Desarrollo de un sistema de auditoría de equipos de seguridad de redes

Pomachagua Sotomayor, Jorge Luis

12 May 2021

La presente tesis propone desarrollar un sistema auditor de información que brinde visibilidad a solicitud del usuario del estado actual de los equipos de seguridad. Esto abarca poder validar la configuración del directorio activo, así como sus equipos registrados, usuarios y/o grupos; de igual forma con el firewall de seguridad en el cual se hará una revisión de la configuración del equipo y de las políticas de seguridad habilitadas. Mantener un adecuado control de las múltiples configuraciones que se realizan a diario sobres los equipos de seguridad puede llegar a ser una tarea muy complicada, teniendo en cuenta que muchas veces diferentes administradores son los que realizan cambios sobre las plataformas desde su activación inicial. Es por ello que cada cierto tiempo las empresas solicitan auditorías externas las cuales reportan el estado actual de la configuración de los equipos de seguridad y el nivel de cumplimiento de las políticas vigentes. Con el avance de la tecnología se han automatizado muchas tareas y el uso de una computadora es imprescindible dentro de una empresa, ello conlleva a considerar obligatoriamente la seguridad aplicada a la información que viaja a través de las redes internas como factor clave. Hoy en día es común que constantemente surjan nuevas vulnerabilidades en los sistemas y/o equipos de red, por ello contar con una herramienta que ofrezca visibilidad de lo que realmente se encuentra configurado en los equipos de seguridad se vuelve una necesidad. Esta tesis se centra en dar a conocer las posibles brechas de seguridad dentro de la infraestructura de red de una empresa, las cuales pueden generar un alto costo en caso de ser vulneradas por un atacante externo o interno. Ello resalta la importancia de un correcto planeamiento y control al momento de realizar configuraciones en los equipos de seguridad. Un ejemplo de brecha de seguridad en las diferentes empresas ocurre cuando un administrador configura una política de prueba brindando acceso al puerto TCP/80 y se olvida de eliminar dicha política, ello puede conllevar a que algún ataque de tipo Ransomware infecte una máquina y este a su vez se propague a toda la red interna, generando un bloqueo masivo y ocasionando un corte parcial o total de las operaciones. El sistema auditor se conecta al directorio activo y al firewall, vía LDAP y API respectivamente, por medio de una sola interfaz de usuario y mediante diferentes consultas es capaz de extraer información relevante (“actionable insights”), la cual se utiliza para tomar acción rápida ante cualquier evento de seguridad.

Seguridad informática

Interfaces de usuarios (Computación)

Implementación de un modelo simplificado de firma digital basado en la tecnología PKI y la invocación por protocolos caso de estudio: Municipalidad de Miraflores

Aguilar Alcarráz, Gino Brehan

January 2016

Implementa un modelo simplificado de firma digital que se soporta en las tecnologías de la PKI y la invocación por protocolos. Con la adaptación de estas tecnologías, se podrá realizar la firma digital haciendo uso de aplicaciones web con total independencia del navegador, sistemas operativos, ActiveX o cualquier tecnología JAVA (applets, máquinas virtuales de JAVA), evitando así las configuraciones complicadas y dependencias de terceros.

Firmas digitales

Encriptación de datos (Computación)

Criptografía

Computadoras - Control de acceso

Seguridad informática

Diseño de arquitectura de seguridad perimetral para una empresa dedicada a la actividad inmobiliaria

Montes Larios, Jose Manuel, Iturrizaga Hernández, Manuel Antonio

January 2015

Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. A su vez día a día se descubren nuevas vulnerabilidades, nuevos tipos de ataques y nuevos parches que aplicar los sistemas institucionales, convirtiendo la operación de la seguridad en una tarea sumamente compleja y demandante. El presente documento es sobre el desarrollo de la seguridad perimetral en la empresa Los Portales, vale indicar que dicha empresa es una de las más renombradas a nivel de la actividad inmobiliaria en el Perú, por ende se está considerando las amenazas de seguridad desde perspectivas diferentes para permitir de esta forma conocer algunos riesgos que puedan afectar a la institución, así como determinar el nivel de madurez de la seguridad informática, a su vez se demostrara a detalle el diseño e implementación de la solución así como el alcance económico. Because Internet use is increasing, more and more companies allow their partners and suppliers access to their information systems. Therefore, it is essential to know what company resources need protection so as to control system access and the rights of users of the information system. In turn every day new vulnerabilities, new types of attacks and new patches to apply institutional systems, making the security operation in an extremely complex and demanding task are discovered. This thesis is on the development of perimeter security at Los Portales, it indicate that the company is one of the most renowned level of real estate activity in Peru, thus being considered security threats from different perspectives to meet thus enable some risks that may affect the institution, and to determine the maturity level of computer security, in turn demonstrate in detail the design and implementation of the solution as well as the economic scope.

