Standard Time

787802 Retail cob

Número de catálogo sdt1

Código del produ

Número de catálogo / Descripción cto Qty SKU Id.
Procesador:

Intel® Xeon® X3430 (8MB Caché, 2.40 [317-2044][330-

GHz, Turbo, HT) 248MT 1 5552] 6
Sistema Operativo:

Windows Server® 2008 R2, Foundation en

Español WS8FE 1 [421-2639] 11
Memoria:
[317-2022][317-
Memoria de 8GB (2X4GB), 1333Mhz 8G2U3D 1 2410] 3
Configuración de Disco Duro:
Raid 5 - Extensión PERC S300
(Controlador SAS/SATA) soporta 3 a 4 [330-5554][341-
Disco Duros PS334R5 1 1135] 27

5
Tomado de: Formato de entrega de equipos de la compañía ASOCODIS BTÁ
Controlador Primario:

Adaptador RAID Interno PERC S300

(basado en software) 3Gb/s SAS/SATA
para configuración Intercambiable (Hot [330-5553][341-
Plug) PS3PEH 1 0402] 9
Multiple Selección de Disco Duro:

600GB 10K RPM Serial-Attach SCSI

3Gbps 3.5-in Hard Drive 600A10 1 [341-8933] 1209
Controlador Adicional:

(2 Unidades) Dell Ultra 320 SCSI un solo [341-4584][341-

Canal PCI Express 2XU320E 1 4584] 24
Respaldo en cinta:

RD1000 - Unidad SATA Interna y Software [330-5705][341-

(Adquiera su Medio por Separado) RD1000 1 9763] 15
Cinta de Respaldo (Medio):
Disco Duro Removible Interno para
RD1000, 320GB (Nativo) / 640GB
(Comprimido) 320GB 1 [341-7175] 73
PowerEdge T110:

Chassis PowerEdge T110 hasta con 4

Disco Duros Cableados PET110L 1 [224-6816] 1
2ndo Processor:
Envio para PowerEdge T110 SHT110 1 [330-6454] 2

Teclado, Mouse y otros Dispositivos

relacionados:

Teclado y Mouse Dell óptico USB Color [310-9638][320-

Negro, en Inglés con Monitor LCD 17" KM17ENG 1 8083][330-8810] 4
Disco Duro Primario:
Selección Multiple de Disco Duro HDMULTI 1 [341-4158] 8
Adaptador de Red:

Adaptador Integrado de puerto doble,

Gigabit Ethernet OBNIC 1 [430-0488] 13
Administración Integrada:
Controlador de Administración de Base BMC 1 [313-7919] 14
Disco Óptico Interno:
[313-9100][330-
DVD-ROM (Interno) 16XDVD 1 5707] 16

Documentación del sistema y

Manuales: EDOCS 1 [330-5704] 21
Documetación Electrónica y Equipo de
Administración DVD Open Manage
Aplicaciones para respaldo de datos:

Symantec Backup Exec 2010, Suite para

Servidor - 1 Año BE10SV1 1 [410-6199] 25
Cable de Corriente:

Cable de Corriente NEMA 5-15P a IEC320

C13, conexión a Pared, 10 pies WP10F 1 [330-5113] 38
Garantía y Servicio de Soporte: [905-4127][905-
4147][905-
5408][905-
3 Años de garantía Limitada en el sitio con 5862][906-
respuesta al siguiente día laborable. L3OS 1 4340][917-7479] 29

Para este proyecto se planea realizar la simulación de las redes en la herramienta

Visio, este proyecto pretende obtener resultados en el corto plazo, lo cual
demuestra que ha sido diseñado para satisfacer las necesidades del cliente,
estableciendo un límite de tiempo y la garantía del cumplimiento de los acuerdos
establecidos con el cliente.

• Planificación de pruebas de vulnerabilidades de seguridad en el sistemas

Esta matriz permitirá organizar las identificaciones para poder obtener una relación
de vulnerabilidades en la infraestructura de comunicaciones.

