universidad de guayaquil - ugrepositorio.ug.edu.ec/bitstream/redug/11717/1/ptg-b... · para la...
TRANSCRIPT
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
ESTUDIO DE FACTIBILIDAD PARA LA PROPUESTA “FRAMEWORK DE TRABAJO PARA PROYECTOSDE
TITULACIÓN APLICANDO LA METODOLOGÍA SCRUM EN LA INGENIERÍA DESOFTWARE”
ENFOCADO A INFRAESTUCTURA
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN SISTEMAS COMPUTACIONALES
AUTOR: MARCOS LEONEL LESCANO DELGADO
TUTOR: LSI. OSCAR APOLINARIO
GUAYAQUIL – ECUADOR 2015
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS
TÍTULO “ESTUDIO DE FACTIBILIDAD PARA LA PROPUESTA “FRAMEWORK
DE TRABAJO PARA PROYECTOS DE TITULACIÓN APLICANDO LA
METODOLOGÍA SCRUM EN LA INGENIERÍA DE SOFTWARE” ENFOCADO
A INFRAESTRUCTURA” AUTOR: Marcos Leonel Lescano Delgado
REVISORES: Ing. Gary Reyes Ab. Berardo Rodríguez
INSTITUCIÓN: Universidad De Guayaquil
FACULTAD: Ciencias Matemáticas Y Físicas
CARRERA: Ingeniería En Sistemas Computacionales
FECHA DE PUBLICACIÓN: Noviembre 2015
N° DE PÁGS.: 87
ÁREA TEMÁTICA: Metodologías, calidad y gestión de proyectos de software
PALABRAS CLAVES: Metodología Scrum en la ingeniería de software
RESUMEN: El objetivo de este proyecto es proveer un esquema de seguridad informática para los ambientes de desarrollo y producción en el sistema desarrollado por el grupo de estudiantes que aplican la metodología Scrum. Para demostrar la eficacia de la misma, por esta razón también aplicaremos la misma metodología Scrum. Se dará una ayuda a cada grupo de Estudiantes para que tengan la mayor facilidad en terminar los objetivos o bien llamados Sprint en lo que respecta a seguridad Informática. N° DE REGISTRO(en base de datos): N° DE CLASIFICACIÓN:
Nº
DIRECCIÓN URL (tesis en la web):
ADJUNTO PDF X SI
NO
CONTACTO CON AUTOR:
MARCOS LEONEL LESCANO DELGADO
Teléfono: 0968413435
E-mail: [email protected]
CONTACTO DE LA INSTITUCIÓN Nombre:
Teléfono:
II
APROBACION DEL TUTOR
En mi calidad de Tutor del trabajo de titulación, “ESTUDIO DE FACTIBILIDAD
PARA LA PROPUESTA “FRAMEWORK DE TRABAJO PARA PROYECTOS DE
TITULACIÓN APLICANDO LA METODOLOGÍA SCRUM EN LA INGENIERÍA DE
SOFTWARE” ENFOCADO A INFRAESTRUCTURA” elaborado por el Sr.
MARCOS LEONEL LESCANO DELGADO, egresado de la Carrera de Ingeniería
en Sistemas Computacionales, Facultad de Ciencias Matemáticas y Físicas de la
Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en
Sistemas, me permito declarar que luego de haber orientado, estudiado y
revisado, la Apruebo en todas sus partes.
Atentamente
LSI. Oscar Apolinario Arzube
TUTOR
III
DEDICATORIA
Esta tesis dedico a mis abuelos
quienes me han apoyado en todo
momento para poder llegar a esta
etapa de mis estudios.
También la dedico a mis tías
quienes han sido mi mayor
motivación para culminar esta
etapa de estudios, por todo el
esfuerzo que han depositado en
mí.
IV
AGRADECIMIENTO
El agradecimiento de mi tesis es
principal es a Dios quien me ha
guiado y me ha dado la fortaleza
de seguir adelante.
A mi madre América Murillo, por
brindarme todo su apoyo de forma
incondicional y darme palabras de
aliento para alcanzar mis metas
por estar en cada parte de mi
crecimiento como un profesional.
V
TRIBUNAL PROYECTO DE TITULACIÓN
Ing. Eduardo Santos Baquerizo, M.Sc. DECANO DE LA FACULTAD CIENCIAS MATEMÁTICAS Y
FÍSICAS
Ing. Inelda Martillo Alcívar, Mgs DIRECTORA
CISC
LSI. Oscar Apolinario Arzube, Msc DIRECTOR DEL PROYECTO DE
TITULACIÓN
Ing. Gary Reyes Z, Msc PROFESOR DEL ÁREA -
TRIBUNAL
Ab. Berardo Rodríguez Ab. Juan Chávez A. PROFESOR DEL ÁREA TRIBUNAL SECRETARIO
VI
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de
este Proyecto de Titulación, me
corresponden exclusivamente; y el
patrimonio intelectual de la misma a la
UNIVERSIDAD DE GUAYAQUIL”
_________________________________ MARCOS LEONEL LESCANO DELGADO
VII
.
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
ESTUDIO DE FACTIBILIDAD PARA LA PROPUESTA “FRAMEWORK DE TRABAJO PARA PROYECTOSDE
TITULACIÓN APLICANDO LA METODOLOGÍA SCRUM EN LA INGENIERÍA DESOFTWARE”
ENFOCADO A INFRAESTUCTURA
Proyecto de Titulación que se presenta como requisito para optar por el
título de INGENIERO EN SISTEMAS COMPUTACIONALES.
Autor: Marcos Leonel Lescano Delgado
C.I.0923036057
Tutor: LSI. Oscar Apolinario
Guayaquil, Noviembre de 2015
VIII
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por el/la estudiante Marcos
Leonel Lescano Delgado, como requisito previo para optar por el título de
Ingeniero en Sistemas Computacionales. Cuyo problema es:
ESTUDIO DE FACTIBILIDAD PARA LA PROPUESTA “FRAMEWORK DE
TRABAJO PARA PROYECTOS DE TITULACIÓN APLICANDO LA
METODOLOGÍA SCRUM EN LA INGENIERÍA DE SOFTWARE” ENFOCADO A
INFRAESTRUCTURA.
Considero aprobado el trabajo en su totalidad.
Presentado por:
_________________________ Marcos Leonel Lescano Delgado Cédula de ciudadanía N° 0923036057
Tutor: ____________________________ LSI. OSCAR APOLINARIO
Guayaquil, Noviembre de 2015
IX
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS
COMPUTACIONALES
Autorización para Publicación de Proyecto de Titulación en Formato Digital
1. Identificación del Proyecto de Titulación
Nombre Alumno: Marcos Leonel Lescano Delgado
Dirección: Samanes 7
Teléfono:0968413435 E-mail: [email protected]
Facultad: Ciencias Matemáticas y Físicas
Carrera: Carrera de Ingeniería en Sistemas Computacionales
Proyecto de titulación al que opta: Ingeniero en Sistemas Computacionales Profesor tutor: LSI. OSCAR APOLINARIO ARZUBE
Título del Proyecto de titulación: ESTUDIO DE FACTIBILIDAD PARA LA PROPUESTA “FRAMEWORK DE TRABAJO PARA PROYECTOS DE TITULACIÓN APLICANDO LA METODOLOGÍA SCRUM EN LA INGENIERÍA DE SOFTWARE” ENFOCADO A INFRAESTRUCTURA
Tema del Proyecto de Titulación: Estudio de factibilidad y metodología Scrum
2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este Proyecto de titulación. Publicación electrónica:
Inmediata X Después de 1 año
Firma Alumno:
3. Forma de envío: El texto del proyecto de titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.
DVDROM CDROM
X
ÍNDICE GENERAL
APROBACION DEL TUTOR ......................................................................... II
DEDICATORIA ............................................................................................... III
AGRADECIMIENTO ...................................................................................... IV
TRIBUNAL PROYECTO DE TITULACIÓN ................................................. V
DECLARACIÓN EXPRESA ......................................................................... VI
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ................................... VIII
ÍNDICE GENERAL........................................................................................... X
ABREVIATURAS .......................................................................................... XII
SIMBOLOGÍA ............................................................................................... XIII
ÍNDICE DE CUADROS .............................................................................. XIV
ÍNDICE DE GRÁFICOS ............................................................................. XIV
Resumen ........................................................................................................ XV
Abstract........................................................................................................ XVI
INTRODUCCIÓN .............................................................................................. 1
CAPÍTULO I ...................................................................................................... 3
EL PROBLEMA ................................................................................................ 3 Planteamiento Del Problema ............................................................................... 3
Situación Conflicto Nudos Críticos .................................................................... 4
Causas y Consecuencias del Problema ............................................................... 5
Delimitación del Problema .................................................................................. 6
Formulación del Problema .................................................................................. 6
Evaluación del Problema..................................................................................... 6
Objetivo General ................................................................................................. 7
Alcances Del Problema ....................................................................................... 8
Justificación E Importancia ................................................................................ 9
Metodología Del Proyecto ................................................................................ 10
CAPÍTULO II ................................................................................................... 12
MARCO TEÓRICO ........................................................................................ 12
Antecedentes Del Estudio ................................................................................. 12
Fundamentación Teórica ................................................................................... 12
Seguridad Informática. ...................................................................................... 12
Clasificación ...................................................................................................... 13
Confidencialidad ............................................................................................... 13
Autenticación .................................................................................................... 13
Integridad .......................................................................................................... 13
Control de Acceso ............................................................................................. 14
Disponibilidad ................................................................................................... 14
Seguridad Física ................................................................................................ 14
Seguridad Lógica .............................................................................................. 15
Seguridad Perimetral ......................................................................................... 15
Políticas De Seguridad ...................................................................................... 17 Firewall ............................................................................................................. 18
Componentes de un cortafuego ......................................................................... 20
El filtrado de paquetes ....................................................................................... 20
Proxy ................................................................................................................. 21
XI
El proxy de aplicación ....................................................................................... 21
Zonas Desmilitarizadas (DMZ)......................................................................... 23
Scrum ................................................................................................................ 24
Visión general del proceso ................................................................................ 26
Fundamentación Legal ...................................................................................... 28
Pregunta Científica A Contestarse .................................................................... 35
Definiciones Conceptuales ................................................................................ 36
Infraestructura ................................................................................................... 36
Servidor Proxy .................................................................................................. 36
CAPÍTULO III .................................................................................................. 38
PROPUESTA TECNOLÓGICA ................................................................... 38 Análisis de factibilidad ...................................................................................... 38
Factibilidad Operacional ................................................................................... 38
Factibilidad técnica ........................................................................................... 39
Factibilidad Legal.............................................................................................. 39
Factibilidad Económica ..................................................................................... 39
Etapas de la metodología del proyecto.............................................................. 39
Entregables del proyecto ................................................................................... 43
Criterios De Validación De La Propuesta ......................................................... 43