Seguridad Perimetral

Amenazas de seguridad

Seguridad informática

Firewall

Ataques

Vulnerabilidades

Perimeter security

Security threats

Security

Firewall

Attacks

Vulnerability

Sistema inteligente basado en Machine Learning para la detección de fraude de facturación de agua potable

Carrillo Rosales, Anthony Joffre

January 2019

Manifiesta que en la actualidad no existe una herramienta o un sistema el cual compruebe con gran exactitud (al menos de un 97 %) la detección de usuarios que cometen fraude en la facturación del consumo de agua potable, ya sea por conexiones ilícitas o adulteración de sus medidores de agua. Sin embargo, en el trabajo de investigación titulado Sistema Inteligente para detectar fraude en el servicio de Agua Potable de una Empresa Sanitaria (Palomino y Rivera, 2016) se obtuvo una tasa de 95.7 % de exactitud en la detección de fraude en Gasa, Palestina. Cabe resaltar que la cantidad de pérdida económica es sumamente considerable, así que la creación de una herramienta o sistema para detectar a estos usuarios fraudulentos es de bastante importancia para las empresas generadoras de agua potable. En el presente trabajo de investigación se propone desarrollar un Sistema Inteligente basado en un modelo híbrido de técnicas de minería de datos que pretende mejorar la tasa de exactitud en detección de un cliente en fraude de facturación de agua potable. Para el entrenamiento y la validación del modelo híbrido se pretende usar un dataset histórico del consumo de agua de los clientes de una empresa sanitaria en Palestina, así se obtendrá una tasa de 97.71 % de exactitud de detección de fraude. / Tesis

Fraude - Perú

Seguridad informática

Agua potable - Perú

Medidores de agua

Hardware y Arquitectura de Computadores

Ingeniería de Sistemas y Comunicaciones

Modelo de seguridad de la información para contribuir en la gestión de las unidades ambientales de la región Lambayeque

García Samamé, Silvia Cristina

January 2018

La presente investigación se enfoca en la necesidad de enlazar la seguridad de la información con la gestión de las unidades ambientales de la región Lambayeque, el análisis de la situación actual aplicado a tres unidades ambientales demostró que carecen de mecanismos para fortalecer su nivel estructural y la seguridad de su información, trayendo consigo pérdidas económicas, insatisfacción de los usuarios y un deterioro de la imagen institucional. Se planteó como objetivo general contribuir en la seguridad de la información de la gestión de las unidades ambientales de la región Lambayeque, proponiendo la elaboración de un modelo de seguridad de la información basado en estándares, metodologías y marcos de trabajo adaptados a la gestión de las unidades ambientales. El modelo se validó por juicio de expertos midiendo su confiabilidad aplicando el alfa de Cronbach y la concordancia de su contenido en base a Kendall. Finalmente, el modelo validado se aplicó a un caso de estudio para una unidad ambiental de la región Lambayeque, identificando 21 riesgos que fueron alineados con 23 controles propuestos, monitoreando 23 controles para medir su nivel de cumplimiento, quedando demostrado que la seguridad de la información logra contribuir a la gestión de las unidades ambientales

Seguridad informática

Sistemas de seguridad

Gestión del medio ambiente

Lambayeque (Perú : Departamento)

Plan de seguridad de la información aplicado a la central hidroeléctrica Carhuaquero

Celis Figueroa, Leonardo Andre

January 2018

La presente investigación surge como alternativa de solución frente al problema de seguridad de la información que tiene la Unidad de Producción Hidráulica de la referida organización. El Plan de Seguridad compromete la organización de los procesos de la citada Unidad, puesto que la correcta gestión de seguridad de la información puede marcar la diferencia entre la eficacia y la inoperancia. En cuanto a la metodología utilizada debemos señalar que después de una sutil comparación con las ya existentes en este campo, se optó por aquella denominada MAGERIT; la misma que permitió el análisis y gestión de riesgos. También, se utilizó la herramienta EAR-PILAR que ayudó en la toma de las mejores decisiones frente al problema de seguridad de la información. Finalmente, después de haber recogido información fidedigna producto de una exhaustiva investigación, se concluyó que el Sistema de Gestión de Seguridad de la Información (SGSI) es un soporte importante que ayuda a organizar los procesos, controles y salvaguardas de la Unidad de Producción Hidráulica de la Central Hidroeléctrica Carhuaquero; y al mismo tiempo hace posible mantener la información bajo medidas de seguridad, garantizando su integridad, confidencialidad y autenticidad.