Tendrá los siguientes ítems de evaluación:

• Directivas de seguridad
• Principio de "privilegios mínimos"
• Boletines de seguridad
• El sistema no está actualizado (no se han aplicado las actualizaciones de
software)
• puertos de red
• Configuración incorrecta de las cuentas de servicio
• Área expuesta demasiado grande
• Procedimientos almacenados innecesarios habilitados
• Contraseñas no seguras
• Cuentas de usuario sin auditar.
 Matriz de Pruebas de Vulnerabilidades
Frecuencia en 1 No Max.
Cargos Capacitaciones Sesión Vulnerabilidad y/o amenaza Ente Capacitador
año Asistentes

Análisis de Riesgo, , Manejo de

Buenas prácticas de productos y sustancias peligrosas, VBP TELECOMUNICACIONES
ITIL. Primeros Auxilios, Contra Incendio, Ing. Helberd Velásquez
Ing. Sistemas Directivas de seguridad 2 5
AthTek NetWalk Reporte e investigación de ataques Ing. Ana Milena Velandia
informáticos e incidentes de Benitez.
aplicativos.

ITIL
Identificación, prevención y control VBP TELECOMUNICACIONES
Ing. Sistemas AthTek NetWalk Principio de "privilegios mínimos" 2 5
de usuarios. Ing. Helberd Velásquez
VBP TELECOMUNICACIONES
ITIL Identificación, análisis y prevención Ing. Helberd Velásquez
Ing. Sistemas Boletines de seguridad 2 5
AthTek NetWalk de Riesgos . Ing. Ana Milena Velandia
Benitez.
El sistema no está actualizado (no se
Manejo Land Spy VBP TELECOMUNICACIONES
Ing. Sistemas Control de actualizaciones han aplicado las actualizaciones de 2 5
AthTek NetWalk Ing. Helberd Velásquez
software)
Análisis, manejo y control de
Manejo Land Spy VBP TELECOMUNICACIONES
Ing. Sistemas puertos libres, condicionados y puertos de red 2 5
AthTek NetWalk Ing. Helberd Velásquez
bloqueados
Manejo Land Spy Configuración incorrecta de las VBP TELECOMUNICACIONES
Ing. Sistemas Análisis de cuentas de usuario 2 5
AthTek NetWalk cuentas de servicio Ing. Helberd Velásquez
Control físico Verificación del control de acceso a VBP TELECOMUNICACIONES
Ing. Sistemas Área expuesta demasiado grande 2 5
AthTek NetWalk las áreas. Ing. Helberd Velásquez
Manejo Land Spy Análisis de procedimientos y Procedimientos almacenados VBP TELECOMUNICACIONES
Ing. Sistemas 2 5
AthTek NetWalk recomendaciones de uso. innecesarios habilitados Ing. Helberd Velásquez
Manejo Land Spy VBP TELECOMUNICACIONES
Ing. Sistemas Chequeo de contraseñas Contraseñas no seguras 2 5
AthTek NetWalk Ing. Helberd Velásquez
Manejo Land Spy VBP TELECOMUNICACIONES
Ing. Sistemas Control de cuentas de usuario Cuentas de usuario sin auditar 2 5
AthTek NetWalk Ing. Helberd Velásquez
 2.1.2. HACER

A continuación encontraremos la descripción de los planos de la sede de Bogotá

aplicados:

Diagrama 2:: Configuración de red Bogotá.

Diagrama 3: Configuración actual de red Bogotá.
Implementación de los procesos

La red de comunicaciones propuesta por este proyecto pretende dotar de

comunicación a 10 ciudades interconectadas teniendo como sede Bogotá donde
está ubicado el centro de cómputo principal con todos los aparatos eléctricos e
informáticos para el montaje, andamiaje y especificaciones técnicas, de modo que
puedan comunicarse a alta velocidad con el Centro Coordinación Nacional.

Para los efectos de todo este trabajo de investigación nos enfocaremos en la sede
Bogotá.

El esquema de la red nacional al finalizar todos los enlaces con las ciudades antes
descritas es el siguiente de esta red, se ilustra en la Diagrama 3
3.

Diagrama 4: Mapa de proyección para las 10 ciudades.

SISTEMAS DE SEGURIDAD

• Estudios de seguridad.

Para ejecutar las pruebas de control de tráfico el software empleado fue:

AthTek NetWalk
Es un programa para controlar el tráfico en la red. Esta herramienta permite
efectuar un análisis del sistema e identificar si existen problemas, encuentra
causas y define posibles soluciones. Esta aplicación puede ser eficiente
tanto para la utilización en redes pequeñas como empresariales.