Como Se Configuro El Esquema De Seguridad ............................................... 44
Plan De Pruebas ................................................................................................ 45
CAPÍTULO IV ................................................................................................. 47
Criterios de aceptación del producto o Servicio ............................................... 47
CONCLUSIONES........................................................................................... 54
RECOMENDACIONES ................................................................................. 55
BIBLIOGRAFÍA .............................................................................................. 56
ANEXOS .......................................................................................................... 57
Anexo 1 ............................................................................................................. 58
Esquema De Seguridad ..................................................................................... 58
Anexo2 .............................................................................................................. 61
POLÍTICAS DE SEGURIDAD ........................................................................ 61
Anexo 3 ............................................................................................................. 63
Evaluación del sistema operativo para Firewall................................................ 63
Anexo 4 ............................................................................................................. 67
Endian Configuración y Administración .......................................................... 67
Configuración del NAT..................................................................................... 74
Configuración De Proxy ................................................................................... 78
Anexo 5 ............................................................................................................. 86
ARQUITECTURAS DE LAS ÁREAS EN EL PROYECTO .......................... 86
Arquitectura del Área de Desarrollo ................................................................. 86
Arquitectura del Área de Producción ................................................................ 87
XII
ABREVIATURAS
ABP Aprendizaje Basado en Problemas
UG Universidad de Guayaquil
FTP Archivos de Transferencia
g.l. Grados de Libertad
Html Lenguaje de Marca de salida de Hyper Texto
http Protocolo de transferencia de Hyper Texto
Ing. Ingeniero
CC.MM.FF Facultad de Ciencias Matemáticas y Físicas
ISP Proveedor de Servicio de Internet
Mtra. Maestra
Msc. Master
URL Localizador de Fuente Uniforme
www World Wide Web (red mundial)
XIII
SIMBOLOGÍA
s Desviación estándar
e Error
E Espacio muestral
E(Y) Esperanza matemática de la v.a. y
s Estimador de la desviación estándar
e Exponencial
XIV
ÍNDICE DE CUADROS
CUADRO 1 CAUSAS Y CONSECUENCIAS .................................................................... 5 CUADRO 2 PLAN DE PRUEBAS ............................................................................... 45 CUADRO 3 CUMPLIMIENTO DE PROYECTO ............................................................... 53 CUADRO 4 ANÁLISIS DE S.O (FIREWALL) ............................................................... 65
ÍNDICE DE GRÁFICOS
GRÁFICO 1 SEGURIDAD INFORMÁTICA .................................................................... 16 GRÁFICO 2 POLÍTICAS DE SEGURIDAD .................................................................... 18 GRÁFICO 3 CORTA FUEGO ...................................................................................... 19 GRÁFICO 4 FILTRADO DE PAQUETES ...................................................................... 20 GRÁFICO 5 PROXY .................................................................................................. 22 GRÁFICO 6 ESQUEMA DE SEGURIDAD INFORMÁTICA ............................................... 24 GRÁFICO 7 SCRUM ................................................................................................. 27 GRÁFICO 8 ESQUEMA DEL PROYECTO .................................................................... 43 GRÁFICO 9 ENCUESTA 1 ......................................................................................... 47 GRÁFICO 10 ENCUESTA 2 ....................................................................................... 48 GRÁFICO 11 ENCUESTA 3 ....................................................................................... 49 GRÁFICO 12 ENCUESTA 4 ....................................................................................... 50 GRÁFICO 13 ENCUESTA 5 ....................................................................................... 51 GRÁFICO 14 ENCUESTA 6 ....................................................................................... 52
XV
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
ESTUDIO DE FACTIBILIDAD PARA LA PROPUESTA “FRAMEWORK DE TRABAJO PARA PROYECTOS DE
TITULACIÓN APLICANDO LA METODOLOGÍA SCRUM EN LA INGENIERÍA DE SOFTWARE”
ENFOCADO A INFRAESTRUCTURA
Resumen
El objetivo de este proyecto es proveer un esquema de seguridad
informática para los ambientes de desarrollo y producción en el
sistema desarrollado por el grupo de estudiantes que aplican la
metodología Scrum. Para demostrar la eficacia de la misma, por esta razón
también aplicaremos la misma metodología Scrum.
Se dará una ayuda a cada grupo de Estudiantes para que tengan la mayor
facilidad en terminar los objetivos o bien llamados Sprint en lo que respecta
a seguridad Informática.
Se realizará pruebas de software para validar cual sería el mejor de los
ambientes que se tendrían que proponer para realizar nuestro estudio de
la factibilidad para la propuesta que planteamos.
Demostrar la fiabilidad de la metodología y la versatilidad que nos brinda
para nuestro estudio.
Autor: Marcos Leonel Lescano Delgado
Tutor: LSI. Oscar Apolinario Arzube
XVI
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
FEASIBILITY STUDY FOR THE PROPOSAL”WORKING
FRAMEWORK FOR PROJECTS QUALIFICATIONS
APPLYING THE METHODOLOGY SCRUM IN
SOFTWARE ENGINEERING “FOCUSED
INFRASTRUCTURE
Abstract
The objective of this project is to provide a security scheme for development
and production environments in the system developed by the group of
students who apply the Scrum methodology. To demonstrate the
effectiveness of it, for this reason also apply the same Scrum methodology.
It will aid each group of students to have greater ease in completing the
objectives or called Sprint with regard to computer security.
Software testing be conducted to validate what would be the best of
environments that would be proposed for our study of the feasibility of the
proposal we raised.
Demonstrate the reliability of the methodology and versatility that gives us
for our study.
Autor: Marcos Leonel Lescano Delgado
Tutor: LSI. Oscar Apolinario Arzube
1
INTRODUCCIÓN
Se define como infraestructura tecnológica al conjunto de hardware y software sobre
el cual se asientan sobre todos los servicios de una organización; el conjunto de
hardware lo componen elementos tan diversos como ordenadores que desempeñan
funciones de servidores, elementos de red tales como routers, conmutadores de
datos, cortafuegos, computadores personales, impresoras así como el de software
está compuesto por Sistemas Operativos, aplicaciones de Servicios como Bases de
datos, aplicaciones, ofimática, etc.
Es de mucha importancia tomar en cuenta la infraestructura en todo desarrollo
informático ya que ésta será la que soporte todo el flujo de datos conexión entre
servicios y servidores procesamiento de la información garantizar la integridad de los
datos por esta razón se debe dimensionar correctamente la infraestructura del
proyecto.
Dentro de cada proyecto o una empresa uno de los factores que se debe tener muy
en cuenta es la Seguridad de nuestro sistema, la seguridad informática es una tarea
que requiere un compromiso constante, debido a la rápida evolución de técnicas y
mecanismos de ataques y vulnerabilidades que aparecen cada día.
La importancia de una infraestructura tecnológica siempre será la base que defina la
vida de un sistema.
Las organizaciones o empresas necesitan llevar un mejor control de la seguridad de
sus proyectos, en este caso clasificándolas por orden prioritario para que no se vea
afectado ninguna de las aéreas en que se implementa la seguridad informática y en
2
caso de haber un inconveniente en el cual se vea afectado detectarlo de manera
urgente y tomar correctivos.
La metodología que se propone nos ayudaría a realizar el más rápido análisis para
poder implementar la seguridad e infraestructura que se necesita para nuestro
proyecto. Entre ello tener en cuenta el menor tiempo para realizar el análisis que se
desea proponer mediante los 6 sprint.
El objetivo planteado es para que todo los que utilicen esta metodología lleguen a
utilizar los recursos e implementarlo en el menor tiempo.
Aportar con la mayor parte de conocimientos en cada paso que se vaya a
implementar y utilizar en esta metodología (SCRUM), para llegar al objetivo
propuesto dentro de cualquier proyecto.
3
CAPÍTULO I
EL PROBLEMA
Planteamiento Del Problema
Las metodologías tradicionales de desarrollo de software están basadas más al
análisis del producto y luego la construcción del producto.
Al utilizar estas metodologías tradicionales se ha demostrado que nos toma más
tiempo y costos en elaborar un producto.
La comunicación entre los equipos es muy larga e individual, no cumplen con los
tiempos que se han propuesto para levantar un proyecto de ingeniería de Software.
En el presente proyecto se revisará el problema y se desarrollará la respectiva
solución para ser aplicada el grupo conformado por los estudiantes qué van a
desarrollar el sistema aplicando la metodología Scrum.
Uno de los factores que incurre en este incumplimiento de objetivos es la falta de
infraestructura basadas en las metodologías de trabajos agiles, la incorrecta
viabilidad de los requerimientos no funcionales, la falta del equipamiento para los
grupos, además de no tener una seguridad adecuada entre los ambientes de
Producción como el de Desarrollo.
Toda organización conectada a Internet está expuesta a ataques o infiltraciones, y
los riesgos se incrementan día a día con el explosivo crecimiento de la red.
Establecer un plan de seguridad en la que se incluye un servidor firewall es una
medida de seguridad imprescindible y responsable que tiene por objeto prevenir,
detener y bloquear ataques externos, y el control del uso de internet desde el interior
de la organización.
4
La seguridad informática es una tarea que requiere un compromiso constante, debido
a la rápida evolución de técnicas y mecanismos de ataques y vulnerabilidades que
aparecen cada día, con este planteamiento nos lleva a las siguientes preguntas.
¿Contamos con los implementos necesarios que nos permita tener una seguridad?
¿Qué tan seguro es nuestra área de trabajo tanto en Producción y Desarrollo?
Con respecto a la primera interrogante se realizó un análisis del producto que se va
a desarrollar y lo que podemos implementar con respecto a seguridades.
Cada área tiene sus requerimientos para que puedan llegar al objetivo dentro del
proyecto, basándose a ello es que se debe implementar ciertas normas, políticas de
seguridad para optimizar los recursos.
En la segunda interrogante, nuestras áreas son tan vulnerables ya que no contamos
con ningún control o un corta fuego desde el inicio.
De igual manera se aplicará la metodología Scrum en este proyecto para demostrar
que no sólo se usa en el desarrollo de aplicaciones informáticas y también se puede
utilizar en otros tipos de proyectos.
Situación Conflicto Nudos Críticos
Según un análisis realizado sobre las metodologías de trabajos encontramos que
algunas de las más utilizadas no cumplen con los tiempos que se han propuesto para
levantar un proyecto de ingeniería de Software.
Uno de los factores que incurre en este incumplimiento de objetivos es la falta de
infraestructura basadas en las metodologías de trabajos agiles, la incorrecta
viabilidad de los requerimientos no funcionales.
5
Como es un proyecto que empezaremos desde el inicio, lo primordial es enfocaremos
netamente a la Metodología SCRUM apoyada con PMP, por ende nuestro problema
es "La falta de infraestructura para poder implementar Servicios que nos ayuden en
la ingeniería de software utilizando la metodología SCRUM". Levantar la seguridad
para proteger la información que se vaya a utilizar, limitar el uso inadecuado de los
recursos.
Causas y Consecuencias del Problema
Cuadro 1 Causas y Consecuencias
Causas Consecuencias
Falta de Seguridad en el
proyecto.
Malestar en los usuarios y las áreas
que intervienen.
Conexión a la red sin seguridad. Alteración de la información y
realizar daños a nuestro proyecto.
Falta de Políticas de Seguridad. Todos utilizan los recursos de
manera errónea.