Sistemas de seguridad

Seguridad informática

Tecnología de la información

Centrales hidroeléctricas

Cajamarca (Perú : Departamento)

Implementación de un plan de control de seguridad de la información mediante la norma ISO/IEC 27002:2013 en un centro de datos: caso de estudio: Consult Export S.A.

Beltrán Navarro, Roberto Alex

January 2015

Publicación a texto completo no autorizada por el autor / Implementa un plan de control interno de seguridad de la información mediante la norma ISO/IEC 27002:2013 en el centro de datos. Esto permitirá a la empresa protegerse de un amplio rango de amenazas, para asegurar la continuidad de los sistemas y los servicios que brinda, minimizar los daños a los activos que aloja en su interior y resguardar la información a través de estrategias y un conjunto adecuado de controles. Entre los resultados esperados está concientizar sobre los peligros a la que está expuesto los activos de información así como informar la existencia de 7 normas y estándares de uso internacional que pueden ser tomados como referencia para implementar, mejorar y mantener las políticas de la seguridad de la información en el centro de datos. A través de una correcta gestión del riesgo se podrá priorizar la atención a los activos que estén más expuestos. / Trabajo de suficiencia profesional

Seguridad informática - Normas

Protección de datos

Ingeniería de Sistemas y Comunicaciones

Automatización y Sistemas de Control

Implementación de sistemas de gestión de seguridad de la información (SGSI), de servicios de TI (ITSM) y firma electrónica

Cabello Roca, Percy Ernesto

13 October 2022

El presente informe describe la experiencia adquirida a través de la ejecución de tres proyectos de informática desarrollados por la Unidad de Tecnología de Información del Centro Internacional de la Papa, una organización dedicada al uso, mejoramiento y conservación de la papa, camote y otros tubérculos andinos para contribuir a los Objetivos de Desarrollo Sostenible (SDG) de las Naciones Unidas, específicamente: reducción de la pobreza rural, incremento de la seguridad alimentaria y mejoramiento de ecosistemas y recursos naturales. El primer proyecto, Implementación de un sistema de gestión de seguridad de la información (SGSI), resulta clave dados los procesos de transformación digital y fusión con otros 11 centros de investigación internacionales, que atraviesa el CIP. El poder contar con un marco para responder de manera sistemática a riesgos crecientes en ciberseguridad se agudizó ante el súbito cambio a un modelo de trabajo remoto a raíz de la pandemia del covid-19. La resolución de las recomendaciones de auditoría, a partir de la aprobación de la política de seguridad de la información, desarrollada en lineamientos por dominio y el establecimiento de una línea base de entendimiento de responsabilidades entre los empleados de CIP, clave para el éxito de esta iniciativa, son algunos de los resultados más relevantes. La Implementación de una solución de firma electrónica, segundo proyecto descrito, igualmente obedece a necesidades de optimizar los procesos de aprobación de la organización junto a la de contar con métodos no repudiables para estas. Estas necesidades y el valor de la solución fueron intensificados por la masificación de modalidades remotas de trabajo a raíz del covid-19. Los líderes de área se han apropiado de esta tecnología e identifican con mayor agilidad las transacciones donde la solución aporta más significativamente y continúa el despliegue global, dentro del marco de la política institucional establecida para su uso y limitaciones. Finalmente, la Implementación de un nuevo sistema de gestión de servicios de tecnologías de información (ISMS en inglés), tercer proyecto presentado, fue una evolución necesaria para apoyar la maduración de procesos clave dentro del marco de ITIL (2011, hoy en transición a la versión 4), principalmente, gestión de cambios, gestión de pedidos de servicio y de activos. Las actividades de dirección seleccionadas de la Unidad de Tecnología de Información a mi cargo, ejecutadas entre los años 2019 y 2020, complementan, ahora desde la perspectiva de procesos y mejora interna, el doble rol de TI: excelencia operativa e innovación tecnológica. El año 2020 en particular requirió debido en parte a aspectos presupuestales, al reducirse la capacidad de implementación de proyectos de la institución, y el cambio de modalidad de trabajo a remoto, a ejecutar ambos aspectos con igual eficacia. En conclusión, la función informática surge en las necesidades del negocio y resulta en las soluciones que las atienden. Las necesidades expresadas progresivamente como objetivos estratégicos, iniciativas y proyectos van al mismo tiempo delineando el plan estratégico de TI. Este alineamiento debe ser mantenido a través de un trabajo cercano con la dirección de la organización para responder a la velocidad que demanden los cambios internos y externos.