El programa puede ayudar a los administradores de la red por medio de las

herramientas de análisis. Él, efectúa el monitoreo en tiempo real de todo el
tráfico de datos y construye gráficos para facilitar la interpretación de
informaciones
Los protocolos utilizados por el programa permiten tener un análisis
detallado de la red, incluyendo la de aplicación, transporte y física. También
se pueden verificar los paquetes que estén en circulación y capturarlos. Los
datos capturados también pueden ser almacenados en la computadora para
una verificación posterior.

El programa también efectúa el mapeo de las unidades, para garantizar un

mejor control por parte de los administradores. La herramienta también
cuenta con diversos filtros que permiten reglas de acceso, entrada y salida
de paquetes. De esta forma, se puede garantizar que todo lo que circula en
la red está seguro.6

Para ejecutar las pruebas de vulnerabilidad el software empleado fue:

LanSpy
Es un analizador que permite obtener información detallada de todos los
ordenadores conectados en una misma red local, ya sea especificando la IP
de la máquina que se quiere analizar, o mediante un rango de direcciones
IP.
Las opciones de configuración del programa permiten seleccionar los
puntos que se quieren incluir en el análisis, y que pueden ser algunos como
nombres de dominio, dirección MAC, discos, usuarios, recursos
compartidos, ficheros abiertos, servicios activos, etc. También se puede
realizar un análisis de los puertos de las máquinas seleccionadas.

6
Tomado de: Ayuda de Ath Tek Netwalk
2
Tomado de: Ayuda de Lan Spy
• Plan de seguridad.

Aplicación software mediante LANSPY, WALKNET

Se hizo una entrevista con la Ing. Gloria Sarmiento y se enfatizo en la
seguridad y disponibilidad de la información en la empresa y planteamos los
siguientes ítems:

Seguridad:

o Políticas De Seguridad

Disponibilidad

o Políticas de supervisión y evaluación.

o Políticas de utilización de los recursos de la red

Control de acceso peatonal y vehicular

o Políticas del Control De Accesos
 2.1.3. VERIFICAR

En esta etapa se verifican si las dos anteriores fases están bien implementadas y
documentadas. Además se aplica el proceso de revisiones internas.

Para lo anterior se evalúan las acciones tomadas por medio de software medidores
de rendimiento, trafico, vulnerabilidad y control que se demuestran en las siguientes
gráficas y se establece el planteamiento de políticas de seguridad mencionadas a
continuación:.

POLÍTICAS DE SEGURIDAD

La Dirección de Telemática está conformada por tres departamentos de servicio, y

una dirección. Los departamentos son Informática, Cómputo, y Redes, estos se
encargan de brindar servicio directo al usuario, por el ámbito de competencia que
tiene cada uno de ellos en materia de informática, desde el equipamiento,
instalación, alteración, cambio de lugar, programación, etc. Por lo que ha sido
necesario emitir políticas particulares para la Red VBP ASOCODIS, que es el
nombre oficial de un conjunto de recursos y facilidades informáticas, de la
infraestructura de telecomunicaciones y servicios asociados a ellos, provistos por la
Dirección de Telemática. Así pues este apartado contiene una clasificación de estas
políticas, y son:

DEL EQUIPO
De la instalación de equipo de cómputo.

1. Todo el equipo de cómputo (computadoras, estaciones de trabajo,

supercomputadoras, y equipo accesorio), que esté o sea conectado a la Red
VBP ASOCODIS, o aquel que en forma autónoma se tenga y que sea propiedad
de la institución debe de sujetarse a las normas y procedimientos de instalación
que emite el departamento de Redes de la Dirección de Telemática.
2. La Dirección de Telemática en coordinación con el departamento de Control
Patrimonial deberá tener un registro de todos los equipos propiedad de
ASOCODIS.
3. El equipo de la institución que sea de propósito específico y tenga una misión
crítica asignada, requiere estar ubicado en un área que cumpla con los
requerimientos de: seguridad física, las condiciones ambientales, la alimentación
 eléctrica, su acceso que la Dirección de Telemática tiene establecido en su
normatividad de este tipo.

DEL MANTENIMIENTO DE EQUIPO DE CÓMPUTO.