Falta de monitoreo de seguridad. Ausencia de un control correcto que
permita niveles de seguridad.
Falta de organización en los
eventos que se presentan con la
seguridad.
Carece de un orden o un esquema
de seguridad que se desarrolla en el
Proyecto.
Elaboración: Marcos Lescano.
Fuente: Causas y Consecuencias.
6
Delimitación del Problema
CAMPO: Área Seguridad.
ÁREA: Sistemas metodologías, calidad y gestión de proyectos de software.
ASPECTO: Proporcionar las herramientas necesarias para Monitorear,
Administrar la seguridad del Proyecto y los Usuarios.
TEMA: Estudio de factibilidad para la propuesta "framework de trabajo para
proyectos de titulación aplicando metodología scrum en la ingeniería de
software" enfocado a infraestructura.
Formulación del Problema
Las organizaciones o empresas necesitan llevar un mejor control de la seguridad de
sus proyectos, en este caso clasificándolas por orden prioritario para que no se vea
afectado ninguna de las aéreas en que se implementa la seguridad informática y en
caso de haber un inconveniente en el cual se vea afectado detectarlo de manera
urgente y tomar correctivos.
Lo que uno resume de acuerdo a un análisis realizado es que no se tiene ninguna
seguridad implementada en el proyecto por lo que es de mucha importancia
implementar un esquema de seguridad para el proyecto pero basada en el estudio
de la Metodología Scrum.
Es necesario contar con un esquema de seguridad para el proyecto, como
afectaría el no tenerlo y que tan eficaz es utilizando la Metodología SCRUM.
Evaluación del Problema
Delimitado: Debido a que no contamos con los equipos necesarios, hemos optado
por realizarlo lo más básico en las seguridades en un sistema informático utilizando
la metodología Scrum.
7
Claro: Ofrecer un ambiente de seguridad con los recursos que poseemos para
proteger la información de un proyecto.
Evidente: Toda aplicación que se desarrolle necesita de una infraestructura de
seguridad para poder ejecutarse y mucho más aún cuando se pretende poner en
producción.
Concreto: Proporcionar una infraestructura que pueda monitorear de manera
continua y supervisar que los datos que contengan el proyecto sean seguros y
respaldados limitando el acceso a personas ajenas a la metodología del Proyecto.
Factible: El proyecto se considera factible por que se tiene los conocimientos para
realizarlos, es de vital importancia para demostrar que la aplicación de la metodología
Scrum es un éxito o no.
Original: Está enfocado al grupo de estudiantes que desarrolla un Proyecto,
asimismo se está aplicando la metodología Scrum para demostrar que se puede
obtener resultados en corto tiempo y estos resultados son totalmente funcionales.
Identifica los Productos Esperados: Con la metodología de trabajo que se está
utilizando (Scrum) se espera que los demás estudiantes sigan el mismo mecanismo
para futuros proyectos.
OBJETIVOS
Objetivo General
Proveer el Diseño de Seguridad Informática que permita el estudio de factibilidad
sobre la metodología SCRUM en proyectos de ingeniería de software para la
carrera de ingeniería en sistemas computacionales.
Objetivos Específicos
Evaluar un Sistema Operativo sea más fiable para la implementación del
Servicio de Seguridad con los requerimientos basados en los estudio de
la metodología Scrum.
8
Definir y dimensionar las herramientas y servicios a utilizarse en el
Servidor de seguridad basado en el estudio de la metodología Scrum.
Diseñar Servicios de Seguridad perimetral para aplicaciones y Servidores
basado en el estudio de la metodología Scrum.
Alcances Del Problema
Definir el sistema operativo a utilizarse basado al análisis de los
requerimientos.
Por el análisis de los recursos que se tiene se optó por Linux.
Revisar anexo 3
Instalar el Sistema Operativo basado en el Análisis previo y a la Arquitectura
de la metodología Scrum.
Instalación de Endian Firewall.
Revisar anexo 4
Se definirá Servicios y herramientas basadas en el análisis del sistema
Operativo a utilizarse en el servidor de Seguridad.
Servicios de Firewall.
Servicios de Proxy.
Servicios de Dhcp Dinámico.
Revisar anexo 4
Se implementara Servicios de Seguridad en el Servidor.
Reglas de Firewall.
Reglas de Proxy.
Acceso por Mac address.
Creación de Usuarios y Claves.
Revisar anexo 4 (Configuracion de Proxy)
9
Se implementara las políticas de conexión entre los ambientes de Producción
y Desarrollo.
Esquema de Seguridad.
Revisar anexo 1
Políticas de Seguridad.
Revisar anexo 2
6 Sprint entregable.
Justificación E Importancia
Es de mucha importancia tomar en cuenta la infraestructura en todo desarrollo
informático ya que ésta será la que soporte todo el flujo de datos conexión entre
servicios y servidores procesamiento de la información garantizar la integridad de los
datos por esta razón se debe dimensionar correctamente la infraestructura del
proyecto.
La información es lo más delicado que uno debe manejar ya que los datos no pueden
ser alterados por cualquier persona. La seguridad debe estar dada en quienes la
manejan, como se maneja y para qué.
Esta información no debe ser pública debe ser restringida y seleccionada por niveles
de seguridad. Asimismo se tiene que tomar en cuenta qué servicio debe estar
operativo al cien por ciento, mantener un control de acceso a los equipos, a los
aplicativos nos ayuda a limitar el riesgo de que cualquiera pueda tener control total
de ellos.
El acceso puede ejecutarse de acuerdo con los niveles de seguridad con los
privilegios creados para los usuarios del proyecto ya que el objetivo principal es
determinar si el uso de esta metodología es un éxito.
10
Si los resultados de aplicar esta metodología es un éxito será la metodología aplicada
para los futuros proyecto de tesis de los estudiantes universitarios.
Esto llevará a cabo el desarrollo integral de un sistema robusto y eficiente.
Metodología Del Proyecto
Metodología de Desarrollo:
Para este proyecto se aplicará la metodología Scrum.
Esta propuesta consiste en proveer el ambiente de infraestructura para efectos de
prueba de la aplicación.
Una de las Etapas es la Seguridad de la información del proyecto y de los usuarios,
optimizar los recursos que serán utilizados implementar un esquema basado en la
metodología de trabajo.
Supuestos:
Se realizará pruebas con diferentes distribuciones en Linux.
Se probar los firewall de cada Distribución.
Se levantara los servicios de Proxy.
Se realizará los ambientes de seguridad para el área de desarrollo y el de
usuarios del Proyecto.
Restricciones:
No se dejará en funcionando el servidor de Seguridad ya que no se tiene un
equipo exclusivo del proyecto.
Solo se dejara planteado en documento una solución del ambiente de
Seguridad ya que no contamos con los recursos para implementar cualquier
solución que incurra en gastos económicos.
11
Plan de Calidad (Pruebas a realizar):
Las pruebas que se realizaron en este proyecto de acuerdo a los recursos obtenidos
fueron:
Validar el S.O para el firewall.
Configuración de la red y su seguridad.
Configuración del Proxi para los usuarios.
Conectividad de las zonas de Red LAN, WAN, DMZ.
Reglas de Proxi.
Reglas de Firewall.
Políticas de Ingreso Usuarios (claves).
12
CAPÍTULO II
MARCO TEÓRICO
Antecedentes Del Estudio
Como concepto básico tenemos que una infraestructura es el conjunto de elementos
o servicios que están considerados como necesarios para que una organización
pueda funcionar o bien para que una actividad se desarrolle efectivamente.
En cuanto a infraestructura la seguridad es lo primordial que se implementa en la
mayoría de proyectos. Proveer condiciones que permitan tener confidencialidad,
integridad, disponibilidad de los datos es lo fundamental en la Seguridad informática.
Los mecanismos que son necesarios para todo proyecto es que contengan la
prevención, detección y corrección.
Fundamentación Teórica
Entre los conceptos más básicos que tenemos que tener en cuenta para nuestra
propuesta y lo que deseamos implementar en la infraestructura del proyecto basada
en la metodología Scrum tenemos los siguientes:
Seguridad Informática.
Es una disciplina que se encarga de proteger la integridad y la privacidad de
la información almacenada en un sistema informático. De todas formas, no existe
ninguna técnica que permita asegurar la inviolabilidad de un sistema.
Un sistema informático puede ser protegido desde un punto de vista lógico (con
el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por
ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos
que se instalan en la computadora del usuario (como un virus) o llegar por vía remota
(los delincuentes que se conectan a Internet e ingresan a distintos sistemas).
13
Clasificación
Una clasificación muy utilizada de los servicios de seguridad es la siguiente:
Confidencialidad.
Autenticación.
Integridad.
No repudio.
Control de acceso.
Disponibilidad.
Confidencialidad
Servicio de seguridad o condición que asegura que la información no pueda estar
disponible o ser descubierta por o para personas, entidades o procesos no
autorizados, también puede verse como la capacidad del sistema para evitar que
personas no autorizadas puedan acceder a la información almacenada en él.
Autenticación
Es el servicio que trata de asegurar que una comunicación sea auténtica, es decir,
verificar que el origen de los datos es el correcto, quién los envió, cuándo fueron
enviados y recibidos también sean correctos.
Integridad
Servicio de seguridad que garantiza que la información sea modificada, incluyendo
su creación y borrado, sólo por el personal autorizado.
No repudio
El no repudio sirve a los emisores o a los receptores para negar un mensaje
transmitido. Por lo que cuando un mensaje es enviado, el receptor puede probar que
el mensaje fue enviado por el presunto emisor. De manera similar, cuando un
mensaje es recibido, el remitente puede probar que el mensaje fue recibido por el
presunto receptor.
14
Control de Acceso
Un control de acceso se ejecuta con el fin de que un usuario sea identificado y
autenticado de manera exitosa para que entonces le sea permitido el acceso.
Disponibilidad
En un entorno donde las comunicaciones juegan un papel importante, es necesario asegurar que la red esté siempre disponible.
La disponibilidad, garantiza que los usuarios autorizados tengan acceso a la
información y a otros activos de información asociados en el lugar, momento como
la forma en que es requerido.
Un sistema seguro debe mantener la información disponible para los usuarios, el
sistema, tanto hardware como software, debe mantenerse funcionando
eficientemente y ser capaz de recuperarse rápidamente en caso de fallo.
Seguridad Física
La seguridad física de un sistema informático consiste en la aplicación de barreras
físicas y procedimientos de control frente a amenazas físicas al hardware.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por
el hombre como por la naturaleza del medio físico en que se encuentra ubicado el
sistema. Las principales amenazas que se prevén son:
Desastres naturales, incendios accidentales y cualquier variación producida por
las condiciones ambientales.
Amenazas ocasionadas por el hombre como robos o sabotajes.
Disturbios internos y externos deliberados.
Evaluar, controlar permanentemente la seguridad física del sistema es la base para
comenzar a integrar la seguridad como función primordial del mismo. Tener
controlado el ambiente como el acceso físico permite disminuir siniestros y tener
los medios para luchar contra accidentes.
15
Seguridad Lógica
La seguridad lógica de un sistema informático consiste en la aplicación de barreras,
procedimientos que protejan el acceso a los datos y a la información contenida en él.