Firma digital--Proyectos

Seguridad informática--Proyectos

Elaboración de métricas para la evaluación de usabilidad y seguridad de las interfaces de los ATM

Falconi Trauco, Fiorella

18 June 2020

En el Perú el 41% de la población mayor de 18 años se encuentra bancarizada y el 76% de ellos utilizan los ATM. Pero en algunos casos, la interacción entre los usuarios y los ATM puede ser frustrante y presentar inconvenientes. Se han planteado lineamientos y heurísticas específicas para ATM, pero en la actualidad, la industria no utiliza herramientas para medir de manera objetiva aspectos de usabilidad y seguridad en las interfaces de ATM. En ese sentido, el presente trabajo parte de la búsqueda en la literatura de los lineamientos de usabilidad y seguridad de interfaces para ATM y posteriormente la búsqueda de métricas para softwares bancarios para combinarlas con las métricas de usabilidad y seguridad de la ISO25000 y elaborar una propuesta de métricas específicas para la evaluación de interfaces de ATM. Esta propuesta de métricas se enriqueció considerando la información obtenida en entrevistas y encuestas a expertos en diseño y del dominio, obteniendo como resultado final 23 métricas de usabilidad y 12 métricas de seguridad de interfaces. Luego de adaptar las métricas a un formato apto para facilitar el llenado de datos por parte de un evaluador, la propuesta de métricas fue validada mediante 20 test de usuarios en un laboratorio de ATM, evaluando el flujo de retiro en ATM de los 4 principales bancos del Perú; llegando a la conclusión que las 35 métricas satisfacen las necesidades expresadas por las personas que trabajan relacionados al diseño y desarrollo de interfaces de ATM. / Tesis

Interfaces de computadoras--Seguridad

Seguridad informática

Interfaces de computadoras--Usabilidad

Conflictos entre la gobernabilidad y la soberanía en organizaciones multilaterales : estudio de la implementación de políticas de seguridad informática entre los años 2004 - 2016 en la Unión Europea

Escalante Terán, Oscar Miguel

03 May 2018

El presente trabajo estudia y analiza las causas de la inexistencia de políticas públicas comunitarias en la Unión Europea que garanticen de manera eficaz la seguridad y gobernabilidad informática tanto de los países miembros como de la organización comunitaria en sí. Los espacios cibernéticos e informáticos y sus aplicaciones en nuestra vida diaria van en continuo progreso y aumento, cada vez más espacios de nuestra vida cotidiana y, por ende, ciudadana se ven penetrados por el desarrollo tecnológico, cibernético e informático. Esto también supone la participación del Estado como usuario y regulador en su contexto nacional como en el espacio internacional. El fenómeno tecnológico y su impacto en la política viene siendo analizado en espacios académicos focalizados y la bibliografía especializada en la materia, escaza aún, por ejemplo, ya analiza el uso de herramientas de inteligencia artificial para la definición de la política exterior de los Estados a la par de que actualmente se vienen creando unidades especializadas en las fuerzas armadas de diferentes países ya que se considera al ciberespacio como un área de desarrollo militar como ya lo son el aire, mar y tierra. En ese contexto, en el que se vienen trasladando temas propios del denominado “high politics” al ciberespacio y sus implicancias, ¿por qué la Unión Europea no ha podido diseñar e implementar políticas públicas comunitarias y eficaces que garanticen la seguridad y gobernabilidad informática? La presente tesis hace un breve recuento del estado de la cuestión en la materia, así como una revisión cualitativa de los planes y regulaciones comunitarias existentes, así como del estado de avance y desarrollo de la materia en los países hegemónicos y relevantes en el proceso de toma de decisiones en la Unión Europea (Alemania, Francia y Reino Unido). Los resultados principales obtenidos en la presente investigación, a la luz de la tradición realista de las relaciones internacionales, muestran que la interacción de los intereses nacionales de los países impide un desarrollo comunitario en la materia y, paradójicamente, los expone a mayores vulnerabilidades. Estos intereses se basan en las diferentes concepciones de seguridad que tengan los países como en variables identitarias que tienen un rol trascendente en la determinación de políticas e intereses nacionales y en el cómo se armonizan o no con las políticas e intereses comunitarios. / Tesis

Unión Europea