1. Al departamento de Redes de la Dirección de Telemática, corresponde la
realización del mantenimiento preventivo y correctivo de los equipos, la
conservación de su instalación, la verificación de la seguridad física, y su
acondicionamiento específico a que tenga lugar. Para tal fin debe emitir las
normas y procedimientos respectivos.
2. En el caso de los equipos atendidos por terceros la Dirección de Telemática
deberá normar al respecto.
3. El personal técnico de apoyo interno de los departamentos académicos se
apegará a los requerimientos establecidos en las normas y procedimientos que el
departamento de Redes emita.
4. Los responsables de las áreas de Cómputo de un departamento pueden otorgar
mantenimiento preventivo y correctivo, a partir del momento en que sean
autorizados por el departamento de Redes.
5. Corresponde al departamento de Redes dar a conocer las listas de las personas,
que puedan tener acceso a los equipos y brindar los servicios de mantenimiento
básico, a excepción de los atendidos por terceros.

DE LA ACTUALIZACIÓN DEL EQUIPO.

1. Todo el equipo de cómputo (computadoras personales, estaciones de trabajo,
supercomputadora y demás relacionados), y los de telecomunicaciones que sean
propiedad del ASOCODIS debe procurarse sea actualizado tendiendo a
conservar e incrementar la calidad del servicio que presta, mediante la mejora
sustantiva de su desempeño.

DE LA REUBICACIÓN DEL EQUIPO DE CÓMPUTO.

1. La reubicación del equipo de cómputo se realizará satisfaciendo las normas y
procedimientos que el departamento de Redes emita para ello.
2. En caso de existir personal técnico de apoyo de los departamentos académicos,
éste notificará de los cambios tanto físicos como de software de red que realice al
departamento de Redes, y en su caso si cambiará de responsable (el equipo) al
departamento de Control Patrimonial de la Subdirección de Recursos Materiales y
Servicios. Notificando también los cambios de equipo inventariado (cambio de
monitores, de impresoras etc.).
3. El equipo de cómputo a reubicar sea de ASOCIDIS o bien externo se hará
únicamente bajo la autorización del responsable contando el lugar a donde se
hará la ubicación con los medios necesarios para la instalación del equipo.

POLÍTICAS DE UTILIZACIÓN DE LOS RECURSOS DE LA RED

1. Los recursos disponibles a través de la Red VBP ASOCODIS serán de uso

exclusivo para asuntos relacionados con las actividades sustantivas del centro.
2. La Dirección de Telemática es la responsable de emitir y dar seguimiento al
Reglamento para el uso de la Red.
3. La Dirección de Telemática debe propiciar el uso de las tecnologías de la
información con el fin de contribuir con las directrices económicas y ecológicas de
la institución.
4. Dado el carácter confidencial que involucra el correo electrónico el Comité de
informática del Centro emite su reglamentación.

POLÍTICAS DE SUPERVISIÓN Y EVALUACIÓN

1. Cada uno de los departamentos de la Dirección de Telemática donde esté en

riesgo la seguridad en la operación, servicio y funcionalidad del departamento,
deberá emitir las normas y los procedimientos que correspondan.
2. Para efectos de que la institución disponga de una red con alto grado de
confiabilidad, será necesario que se realice un monitoreo constante sobre todos y
cada uno de los servicios que las tecnologías de la Internet e Intranet disponen.
3. Los sistemas considerados críticos, deberán estar bajo monitoreo permanente.

POLÍTICAS DE CONTROL DE ACCESOS

Del acceso a áreas críticas.

1. El acceso de personal se llevará acabo de acuerdo a las normas y

procedimientos que dicta la Dirección de Telemática.
2. En concordancia con la política de la institución y debido a la naturaleza de estas
áreas se llevará un registro permanente del tráfico de personal, sin excepción.
3. La Dirección de Telemática deberá proveer de la infraestructura de seguridad
requerida con base en los requerimientos específicos de cada área.
4. Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el
acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las
autoridades superiores de la institución.

Del control de acceso al equipo de cómputo.

1. Todos y cada uno de los equipos son asignados a un responsable, por lo que es
de su competencia hacer buen uso de los mismos.
2. Las áreas de cómputo de los departamentos donde se encuentre equipo cuyo
propósito reúna características de imprescindible y de misión crítica, deberán
sujetarse también a las normas que establezca la Dirección de Telemática.
3. Los accesos a las áreas de críticas deberán de ser clasificados de acuerdo a las
normas que dicte la Dirección de Telemática de común acuerdo con su comité de
seguridad informática.
4. Dada la naturaleza insegura de los sistemas operativos y su conectividad en la
red, la Dirección de Telemática tiene la facultad de acceder a cualquier equipo de
cómputo que no estén bajo su supervisión.