El activo más importante de un sistema informático es la información, por tanto, la
seguridad lógica se plantea como uno de los objetivos más importantes.
La seguridad lógica trata de conseguir los siguientes objetivos:
Restringir el acceso a los programas y archivos.
Asegurar que los usuarios puedan trabajar sin supervisión y no puedan modificar
los programas ni los archivos que no correspondan.
Asegurar que se estén utilizados los datos, archivos y programas correctos.
Verificar que la información transmitida sea recibida sólo por el destinatario al
cual ha sido enviada y que la información recibida sea la misma que la
transmitida.
Disponer de pasos alternativos de emergencia para la transmisión de
información.
Dentro de la seguridad lógica también encontramos lo que es seguridad perimetral.
Seguridad Perimetral
La seguridad perimetral es un concepto emergente asume la integración de
elementos como sistemas, tanto electrónicos, mecánicos para la protección de
perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en
instalaciones especialmente sensibles.
La protección de la información en las organizaciones comienza en los límites de su
red LAN con internet, es una estrategia para proteger los recursos de una
organización conectada a la red.
16
Gráfico 1 Seguridad informática
Elaboración: Marcos Lescano
Fuente: http://www.sumitel.com/seguridad
Ejemplos de cometidos de la seguridad perimetral:
Rechazar conexiones a servicios comprometidos.
Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos
nodos.
Proporcionar un único punto de interconexión con el exterior.
Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet.
Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde
Internet.
Auditar el tráfico entre el exterior y el interior.
Ocultar información: nombres de sistemas, topología de la red, tipos de
dispositivos de red, cuentas de usuarios internos.
17
Sin una política de seguridad, la seguridad perimetral no sirve de nada.
En seguridad perimetral lo básico es implementar las políticas de seguridad y un
Firewall.
Políticas De Seguridad
La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la
manera de dirigir, proteger y distribuir recursos en una organización para llevar a
cabo los objetivos de seguridad informática dentro de la misma.
Las políticas de seguridad definen lo que está permitido, lo que está prohibido.
Permiten definir los procedimientos como herramientas necesarias, expresan el
consenso de los “dueños” y permiten adoptar una buena actitud dentro de la
organización.
Ejemplos de políticas de seguridad
Número de caracteres de las contraseñas de los usuarios.
Período de tiempo de validez de las contraseñas.
Protocolos que se van a permitir entre las máquinas internas y las externas.
Control del acceso restringido a los recursos internos.
18
Gráfico 2 Políticas de seguridad
Elaboración: Marcos Lescano
Fuente: http://www.sumitel.com/seguridad
Firewall
Un cortafuegos o firewall es un sistema de defensa basado en el hecho de que todo
el tráfico de entrada o salida a la red debe pasar obligatoriamente por un sistema de
seguridad capaz de autorizar, denegar, y tomar nota de todo aquello que ocurre, de
acuerdo con una política de control de acceso entre redes.
Controla tanto la comunicación desde el exterior como el tráfico generado desde la
propia máquina o red interna. Actúa a base de normas que establece el administrador
de seguridad o, en su defecto, el administrador de red o el usuario final. Dichas reglas
definen las acciones correspondientes a llevar a cabo cuando se recibe un paquete
que cumpla unas determinadas características.
A pesar de que hay programas que se venden bajo la denominación de firewall,
un firewall NO es un programa, sino que consiste en un conjunto de
medidas hardware y software destinadas a asegurar una instalación de red.
19
En definitiva, se trata de cualquier sistema empleado para "separar" una máquina o
una subred del resto, protegiéndola de servicios y protocolos que puedan suponer
una amenaza a la seguridad desde el exterior.
El espacio protegido por un cortafuego se denomina perímetro de seguridad,
mientras que la red externa recibe el nombre de zona de riesgo.
Gráfico 3 Corta Fuego
Elaboración: Marcos Lescano
Fuente: http://spi1.nisu.org/recop/al01/rmoreno/definicion.html
¿Para qué sirve un cortafuego? El cortafuego se encarga de controlar puertos y
conexiones, es decir, de permitir el paso y el flujo de datos entre los puertos, ya sean
clientes o servidores. Es como un semáforo que, en función de la dirección IP y el
puerto (entre otras opciones), dejará establecer la conexión o no siguiendo unas
reglas establecidas.
De este modo, el firewall controla qué combinaciones "IP Cliente: puerto + IP
Servidor: puerto" son válidas o no. Por ejemplo, si el administrador del servidor
222.222.222.222 decide que no quiere que el cliente con dirección IP
111.111.111.111 vea su página web desde casa, podría indicarle a su cortafuegos
en el servidor que bloquee esa dirección IP y no le permita acceder a su puerto 80.
Básicamente, el cortafuego personal es un programa que se interpone entre el
sistema operativo y las aplicaciones en la red, y comprueba una serie de parámetros
antes de permitir que se establezca una conexión.
20
Componentes de un cortafuego
En todo cortafuego existen tres componentes básicos para los cuales se ha de
implementar los mecanismos necesarios para hacer cumplir la política de seguridad:
El filtrado de paquetes.
El proxy de aplicación.
El filtrado de paquetes
El filtrado de paquetes, además de utilizarse para reducir la carga de red, también se
emplea para implementar distintas políticas de seguridad en una red. Respecto al
objetivo principal de dichas políticas de seguridad, es habitual el hecho de evitar el
acceso no autorizado entre dos redes, manteniendo los accesos autorizados.
Los sistemas de filtrado de paquetes encaminan los paquetes entre los hosts de una
red interna y los hosts de una red externa. De modo selectivo, permiten o bloquean
ciertos tipos de paquetes de acuerdo a una política de seguridad, como se puede ver
en la figura 3.1.2. El tipo de router que se usa en el filtrado de paquetes se conoce
con el nombre de screening router.
Gráfico 4 Filtrado de Paquetes
Elaboración: Marcos Lescano
Fuente: http://spi1.nisu.org/recop/al01/rmoreno/definicion.html
21
El funcionamiento es el siguiente:
1. Se analiza la cabecera de cada trama.
2. Se comprueban reglas establecidas de antemano que contemplan:
Información de la cabecera de la trama, el protocolo utilizado (TCP, UDP, ICMP), las
direcciones fuente y destino, los puertos fuente y destino, Información que conoce
el router acerca del paquete la interfaz del router por donde se ha de reenviar el
paquete la interfaz por donde ha llegado el paquete.
3. En función de dichas reglas, la trama es bloqueada o se le permite seguir su
camino.
Proxy
Aplicación o dispositivo hardware que hace de intermediario entre los usuarios,
normalmente entre una red local e Internet. El proxy recibe peticiones de usuarios y
las redirige a Internet.
Algunas de sus características son:
Servidor de caché: cuando un usuario accede a una página, el proxy mira si
dicha página se encuentra en caché y la "entrega" al usuario. En caso
contrario, el proxy accede a Internet, obtiene la página y se la envía al
usuario.
Actúa de forma transparente al usuario (aunque el usuario tendrá que
indicar que accede a Internet a través de un proxy, así como la dirección IP
del proxy y el puerto por el que accede).
Puede realizar funciones de filtrado respecto al acceso de páginas de
Internet.
El proxy de aplicación
Un proxy de aplicación es una aplicación software capaz de filtrar las conexiones a
servicios, es decir, capaz de reenviar o bloquear conexiones a servicios.
Los proxies cogen las peticiones de los usuarios sobre servicios de Internet, como
FTP y Telnet, y responden a dichas peticiones según la política de seguridad.
22
Los proxies proporcionan conexiones y actúan de pasarela entre la propia máquina
o la red interna y la red externa. Por este motivo, también se denominan pasarelas
de nivel de aplicación.
La actuación de un proxy entre un usuario de la red interna y un servicio de la red
externa es más o menos transparente.
Como se puede observar en la figura 3.2.1 un proxy requiere dos componentes: un
servidor proxy y un proxy cliente. El servidor proxy se ejecuta en un host situado
entre la red interna y la externa, mientras que el proxy cliente es una versión especial
de un programa cliente normal como Telnet o FTP cliente, que se comunica con el
servidor proxy como si fuera el servidor "real" de la red externa.
El servidor proxy evalúa las peticiones del proxy cliente y decide si aprobar o denegar
la petición. Si la petición se aprueba de acuerdo a la política de seguridad, el servidor
proxy contacta con el servidor "real" y mandará las respuestas del servidor "real" al
proxy cliente.
Gráfico 5 Proxy
Elaboración: Marcos Lescano
Fuente: http://spi1.nisu.org/recop/al01/rmoreno/definicion.html
23
Zonas Desmilitarizadas (DMZ)
Una zona desmilitarizada (DMZ, desmilitarized zone) o red perimetral es una red local
que se ubica entre la red interna de una organización y una red externa,
generalmente Internet.
El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la
DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan
a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red
interna.
Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa
a la vez que protegen la red interna en el caso de que intrusos comprometan la
seguridad de los equipos (host) situados en la zona desmilitarizada.
Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna,
la zona desmilitarizada se convierte en un callejón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean
accedidos desde fuera, como servidores de correo electrónico, Web y DNS.
Las conexiones que se realizan desde la red externa hacia la DMZ se controlan
generalmente utilizando port address translation (PAT).
Una DMZ se crea a menudo a través de las opciones de configuración del cortafuego,
donde cada red se conecta a un puerto distinto de éste. Esta configuración se llama
cortafuegos en trípode (three-legged firewall).
Un planteamiento más seguro es usar dos cortafuegos, donde la DMZ se sitúa en
medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a
la red externa.
Esta configuración ayuda a prevenir configuraciones erróneas accidentales que
permitan el acceso desde la red externa a la interna.
Este tipo de configuración también es llamado cortafuegos de subred monitoreada
(screened-subnet firewall).
24
Gráfico 6 Esquema de Seguridad Informática
Elaboración: Marcos Lescano
Fuente:https://alvaroprimoguijarro.files.wordpress.com/2012/01/ud03_sad_alvaropri
moguijarro.pdf
Scrum
Scrum es una metodología ágil de desarrollo de proyectos que toma su nombre y
principios de los estudios realizados sobre nuevas prácticas de producción por
HirotakaTakeuchi e Ikujijo Nonaka a mediados de los 80.
Aunque surgió como modelo para el desarrollo de productos tecnológicos, también
se emplea en entornos que trabajan con requisitos inestables y que requieren rapidez
y flexibilidad; situaciones frecuentes en el desarrollo de determinados Sistemas de
software.
Jeff Sutherland aplicó el modelo Scrum al desarrollo de software en 1993 en Easel
Corporation (Empresa que en los macro-juegos de compras y fusiones se integraría
en VMARK, luego en Informix y finalmente en Ascential Software Corporation).
En 1996 lo presentó junto con Ken Schwaber como proceso formal, también para
gestión del desarrollo de software en OOPSLA 96. Más tarde, en 2001 serían dos de
25
los promulgadores del Manifiesto ágil. En el desarrollo de software Scrum está
considerado como modelo ágil por la Agile Alliance.
Introducción al modelo
Scrum es una metodología de desarrollo muy simple, que requiere trabajo duro
porque no se basa en el seguimiento de un plan, sino en la adaptación continúa a las
circunstancias de la evolución del proyecto.
Scrum es una metodología ágil, y como tal:
Es un modo de desarrollo de carácter adaptable más que predictivo.
Orientado a las personas más que a los procesos.
Emplea la estructura de desarrollo ágil: incremental basada en iteraciones y
revisiones.
Ventajas
Alineamiento entre cliente y equipo.
Gestión regular de las expectativas del cliente.
Resultados a corto plazo.
Retorno de inversión (ROI). (Se hace lo importante).
Equipo motivado.
Flexibilidad y adaptación a los cambios.
Calidad del producto final.
Control de la evolución del proyecto
Scrum controla de forma empírica y adaptable la evolución del proyecto, empleando
las siguientes prácticas de la gestión ágil:
Revisión de las Iteraciones
Al finalizar cada iteración se lleva a cabo una revisión con todas las personas
implicadas en el proyecto. Este es el periodo máximo que se tarda en
reconducir una desviación en el proyecto o en las circunstancias del producto.
Desarrollo incremental
26
Durante el proyecto, las personas implicadas no trabajan con diseños o
abstracciones.
El desarrollo incremental implica que al final de cada iteración se dispone de
una parte del producto operativa que se puede inspeccionar y evaluar.
Desarrollo evolutivo
Los modelos de gestión ágil se emplean para trabajar en entornos de
incertidumbre e inestabilidad de requisitos. En Scrum se toma a la
inestabilidad como una premisa, y se adoptan técnicas de trabajo para
permitir esa evolución sin degradar la calidad de la arquitectura que se irá
generando durante el desarrollo. El desarrollo Scrum va generando el diseño
y la arquitectura final de forma evolutiva durante todo el proyecto.
Auto-organización
Durante el desarrollo de un proyecto son muchos los factores impredecibles
que surgen en todas las áreas y niveles. La gestión predictiva confía la
responsabilidad de su resolución al gestor de proyectos. En Scrum los
equipos son auto-organizados (no auto-dirigidos), con margen de decisión
suficiente para tomar las decisiones que consideren oportunas.
Colaboración
Las prácticas y el entorno de trabajo ágiles facilitan la colaboración del equipo.
Ésta es necesaria, porque para que funcione la auto organización como un
control eficaz cada miembro del equipo debe colaborar de forma abierta con
los demás, según sus capacidades y no según su rol o su puesto.
Visión general del proceso
Scrum denomina “sprint” a cada iteración de desarrollo y recomienda realizarlas con
duraciones de 30 días.
El sprint es por tanto el núcleo central que proporciona la base de desarrollo iterativo
e incremental.
27
Gráfico 7 Scrum
Elaboración: Marcos Lescano
Fuente: http://www.navegapolis.net/files/s/NST-010_01.pdf
Los elementos que conforman el desarrollo Scrum son:
Las reuniones
Planificación de sprint: Jornada de trabajo previa al inicio de cada sprint en la
que se determina cuál va a ser el trabajo y los objetivos que se deben cumplir
en esa iteración.
Reunión diaria: Breve revisión del equipo del trabajo realizado hasta la fecha
y la previsión para el día siguiente.
Revisión de sprint: Análisis y revisión del incremento generado.
Los elementos
Pila del producto: lista de requisitos de usuario que se origina con la visión
inicial del producto y va creciendo y evolucionando durante el desarrollo.
Pila del sprint: Lista de los trabajos que debe realizar el equipo durante el
sprint para generar el incremento previsto.
Incremento: Resultado de cada sprint.
28
Los roles
Scrum clasifica a todas las personas que intervienen o tienen interés en el desarrollo
del proyecto en: propietario del producto, equipo, gestor de Scrum (también Scrum
Manager o Scrum Master) y “otros interesados”.
Propietario del producto: El responsable de obtener el mayor valor de
producto para los clientes, usuarios y resto de implicados.
Equipo de desarrollo: grupo o grupos de trabajo que desarrollan el producto.
Scrum Manager: gestor de los equipos que es responsable del
funcionamiento de la metodología Scrum y de la productividad del equipo de
desarrollo.
Fundamentación Legal
Constitución De La República Del Ecuador
Sección octava
Ciencia, tecnología, innovación y saberes ancestrales
Art. 385.- El sistema nacional de ciencia, tecnología, Innovación y saberes
ancestrales, en el marco del respeto al ambiente, la naturaleza, la vida, las culturas
y la soberanía, tendrá como finalidad:
Generar, adaptar y difundir conocimientos científicos y tecnológicos.
Desarrollar tecnologías e innovaciones que impulsen la producción nacional,
eleven la eficiencia y productividad, mejoren la calidad de vida y contribuyan
a la realización del buen vivir.
Art. 386.- El sistema comprenderá programas, políticas, recursos, acciones, e
incorporará a instituciones del Estado, universidades y escuelas politécnicas,
29
institutos de investigación públicos y privados, empresas públicas y privadas,
organismos no gubernamentales y personas naturales o jurídicas, en tanto realizan
actividades de investigación, desarrollo tecnológico, innovación.
El Estado, a través del organismo competente, coordinará el sistema, establecerá los
objetivos y políticas, de conformidad con el Plan Nacional de Desarrollo, con la
participación de los actores que lo conforman.
Art. 387.- Será responsabilidad del Estado:
Facilitar e impulsar la incorporación a la sociedad del conocimiento para
alcanzar los objetivos del régimen de desarrollo.
Promover la generación y producción de conocimiento, fomentar la
investigación científica y tecnológica…
Asegurar la difusión y el acceso a los conocimientos científicos y tecnológicos,
el usufructo de sus descubrimientos y hallazgos en el marco de lo establecido
en la Constitución y la Ley.
Garantizar la libertad de creación e investigación en el marco del respeto a la
ética, la naturaleza, el ambiente…
Reconocer la condición de investigador de acuerdo con la Ley.
Art. 8.- Serán Fines de la Educación Superior.- La educación superior tendrá los
siguientes fines:
Aportar al desarrollo del pensamiento universal, al despliegue de la
producción científica y a la promoción de las transferencias e innovaciones
tecnológicas.
30
Fortalecer en las y los estudiantes un espíritu reflexivo orientado al logro de
la autonomía personal, en un marco de libertad de pensamiento y de
pluralismo ideológico.
Contribuir al conocimiento…
Formar académicos y profesionales responsables, con conciencia ética y
solidaria, capaces de contribuir al desarrollo de las instituciones de la
República, a la vigencia del orden democrático, y a estimular la participación
social.
Aportar con el cumplimiento de los objetivos del régimen de desarrollo
previsto en la Constitución y en el Plan Nacional de Desarrollo.
Fomentar y ejecutar programas de investigación de carácter científico,
tecnológico y pedagógico que coadyuven al mejoramiento y protección del
ambiente y promuevan el desarrollo sustentable nacional.
Constituir espacios para el fortalecimiento del Estado Constitucional,
soberano, independiente, unitario, intercultural, plurinacional y laico.
Contribuir en el desarrollo local y nacional de manera permanente, a través
del trabajo comunitario o extensión universitaria.
Art. 71.- Principio de igualdad de oportunidades.- El principio de igualdad de
oportunidades consiste en garantizar a todos los actores del Sistema de Educación
Superior las mismas posibilidades en el acceso, permanencia, movilidad y egreso del
sistema, sin discriminación de género, credo, orientación sexual, etnia, cultura,
preferencia política, condición socioeconómica o discapacidad.
31
Las instituciones que conforman el Sistema de Educación Superior propenderán por
los medios a su alcance que, se cumpla en favor de los migrantes el principio de
igualdad de oportunidades. Se promoverá dentro de las instituciones del Sistema de
Educación Superior el acceso para personas con discapacidad bajo las condiciones
de calidad, pertinencia y regulaciones contempladas en la presente Ley y su
Reglamento. El Consejo de Educación Superior, velará por el cumplimiento de esta
disposición.
Art. 80.- Gratuidad de la educación superior pública hasta el tercer nivel.- Se
garantiza la gratuidad de la educación superior pública hasta el tercer nivel. La
gratuidad observará el criterio de responsabilidad académica de los y las estudiantes,
de acuerdo con los siguientes criterios:
La gratuidad será para los y las estudiantes regulares que se matriculen en
por lo menos el sesenta por ciento de todas las materias o créditos que
permite su malla curricular en cada período, ciclo o nivel;
La gratuidad será también para los y las estudiantes que se inscriban en el
nivel preuniversitario, pre politécnico o su equivalente, bajo los parámetros
del Sistema de Nivelación y Admisión.
La responsabilidad académica se cumplirá por los y las estudiantes regulares
que aprueben las materias o créditos del período, ciclo o nivel, en el tiempo y
en las condiciones ordinarias establecidas. No se cubrirán las segundas ni
terceras matrículas, tampoco las consideradas especiales o extraordinarias.
32
El Estado, por concepto de gratuidad, financiará una sola carrera o programa
académico de tercer nivel por estudiante. Se exceptúan los casos de las y los
estudiantes que cambien de carrera o programa, cuyas materias puedan ser
revalidadas.
La gratuidad cubrirá exclusivamente los rubros relacionados con la primera
matrícula y la escolaridad; es decir, los vinculados al conjunto de materias o
créditos que un estudiante regular debe aprobar para acceder al título terminal
de la respectiva carrera o programa académico; así como los derechos y otros
rubros requeridos para la elaboración, calificación, y aprobación de tesis de
grado.
Se prohíbe el cobro de rubros por utilización de laboratorios, bibliotecas,
acceso a servicios informáticos e idiomas, utilización de bienes y otros,
correspondientes a la escolaridad de los y las estudiantes universitarios y
politécnicos.
Para garantizar un adecuado y permanente financiamiento del Sistema de
Educación Superior y la gratuidad, la Secretaría Nacional de Educación
Superior, Ciencia, Tecnología e Innovación desarrollará un estudio de costos
por carrera/programa académico por estudiante, el cual será actualizado
periódicamente.
Se pierde de manera definitiva la gratuidad, si un estudiante regular reprueba,
en términos acumulativos, el treinta por ciento de las materias o créditos de
su malla curricular cursada.
33
La gratuidad cubrirá todos los cursos académicos obligatorios para la
obtención del grado.
Art. 117.- Tipología de instituciones de Educación Superior.- Las instituciones de
Educación Superior de carácter universitario o politécnico se clasificarán de acuerdo
con el ámbito de las actividades académicas que realicen. Para establecer esta
clasificación se tomará en cuenta la distinción entre instituciones de docencia con
investigación, instituciones orientadas a la docencia e instituciones dedicadas a la
educación superior continua.
En función de la tipología se establecerán qué tipos de carreras o programas podrán
ofertar cada una de estas instituciones, sin perjuicio de que únicamente las
universidades de docencia con investigación podrán ofertar grados académicos de
PHD o su equivalente.
Esta tipología será tomada en cuenta en los procesos de evaluación, acreditación y
categorización.
Art. 118.- Niveles de formación de la educación superior.- Los niveles de formación
que imparten las instituciones del Sistema de Educación Superior son:
Nivel técnico o tecnológico superior, orientado al desarrollo de las habilidades
y destrezas que permitan al estudiante potenciar el saber hacer.