Del control de acceso local a la red.

1. El departamento de Cómputo de la Dirección de Telemática es responsable de

proporcionar a los usuarios el acceso a los recursos informáticos.
2. La Dirección de Telemática es la responsable de difundir el reglamento para el
uso de la red y de procurar su cumplimiento.
3. Dado el carácter unipersonal del acceso a la Red VBP ASOCODIS, el
departamento de Cómputo verificará el uso responsable, de acuerdo al
Reglamento para el uso de la red.
4. El acceso lógico a equipo especializado de cómputo (servidores, enrutadores,
bases de datos, equipo de supercómputo, etc.) conectado a la red es
administrado por el departamento de Cómputo.
5. Todo el equipo de cómputo que esté o sea conectado a la Red VBP ASOCODIS,
o aquellas que en forma autónoma se tengan y que sean propiedad de la
institución, debe de sujetarse a los procedimientos de acceso que emite el
departamento de Cómputo.
De control de acceso remoto.

1. La Dirección de Telemática es la responsable de proporcionar el servicio de

acceso remoto y las normas de acceso a los recursos informáticos disponibles.
2. Para el caso especial de los recursos de supercómputo a terceros deberán ser
autorizados por la Dirección General o por la Dirección de Vinculación.
3. El usuario de estos servicios deberá sujetarse al Reglamento de uso de la Red
VBP ASOCODIS y en concordancia con los lineamientos generales de uso de
Internet.
4. El acceso remoto que realicen personas ajenas a la institución deberá cumplir las
normas que emite la Dirección de Telemática.
A continuación se muestra las gráficas obtenidas de la aplicación del software
utilizada para el monitoreo de tráfico en la red de la empresa ASOCODIS sede
Bogotá.

Grafica N° 1: Monitoreo tráfico de red horario laboral

Nombre: Monitoreo trafico de red
Autor: Análisis seguridad Asocodis
Fecha: Octubre 08 de 2011
Descripción: Presenta al administrador una pantalla detallada donde muestra las
MAC e IP´S con mas actividad dentro de la red, la tendencia y el tamaño de paquetes
enviados a través de esta y dentro de la jornada laboral.
Diseño:

Acciones: Aquí se observa el comportamiento de las Mac e IP de mayor trabajo el

envió de paquetes, área cartera(Sap,SDfac EHforms aplicativos de capturas de datos)
Grafica N° 2: Monitoreo tráfico de red horario laboral
Nombre: Monitoreo trafico de red
Autor: Entrevista por competencias
Fecha: Octubre 08 de 2011
Descripción: Aplicación transporte de red y tarjeta física
Diseño:

Acciones: aquí muestra información de dns pop3 exchange entre otros mostrándonos
un flujo normal dentro de la jornada laboral.
Grafica N° 3: Monitoreo tráfico de red horario laboral

Nombre: Monitoreo trafico de red

Autor: Análisis seguridad Asocodis
Fecha: Octubre 08 de 2011
Descripción: Presenta al administrador una pantalla detallada con la utilización actual
de la red.
Diseño:

Acciones: Verificar que la utilización de la red permanezca dentro del rango útil de
aprovechamiento y no se salga de los recursos específicos para esta. Como resultado
determinamos que está dentro del rango se analiza mañana mediodía y tarde
Grafica N° 4: Monitoreo tráfico de red horario laboral

Nombre: Monitoreo trafico de red

Autor: Análisis seguridad Asocodis
Fecha: Octubre 08 de 2011
Descripción: Presenta al administrador una pantalla del tamaño y distribución de los
paquetes enviados y recibidos por las diferentes IP´S y MAC.
Diseño:

Acciones: Determinar que maquinas están sobre utilizando la red y saturando el

trafico. Mostrando un alto movimiento de información se analiza mañana mediodía y
tarde.
Grafica N° 5: Monitoreo tráfico de red horario laboral

Nombre: Monitoreo trafico de red

Autor: Entrevista por competencias
Fecha: Octubre 08 de 2011
Descripción: Presenta al administrador una pantalla detallada sobre múltiples
emisiones contra el total de lo permitido por la red.
Diseño: múltiples emisiones contra el total de la lo permitido por la red

Acciones: Determinar que maquinas están utilizando y saturando el trafico.