Corresponden a éste los títulos profesionales de técnico o tecnólogo superior,
que otorguen los institutos superiores técnicos, tecnológicos, pedagógicos, de
artes y los conservatorios superiores. Las instituciones de educación superior
no podrán ofertar títulos intermedios que sean de carácter acumulativo.
34
Tercer nivel, de grado, orientado a la formación básica en una disciplina o a
la capacitación para el ejercicio de una profesión. Corresponden a este nivel
los grados académicos de licenciado y los títulos profesionales universitarios
o politécnicos, y sus equivalentes. Sólo podrán expedir títulos de tercer nivel
las universidades y escuelas politécnicas. Al menos un 70% de los títulos
otorgados por las escuelas politécnicas deberán corresponder a títulos
profesionales en ciencias básicas y aplicadas.
Cuarto nivel, de postgrado, está orientado al entrenamiento profesional
avanzado o a la especialización científica y de investigación. Corresponden
al cuarto nivel el título profesional de especialista; y los grados académicos
de maestría, PhD o su equivalente. Para acceder a la formación de cuarto
nivel, se requiere tener título profesional de tercer nivel otorgado por una
universidad o escuela politécnica, conforme a lo establecido en esta Ley.
Las universidades y escuelas politécnicas podrán otorgar títulos de nivel
técnico o tecnológico superior cuando realicen alianzas con los institutos de
educación superior o creen para el efecto el respectivo instituto de educación
superior, inclusive en el caso establecido en la Disposición Transitoria
Vigésima Segunda de la presente Ley.
Art. 388.- El Estado destinará los recursos necesarios para la investigación científica,
el desarrollo tecnológico, la innovación, la formación científica
Art. 1.- Objeto de la Ley.- Esta Ley regula los mensajes de datos, la firma
electrónica, Los servicios de certificación, la contratación electrónica y telemática, la
prestación de Servicios electrónicos, a través de redes de información, incluido el
comercio Electrónico y la protección a los usuarios de estos sistemas.
35
Art. 4.- Propiedad Intelectual.- Los mensajes de datos estarán sometidos a las
leyes, Reglamentos y acuerdos internacionales relativos a la propiedad intelectual.
Art. 5.- Confidencialidad y reserva.- Se establecen los principios de
confidencialidad y reserva para los mensajes de datos, cualquiera sea su forma,
medio o intención. Toda violación a estos principios, principalmente aquellas
referidas a la intrusión electrónica, transferencia ilegal de mensajes
de o violación del secreto profesional, será sancionada conforme a lo dispuesto en
esta Ley y demás normas que rigen la materia.
Art. 9.- Protección de datos.- Para la elaboración, transferencia o utilización de bases
de datos, obtenidas directa o indirectamente del uso o transmisión de mensajes de
datos, se requerirá el consentimiento expreso del titular de éstos, quien podrá
seleccionar la información a compartirse con terceros.
La recopilación y uso de datos personales responderá a los derechos de privacidad,
intimidad y confidencialidad garantizados por la Constitución Política de la
República y esta Ley, los cuales podrán ser utilizados o transferidos únicamente con
autorización del titular u orden de autoridad competente.
No será preciso el consentimiento para recopilar datos personales de fuentes
accesibles al público, cuando se recojan para el ejercicio de las funciones propias de
la administración pública, en el ámbito de su competencia, y cuando se refieran a
personas vinculadas por una relación de negocios, laboral, administrativa o
contractual y sean necesarios para el mantenimiento de las relaciones o para el
cumplimiento del contrato.
El consentimiento a que se refiere este artículo podrá ser revocado a criterio del titular
de los datos; la revocatoria no tendrá en ningún caso efecto retroactivo.
Pregunta Científica A Contestarse
Para este estudio se planeó las siguientes preguntas:
¿La provisión de un esquema de Seguridad en los ambientes, ayudara?
36
¿Contamos con los implementos necesarios que nos permita tener una seguridad?
¿Qué tan seguro es nuestra área de trabajo tanto en Producción y Desarrollo?
Definiciones Conceptuales
Infraestructura
Se entiende por infraestructura tecnológica al conjunto de todos los elementos
tecnológicos hardware y software: servidores, computadores, portátiles, impresoras,
switches, routers, firewall, escáner, cableado estructurado, software informático,
equipos de comunicación, internet, red LAN.
Scrum
Es un marco de trabajo para la aplicación de proyectos de software.
Seguridad Informática
Es el área que se encarga de la protección de la infraestructura computacional
mediante software, hardware y normas de seguridad.
Políticas De Seguridad
Es un conjunto de normas, reglas que nos ayudan a dirigir, proteger la información
de un proyecto o una organización para definir lo que está permitido y lo que no.
Firewall
Es un sistema o grupo de sistemas que ponen una frontera entre una organización
privada y la internet ayudando a que extraños puedan ingresar a la red y evitar daños
en la organización o proyecto
Servidor Proxy
Es un programa o sistema informático que hace de intermediario entre las peticiones
con un cliente y un servidor y dependiendo de las reglas implementadas se le da el
acceso o se le niega.
37
DMZ
En informática DMZ es una zona desmilitarizada (demilitarized zone) es aquella que
nos permite aislar ciertos servidores para uso exclusivo de una sub red dentro de una
red.
38
CAPÍTULO III
PROPUESTA TECNOLÓGICA
El objetivo principal es poseer un ambiente seguro mediante la metodología de
trabajo propuesta en el proyecto.
La seguridad de los datos para las personas que están involucradas en el proyecto
y los recursos que tenemos en los ambientes, optimizando los recursos y poner en
marcha el proyecto es nuestra propuesta.
La seguridad de los datos del proyecto es lo primordial así evitamos que cualquiera
pueda ingresar a la data de cada uno de los servidores y pueda ser alterada.
Análisis de factibilidad
Este proyecto se considera factible debido a que es necesario para que el grupo
pueda tener un ambiente seguro y así poder determinar si el sistema desarrollado
usando Scrum como metodología se considera un éxito o fracaso versus a las
metodologías tradicionales de desarrollo de software.
Factibilidad Operacional
Un esquema de seguridad complementado a la infraestructura en los ambientes de
producción y desarrollo será utilizado por los integrantes del proyecto, con esto se
protegerá la información de cada una de las etapas que vayamos avanzando en el
proyecto y la información que cada uno maneja.
Entre las tareas del esquema como es los respaldos de los datos, las claves y los
usuarios que las vayan a manejar serán de mucha importancia para que por cualquier
eventualidad todo pueda ser recuperado y no se pierda ninguna información más que
de un día a más tardar.
39
Factibilidad técnica
Este proyecto se considera técnicamente factible porque todos los recursos hardware
y software necesarios para la implementación de este tipo proyectos se los puede
encontrar con proveedores locales de diferentes marcas.
Para este proyecto se está visionando una infraestructura con capacidad para
soportar 100.000 usuarios y una concurrencia de 17.000 por esta razón se considera
gran poder de procesamiento, adicionalmente el esquema propuesto para esta
solución se está contemplando una alta disponibilidad para garantizar que servicio
esté siempre activo.
Factibilidad Legal
Para este proyecto no se encuentra impedimento alguno de manera legal.
Para estar acorde con todo el marco legal del uso de software se debe contemplar la
adquisición de las licencias en caso que sean necesarias.
Factibilidad Económica
Identifica por medio de la investigación si los costos se justifican con los beneficios
que se pueden obtener con el sistema propuesto. “Los estudios de factibilidad
económica incluyen análisis de costos y beneficios asociados con cada alternativa
del proyecto. Con análisis de costos/beneficio, todos los costos y beneficios de
adquirir y operar cada sistema alternativo se identifican y se hace una comparación
de ellos
Etapas de la metodología del proyecto
Este proyecto se divide en 6 Sprint de acuerdo a la metodología que se utiliza (Scrum)
las cuales se detallan a continuación:
Sprint 0
Recopilación, análisis e investigación de información
Estudio de las metodología usadas y análisis de cada una
40
Reunirse con los compañeros de BD para determinar los servicios y aplicaciones que necesitan que tengan instalados los servidores.
Lista de requerimientos al grupo de Base de Datos
Consulta de Tipo de servidor y motor de Base de Datos
Aplicaciones a utilizar
Reunión de infraestructura para unificación de requerimientos y optimizar recursos
Planteamiento de los requisitos solicitado por el Equipo de Base de Datos
Seguridad que se va a implementar en los ambientes de Producción y Desarrollo
Tipo de Esquema a utilizarse en el Proyecto basado en script (Metodología Scrum)
Análisis de la información recopilada de BD, investigar los requisitos y S.O. óptimos para que trabajen las aplicaciones requeridas.
Motor a utilizarse SQL Server 2012
Sistema Operativo Windows Server 2008
Spring 1
Definiciones
Estudio y Definición de los Requerimientos óptimos para la Esquema de Seguridad.
Previo diseño del Esquema de seguridad a Utilizar
Correcciones del Esquema
Esquema de re direccionamiento de Puertos
Pruebas de Firewall Open Source
Prueba de Servidor para Firewall
Definir equipos a utilizar para la seguridad del proyecto.
Adquisición de equipo para el servidor Frontera
Adquisición de equipos de seguridad para las aéreas que se manejan en el proyecto
Diseño del Esquema de Seguridad.
Planteamiento del esquema
41
Paso 1. Establecer la política de seguridad
Paso 2. Proteja sus equipos de escritorio y portátiles
Paso 3. Proteja su red
Paso 4. Proteja sus servidores
Paso 5. Mantenga sus datos a salvo
Paso 6. Proteja sus aplicaciones y recursos
Paso 7. Gestión de las Actualizaciones
Paso 8. Proteja sus dispositivos móviles
Paso 9. Protección de datos de carácter personal
Para más detalle revisar el anexo 1
Creación de Usuarios y Claves
Análisis de las Políticas de Seguridad
Distribución de Claves a Lideres
Spring 2
Reunión de planificación
Instalación y Prueba de Sistema Firewall.
Prueba de Firewall distribución Linux (Centos,Suse,Endian, IPcop,ClearOS)
Instalación de Router y configuración
Configuración de Red wifi
Spring 3
Reunión de planificación
Implementación del Servicio de Firewall en el área de Desarrollo
Instalación de Endian
Configuración de Redes para cada área o zona
Levantamiento de la DMZ
Reglas de Ruteo para servidores
Configuración de Usuarios
Claves de Conexión para los Servidores
Para más detalles revisar el anexo 2
Implementación de políticas de seguridad en Servidores del ambiente Cloud
42
Reglas de Conexión
Re direccionamiento de Puertos (firewall)
Levantamiento de Proxy
Reglas de acceso y bloqueos
Aprovisionamiento de hardware usando computadores portátiles y equipos de comunicación para el ambiente de desarrollo.