Mostrando los diferentes picos de información se analiza mañana, mediodía y tarde.
Grafica N° 6: Monitoreo tráfico de red horario laboral
Nombre: Monitoreo trafico de red
Autor: Entrevista por competencias
Fecha: Octubre 08 de 2011
Descripción: Presenta al usuario un formulario donde describe todo lo que se está
utilizando.

Diseño:

Acciones: determina que los password, los usuarios, los grupos que estén bien
enrutados y mostrando un buen comportamiento en la red.
Grafica N° 7: Monitoreo tráfico de red horario laboral
Nombre: Monitoreo trafico de red
Autor: Entrevista por competencias
Fecha: Octubre 08 de 2011
Descripción: Presenta al usuario un formulario donde describe todo lo que se está
utilizando.

Diseño:

Acciones: aquí se observa los usuarios que están colgados a determinada sesión
Grafica N° 8: Monitoreo tráfico de red horario laboral
Nombre: Monitoreo trafico de red
Autor: Entrevista por competencias
Fecha: Octubre 08 de 2011
Descripción: Presenta al usuario un formulario donde describe todo lo que se está
utilizando.

Diseño:

Acciones: muestra los usuarios logueados y autenticados a la red de manera correcta.

Grafica N° 9: Monitoreo tráfico de red horario laboral
Nombre: Monitoreo trafico de red
Autor: Entrevista por competencias
Fecha: Octubre 08 de 2011
Descripción: Presenta al usuario un formulario donde describe todo lo que se está
utilizando.

Diseño:

Acciones: indica a que dns esta inscrito a qué grupo, la mac del pc y si tiene habilitado
el escritorio remoto.
Grafica N° 10: Monitoreo tráfico de red horario laboral
Nombre: Monitoreo trafico de red
Autor: Entrevista por competencias
Fecha: Octubre 08 de 2011
Descripción: Presenta al usuario un formulario donde describe todo lo que se esta
utilizando.

Diseño:

Acciones: nos describe los grupos y los usuarios que son de lectura administradores
duplicadores etc.
 2.1.4. ACTUAR

Durante el trabajo de investigación se ha trabajado apuntándole a la aplicación de

las políticas definidas anteriormente.

Mediante herramientas como:

• Entrevistas,
• Estudios estadísticos
• Análisis de vulnerabilidad
• Simulación
• Ejercicio empresarial

Y se evidencia la acción eficaz por medio de la divulgación de políticas de

seguridad que se crearon en este proyecto.

Se hace la entrega oficial del análisis de seguridad a la empresa ASOCODIS

donde se halla lo siguiente:

• No hay una división de funciones y acceso a recursos compartidos de

datos.

• No se tiene un control de seguridad física por ende se procede a realizar

una serie de políticas de seguridad física con el fin de mitigar el riesgo de
usuarios inescrupulosos.

• Todos los funcionarios ingresan a la sesión como administrador.

• No existe ninguna restricción de horarios para los usuarios.

• Por lo anterior se hizo las pertinentes políticas de seguridad para su

aplicación y cumplimiento de acuerdo al nivel de información manejada en
la compañía.
También con la aplicación de las actividades recomendadas anteriormente se
controlaran con acciones correctivas y/o preventivas cuando no se cumplan los
objetivos o compromisos.

De la misma manera estas recomendaciones servirán para las auditorias hechas

por parte del cliente con el fin de no tener no conformidades.

Evaluar el resultado de la oferta presentada para dar acciones de mejoramiento y

mantenimientos predictivos enfocados a la confiabilidad y responsabilidad
empresarial.

Abriremos las puertas a nuevos mercados retroalimentándonos de visitas a los

clientes de tal manera que aporten a solucionar quejas y/o reclamos de estos
mismos.
 3. RESULTADOS

Debido a la metodología PHVA podemos identificar los resultados preponderantes

focalizados en los siguientes puntos

• Políticas de seguridad descritos en el paso de Verificar.

• Buenas prácticas descritas en Verificar.
• Análisis y resultados descritos en el paso Actuar.

Como ejercicio empresarial que resultados obtenidos son:

Para iniciar con la creación de la empresa es necesario tener un equipo donde

haya un líder con poder de influencia para que haya un la empresa funcione.