Reunión semanal de cumplimiento de tareas
Spring 4
Reunión de planificación
Configuración de seguridades de la red en el ambiente de desarrollo
Configuración de usuarios para acceso a los servidores
Reglas de ruteo para los servidores de Desarrollo
Bloque de salida hacia la WAN
Configuración de seguridades de la red en el ambiente de Producción
Configuración de usuarios para acceso a los servidores
Reglas de ruteo para los servidores de Desarrollo
Bloque de salida hacia la WAN
Reunión semanal de cumplimiento de tareas
Spring 5
Reunión de planificación
Monitoreo y soporte de equipos y servicios de seguridad
Monitoreo de redes y uso de ancho de banda
Consumo de recursos y bloqueos de equipos infiltrados en la red
Backup de servidores
Respaldo de los servidores Virtuales Desarrollo
Respaldo de los servidores Virtuales Producción
Monitoreo de Red (firewall Endian)
Reunión de cumplimiento de tareas
43
Entregables del proyecto
Para este proyecto se entregara en digital el manual de instalación y el
esquema de seguridad.
Criterios De Validación De La Propuesta
En la propuesta que se presentada al PMP y al Área de Infraestructura. Se indica que
la seguridad esta implementada de acuerdo al esquema previo que se presento en
el que se garantiza que se realiza un monitoreo de las redes, políticas que se deben
seguir de acuerdo al proyecto que se está elaborando.
Dentro del esquema de seguridad se les indica que la propuesta para este proyecto
está basada a minimizar el uso inadecuado de los recursos proporcionados, manejar
la información por niveles y tener un respaldo en caso de Desastres.
Gráfico 8 Esquema del Proyecto
Elaboración: Marcos Lescano
Fuente: Marcos Lescano
44
Como Se Configuro El Esquema De Seguridad
1.-EL grupo de trabajo se lo selecciono por los conocimientos que presentaron en
sus hojas de Vida.
2.-Los Equipos se solicitaron de acuerdo al Proyecto.
PC que funcionen como Firewall, Routers, tarjetas de Red.
3.- En caso de que un equipo falle hay una Réplica de aquel.
4.- Los Aplicativos instalados tienen sus respectivas licencias, los que son de uso
gratuitos se verifico que ninguno tengan problemas de incompatibilidad, para que el
departamento de Desarrollo no tenga inconveniente con los demás servidores.
Se crearon los usuarios para cada uno de los servicios que solicitaron con sus
respectivas claves.
5.- La implementación de las Políticas fue realizada a las necesidades que se tiene
Una de las Política es que el recurso proporcionado solo será para efectos del
proyecto, no tendrán que ser para uso personal (Internet, Equipos de Desarrollo y
Producción).
Los equipos de desarrollo estarán habilitados dentro del horario establecidos, el
ambiente de producción estará habilitado las 24 horas.
6.- Las claves proporcionadas estarán bajo la responsabilidad de los Usuarios, no
podrán transmitir las claves a personas que no estén dentro del equipo de trabajo.
Los usuarios no podrán realizar ninguna Instalación de programas sin la supervisión
o la aprobación previa del equipo de Infraestructura, esta instalación se tendrán que
justificar su uso en el proyecto.
7.-En las aéreas de Desarrollo se tendrá un acceso por Mac Address hacia los
Servidores o la Red Local, se tendrá un límite de conexiones por IP (Rango
Especifico).
45
Para el área de Producción se realizará un re direccionamiento de IP e ingreso por
puertos.
Los Scrum Master manejaran las Claves de cada Servidor Asignado tanto para el
área de Desarrollo como el de Producción.
Los pases a producción serán manejados con las personas encargadas de cada área
(PHP-Java-SQL) y el administrador de manejo de versionamiento, en ciertos en caso
un soporte de Infraestructura.
8.- Los Backup de los Equipos (Producción- Desarrollo) se los realizarán los viernes
de cada semana, se verifica que cada Servidor quede funcionando.
Plan De Pruebas
Cuadro 2 Plan De Pruebas
Actividad Escenario de prueba
Resultado esperado
Resultado obtenido
Observaciones
Prueba de ingresos a los servidores
Ingreso a los servidores
Solo los usuarios con Contraseña pueden ingresar
Solo el personal que tiene la contraseña pudo ingresar
OK
Conexión a la Red Tesis
Conexión a la red Tesis
Conexión a la red Tesis
Solo el personal que contenga las credenciales y que estén registrados por mac puedan entrar a la red
OK
Conexión a los Servidores desde la Red Tesis
Conexión hacia los servidores
Haya comunicación entre los usuarios y servidores
Los clientes Autorizados a la red pueden visualizar los servidores
OK
46
Re direccionamiento de Puertos hacia los servidores desde el Firewall
Conexión a los servidores por FTP con claves y usuarios y puerto especifico
Conexión y re direccionamiento de puerto
Conexión por puertos diferentes a los configurados y re direccionados
OK
Prueba de Reglas de Proxy
Bloquear paginas especificas de la Web
No ingresar a paginas que están bloqueadas en el Proxy
No pudieron entrar a paginas que sean de contenido prohibido
OK
Pruebas de Conexión a la red por Mac ,SID
Conexión de otro dispositivo no registrado hacia la Red Tesis
No poder ingresar a la Red
No se Conecto a ninguna Red
OK
Prueba de Conexión hacia el servidor de Producción
Conexión a los servidores por FTP con claves y usuarios y puerto especifico
Conexión y re direccionamiento de puerto
Conexión realizada por login y clave
OK
Prueba de Conexión hacia DMZ desde otra Red
Conexión desde otra red hacia la DMZ
Comprobar conexión hacia los Servidores
Se comprobó que no pueden conectarse desde otra red hacia la DMZ
OK
Elaboración: Marcos Lescano
Fuente: Marcos Lescano
47
CAPÍTULO IV
Criterios de aceptación del producto o Servicio
Como política de aceptación del proyecto se deben cumplir los seis sprint, los mismos
que serán evaluados y revisados por el Scrum Master del grupo de Infraestructura –
Sr. Franklin Mosquera.
Dentro de la aceptación del producto se realizó una encuesta a los usuarios que están
dentro del proyecto para medir su aceptación.
Gráfico 9 Encuesta 1
Elaboración: Marcos Lescano
Fuente: Marcos Lescano
48
Vemos que de las personas que realizaron la encuesta el 100% está conforme con
las políticas implementadas algo que ya es un gran paso dentro de la metodología.
Gráfico 10 Encuesta 2
Elaboración: Marcos Lescano
Fuente: Marcos Lescano
En la segunda pregunta vemos que tenemos un 94% de satisfacción, esto puede
ser que no cumplió con una de las políticas de Seguridad el cual no le permitió
ingresar a la red.
49
Gráfico 11 Encuesta 3
Elaboración: Marcos Lescano
Fuente: Marcos Lescano
En esta pregunta se quiso evaluar la ayuda que se le brindo al equipo de trabajo
del proyecto, vemos que el porcentaje está dividido entre buena y excelente algo
que es aceptable ya que se procedió a ayudar a las personas en los
requerimientos que eran acorde al proyecto más no ajenos a él.
50
Gráfico 12 Encuesta 4
Elaboración: Marcos Lescano
Fuente: Marcos Lescano
En esta pregunta vemos que tenemos un 94% de satisfacción, esto puede ser
que no cumplió con una de las políticas de Seguridad el cual no le permitió
ingresar a la red.
51
Gráfico 13 Encuesta 5
Elaboración: Marcos Lescano
Fuente: Marcos Lescano
Esta pregunta se la realizo con el fin de saber si ellos están consiente de la
información que manejan y ver si alguien más del equipo de trabajo accedía a la
información de sus compañeros.
52
Gráfico 14 Encuesta 6
Elaboración: Marcos Lescano
Fuente: Marcos Lescano
Para medir el funcionamiento del Proxy se procedio ha bloquear ciertas paginas
y el accesos a ciertos usuarios por el uso inadecuado de los recursos, una politica
que se establecio dentro del proyecto.
El margen de respuesta es aceptable ya que basados a la politica esta dentro de
nuestro indice de aceptación.
53
Cuadro 3 Cumplimiento de Proyecto
SPRINT NIVEL DE CUMPLIMENTO
Sprint 0 100%
objetivo del sprint
Sprint 1 100%
objetivo del sprint
Sprint 2 100%
objetivo del sprint
Sprint 3 100%
objetivo del sprint
Sprint 4 100%
objetivo del sprint
Sprint 5 100%
objetivo del sprint
Elaboración: Marcos Lescano
Fuente: Marcos Lescano
54
CONCLUSIONES Con el análisis realizado del S.O como firewall a utilizarse utilizando la metodología
Scrum vimos que Endian fue una de los mejores por su versatilidad y su gran
facilidad de manejo.
A pesar de lo reducido de los recursos de Hardware se logró implementar una
infraestructura tecnológica y seguridad para el ambiente de desarrollo y producción
utilizando un esquema de virtualización y físico para nuestra seguridad que permitió
aprovechar el máximo de los recursos obtenidos.
El esquema que se logró diseñar fue optimizado con el poco recurso que se tenía
pero con una alta calidad en seguridad Informática.
Las políticas de seguridad que se realizó en este estudio fueron una parte
primordial para que los recursos sean utilizados de una manera correcta y
dedicadas al proyecto.
El uso de virtualización e implementación de Seguridades para este tipo proyectos
sirvió para reafirmar los conocimientos teóricos que se tenía sobre este tipo de
herramientas dejando por demás una experiencia muy satisfactoria.
Dentro del estudio sobre la metodología, pudimos realizarlo en el tiempo que se
propuso en cada Sprint logrando el objetivo de ser versátil, eficaz e innovador.
55
RECOMENDACIONES Al ser una implementación que tuvo como único propósito la demostración de la
factibilidad de la metodología SCRUM las características del ambiente de
Seguridad NO puede ser tomada como base la para la implementación del sistema
para ser consumido en un ambiente de producción en cualquiera empresa o
institución con características de alta transaccionalidad.
Para la implementación de un ambiente de Seguridad se deben tener en
consideración los siguientes detalles:
Un Servidor dedicado solo a Firewall
Router mini de Capa 2
Políticas que sean más restrinjan más el acceso
Estimado de usuarios concurrentes al sistema para realizar el
dimensionamiento del hardware a utilizar.
Costo de licencia por Sistema Operativos
Seguir en el estudio con mayor presupuesto y mayores recursos para tener un
ambiente que pueda ser implementado en cualquier Empresa o Institución Educativa.
56
BIBLIOGRAFÍA
Navegapolis. (Enero de 2006). El modelo Scrum. Obtenido de El modelo Scrum: http://www.navegapolis.net/files/s/NST-010_01.pdf
Conceptos de Seguridad (Universidad Nacional Autonoma de Mexico)
http://redyseguridad.fi-
p.unam.mx/proyectos/seguridad/EsquemasSeguridad.php
Conceptos de DMZ (Alvaro Guijarro 2012)
https://alvaroprimoguijarro.files.wordpress.com/2012/01/ud03_sad_alvaropri
moguijarro.pdf
Conceptos de DMZ (Wikipedia)
Zona desmilitarizada (informática) - Wikipedia, la enciclopedia libre
Definición de Seguridad
Definición de seguridad informática - Qué es, Significado y
Concepto http://definicion.de/seguridad-informática/#ixzz3rcjAnyZi
Definición de Proxy (Wikipedia)Proxy - Wikipedia, la enciclopedia libre
Definición de Firewall
Concepto de Firewalls (Muro de fuego) - Monografias.com
57
ANEXOS
58
Anexo 1
Esquema De Seguridad
El esquema propuesto para este proyecto está basado a minimizar el uso
inadecuado de los recursos proporcionados, manejar la información por niveles y
tener un respaldo en caso de Desastres.