El líder del proyecto debe seleccionar cuidadosamente el modo apropiado para la

resolución de conflictos.

Para iniciar un proyecto o una empresa se debe tener la Visión comercial y estudio
de macroentorno de la compañía con la elaboración del Plan comercial a mínimo
3 años con el fin de evidenciar y mantener el ciclo de de la empresa cíclico en el
mercado.

La construcción de formatos, documentos y procedimientos pertinentes para la

organización de procesos y recursos de la empresa hacen que se visualicen los
objetivos más transparentes y que todos estemos alineados.

Identificar y definir previamente los roles y responsabilidades ayuda a tener

custodios aptos y competitivos que aporten al objetivo empresarial.

La motivación hace que fuerzas internas dentro de una persona causen que
voluntariamente realice un esfuerzo extra en una manera directa y específica con
el fin de alcanzar y mejorar un objetivo.

La constituir empresa es viable siempre y cuando se haya hecho un estudio

previo, sin tener miedo al fracaso y sin tener el paradigma de que las empresas se
hacen únicamente con grandes capitales.
 4. CONCLUSIONES

El diplomado me aporto la confianza para continuar con un proyecto de vida e

iniciar mi propio negocio, me ayudo a confiar en mis capacidades no solo como
ingeniero sino como persona de negocios, de visiones y sobretodo un ser con alta
capacidad de crecimiento y formación.

La asesoría de los ingenieros Eduard Criollo y Dalmiro Bermúdez me aporto en mi

formación de liderazgo, en el análisis de las oportunidades que brinda el mercado
informático en el país y en los diferentes modos de crecimiento empresarias como
manejo de conflictos, reflexión empresarial, equipos de trabajo, selección de
entorno estratégico y análisis prospectivo, comunicación, influencia de la
organización entre otras.

El diplomado nos permitió desarrollar un nuestras habilidades a nivel gerencial por

medio de la creación de un proyecto, ya que no fue solo el análisis de una
empresa sino la oportunidad de tener experiencias de vida, juntar oportunidades
de ideas y entrar a competir con inteligencia y conocimiento.

También nos apoyo y brindo confianza en la capacidad y oportunidad de negocio

que se nos presento con la empresa ASOCODIS S.A.

Concluimos que la seguridad de los datos en una compañía es indispensable para

la sostenibilidad en el mercado, ya que la competencia se puede aprovechar de
cualquier error para hacernos daño y muchas veces para arruinarnos
completamente.

El proyecto es un esquema que nos brinda la oportunidad de crecer como

profesionales, de aprender del negocio y sobretodo de aportar al país por medio
de crecimiento, innovación y empleo.

Identificar y definir previamente los roles y responsabilidades ayuda a tener

custodios aptos y competitivos que aporten al objetivo empresarial.

La motivación hace que fuerzas internas dentro de una persona causen que
voluntariamente realice un esfuerzo extra en una manera directa y específica con
el fin de alcanzar y mejorar un objetivo.

Un buen liderazgo forma altos niveles de confianza y responsabilidad.

 5. GLOSARIO

Dato: Unidad básica de información. Individualmente carece de utilidad o sentido,

pero que luego adquiere al ser interpretado por el hombre.7

Documentos Interactivos: Son documentos en los que la interacción se refiere a

la consulta de los hipertextos y a un sistema de navegación que facilita el acceso a
los contenidos.

Perfil de usuario: Es un rango o nivel en el que esta una persona para establecer
permisos de uso de un sistema.

7
WIKIPEDIA. Enciclopedia Virtual. Bogotá. 2009. Disponible en http://www.informatica-
pc.net/glosario/glosario_d.html (2009)
 6. BIBLIOGRAFÍA

CAMPION, M.A., PALMER, D.K. y CAMPION, J.E. (1997): A review of structure in

the selection interview. Personnel Psychology, 50, 655-702.

HARRIS, M.M. (1989): Reconsidering the employment interview. A review of

recent literature and suggestion for future research. Personnel Psychology, 42,
691-726.

LEVY-LEBOYER, C. (1990): Selection and assessment in Europe. En H.C.

Triandis, M.D. DUNNETTE y L.M. Hough Handbook of Industrial and
Organizational Psychology. Palo Alto CA: Consulting Psychologists Press.

ROBERSTON: International Review of Industrial and Organizational Psychology.

CHICHESTER: John Wiley