Conformar un Grupo de trabajo para la seguridad de nuestro esquema.
Es importante contar con personas que administre la seguridad del
Proyecto, que analicen las políticas que se deberían utilizar e implementar,
basándose en las necesidades que exige la implementación de aquel.
El aporte de ideas que ayuden a minimizar el riesgo de desastres en los
servidores, plagio de información y de instalación de Software maliciosos es
lo primero que se debería realizar.
Contar con Equipos que permitan Establecer una Seguridad Informática
Para establecer una buena seguridad ya sea perimetral o solo por servicios,
es necesario que tengamos equipos que permitan realizarla.
Proteger La Infraestructura
Lo importante de todo proyecto es tener la certeza de que si algún equipo
falle tengamos como remplazarlo. Contar con un respaldo que pueda ser
utilizado sin ningún inconveniente
Instalación de aplicaciones seguras desde su origen.
En este punto debe haber una colaboración entre las aéreas de desarrollo y
seguridad.
Ver que los aplicativos que se vayan a Utilizar o Desarrollar sean seguros,
confiables que mantenga las mayores seguridades evitando que cualquiera
pueda acceder a ellos.
59
Definir e implementar políticas de seguridad
Una vez que tengamos los 4 primeros pasos del esquema (Grupo de
trabajo, Equipos, Protección de Infraestructura, Instalación de aplicaciones)
se debe definir las políticas de cómo utilizar los recursos y la información.
Las políticas de seguridad son implementadas para que los usuarios tengan
conciencia sobre la importancia y sensibilidad de la información que se
maneja
Proteger la Información
La información es lo más delicado que se maneja ya que los datos no
pueden ser alterados por cualquier persona.
La Seguridad Debe Estar Dada En Como La Manejan Y Para Qué.
Esta información no debe ser pública debe ser restringida y seleccionada
por niveles de seguridad.
Si cualquier persona maneja la Data él puede ingresar información errónea,
alterar programas hasta obtener información clasificada.
No todos pueden tener acceso a ella, tampoco se puede dar privilegios sin
responsables.
Restringir Usuarios
Tener un control del ingreso a los equipos, a los aplicativos nos ayuda a
limitar el riesgo de que cualquiera pueda acceder a ellos.
El acceso puede ejecutarse de acuerdo con los niveles de seguridad y los
privilegios creados para los usuarios.
Definir un Plan de Recuperación en Caso de Desastres
Uno de los puntos más importante de todo esquema es el Plan de
Recuperación en Caso de Desastres.
60
Respaldar la información de forma periódica, validar que los sistemas de
contingencia funcionan adecuadamente, que estén actualizados, comprobar
que los procesos y la información se puedan recuperar.
En este punto tendremos la seguridad de que si algo llegase a ocurrir en la
estructura física o lógica podremos solventar el problema.
61
Anexo2
POLÍTICAS DE SEGURIDAD
Artículo 1°.- El presente ordenamiento tiene por objeto estandarizar y contribuir al
desarrollo informático de las diferentes áreas en el proyecto del ESTUDIO DE
FACTIBILIDAD PARA LA PROPUESTA “FRAMEWORK DE TRABAJO PARA
PROYECTOS DE TITULACIÓN APLICANDO LA METODOLOGÍA SCRUM EN LA
INGENIERÍA DE SOFTWARE
Artículo 2°.- Para los efectos de este instrumento se entenderá por:
Comité
Al equipo integrado por los líderes scrum master de cada área convocado para fines específicos como:
Adquisiciones de Hardware y software
Establecimiento de estándares tanto de
Hardware como de software
Establecimiento de la Arquitectura tecnológica de grupo.
Administración de informática
Está integrada por scrum master de cada área, las cuales son responsables de:
Velar por el funcionamiento de la tecnología informática que se utilice en las
diferentes áreas.
Elaborar y efectuar seguimiento del Plan Maestro de Informática
Definir estrategias y objetivos a corto, mediano y largo plazo
Mantener la Arquitectura tecnológica
Controlar la calidad del servicio brindado
Mantener el Inventario actualizado de los recursos informáticos
62
Velar por el cumplimiento de las Políticas y Procedimientos establecidos.
Artículo 3°.- Para los efectos de este documento, se entiende por Políticas en
Informática, al conjunto de reglas obligatorias, que deben observar los responsables
del hardware y software existente, siendo responsabilidad de la Administración de
Informática, vigilar su estricta observancia en el ámbito de su competencia, tomando
las medidas preventivas y correctivas para que se cumplan.
Artículo 4°.- Estas normas inciden en la adquisición y el uso de los Bienes y Servicios
Informáticos, las cuales se deberán de acatar invariablemente, por aquellas
instancias que intervengan directa y/o indirectamente en ello.
Artículo 5°.- La instancia rectora de los sistemas de informática son los scrum master
y el director del Proyecto, y el organismo competente para la aplicación de este
ordenamiento, es el Comité.
Artículo 6°.- Las Políticas aquí contenidas, son de observancia para la adquisición y
uso de bienes y servicios informáticos, cuyo incumplimiento generará que se incurra
en responsabilidad administrativa; sujetándose a lo dispuesto en la sección
Responsabilidades Administrativas de Sistemas.
Artículo 7°.- se deberá contar con un Jefe o responsable, en el que recaiga la
administración de los Bienes y Servicios, que vigilará la correcta aplicación de los
ordenamientos establecidos por el Comité y demás disposiciones aplicables.
63
Anexo 3
Evaluación del sistema operativo para Firewall
Un cortafuego (o firewall) es una herramienta de seguridad informática que permite
especificar bloqueos para ciertos tipos de tráfico y permisos para el flujo de otras
comunicaciones. Así, un cortafuego es un filtro para el tráfico que circula por la red
en la que se encuentra instalado, proporcionando un mecanismo de seguridad fiable
y de garantías.
Por este motivo, el Centro se ha centrado en esta temática y ha seleccionado, de
entre las diversas soluciones existentes en el mercado, las herramientas de
cortafuegos de las distribuciones IPCop, Endian y clearOS. Además, estas tres
herramientas han superado positivamente el informe establecido por la Metodología
de Análisis de Confianza para proyectos de Software Libre.
En cuanto a potencia en la efectuación del filtrado, característica principal de los
cortafuegos en general, todas se encuentran al mismo nivel puesto que están
basadas en IPTables. Sin embargo, de las tres aplicaciones cabe destacar el
cortafuegos de la distribución Endian, en el cual se realiza una clasificación del tráfico
en cinco tipos diferentes, sacando el máximo partido al filtrado pudiendo aplicar las
reglas definidas a un tipo de tráfico muy específico, disminuyendo el riesgo de definir
reglas demasiado generales que puedan bloquear tráfico que debería ser permitido.
Por la facilidad para la inclusión de las reglas de filtrado también puede destacarse
el cortafuego de Endian, ya que se especifican a la perfección los distintos
parámetros que componen cada una de las reglas: origen, destino, servicio y
tipo/configuración. Además, permite establecer reglas para la redirección de puertos.
64
Las otras dos aplicaciones cortafuegos no se quedan muy atrás en cuanto a calidad
de filtrado, aunque Endian es más potente. IPCop clasifica el tráfico según la interfaz
por la que éste circula, resultando en un total de cuatro tipos de interfaces según el
nivel de confianza y tipo de acceso, las cuales no tienen por qué estar todas
presentes en la red. El cortafuego de clearOS clasifica el tráfico en entrada
(estableciendo una DMZ) y salida de la LAN, existiendo el riesgo de definición de
reglas demasiados generales, aunque no existe un gran riesgo para redes de
pequeños negocios, en los que la infraestructura de la red no es nada compleja.
Para finalizar, destacamos los puntos fuertes de cada una de las herramientas:
Endian: fiabilidad, por su clasificación del tráfico y optimización en el consumo
de recursos, por sus bajos requerimientos hardware
IPCop: optimización en el consumo de recursos, por sus bajos requerimientos
hardware.
clearOS: facilidad de configuración, por su sencilla y usable interfaz, así como
su simple división del tráfico.
A continuación, se comparan en tablas las funcionalidades y otros aspectos
destacables de cada una de las herramientas:
65
Cuadro 4 Análisis de S.O (Firewall)
Comparación de S.O (Firewall)
Interfaz y uso de la aplicación IPCop Endian clearOS
Interfaz de la aplicación sencilla SÍ SÍ SÍ
Herramientas de accesibilidad para
personas discapacitadas NO NO NO
Interfaz disponible en varios idiomas SÍ SÍ SÍ
Interfaz disponible en español SÍ SÍ SÍ
Características generales IPCop Endian clearOS
Basado en IPTables SÍ SÍ SÍ
Accesible por interfaz web SÍ SÍ SÍ
Extensión mediante plugins SÍ SÍ SÍ
Desarrollo de plugins SÍ SÍ SÍ
Funcionalidades IPCop Endian clearOS
División del tráfico en categorías (no
sólo entrada y salida) SÍ SÍ NO
Filtrado a nivel de IP SÍ SÍ SÍ
Filtrado a nivel de MAC SÍ SÍ NO
Filtrado para grupos de direcciones SÍ SÍ NO
Filtrado a nivel de aplicación/puerto SÍ SÍ SÍ
Definición de servicios NO SÍ NO
Registro de eventos SÍ SÍ NO
Redirección de puertos NO SÍ NO
66
Configuración de DMZ o zona
desmilitarizada SÍ SÍ SÍ
Identificación exclusiva de WLAN o
LAN inalámbrica SÍ SÍ NO
Denegación de acceso con respuesta
ICMP SÍ SÍ NO
Denegación de acceso "silenciosa" SÍ SÍ SÍ
Requisitos Hardware mínimos IPCop Endian clearOS
CPU 16 MHz 16 MHz 500 MHz
Memoria RAM 64 MB 64 MB 512 MB
Espacio en disco 512 MB 512 MB 1 GB
Elaboración: Marcos Lescano
Fuente: Marcos Lescano
67
Anexo 4
Endian Configuración y Administración
Endian es un firewall de OpenSource básicamente para el control de amenazas en
nuestra red, pero también cuenta con características especiales ya que funciona
como proxy, canales VPN, enrutador, antivirus y filtrado de datos, anti spam entre
otras. Es bastante fácil de administrar y de instalar, con versión gratuita que
podemos adquirir desde la página oficial como ISO de descarga.
En esta entrada configuraremos ENDIAN como firewall para implementar la
seguridad a la siguiente topología:
Direcciones:
LAN 192.168.105.1 /24
GateWay LAN (endian) 192.168.105.1 /24
DMZ 192.168.100.1 /24
GateWay DMZ (endian) 192.168.100.1 /24
WAN 192.168.80.98 /24
GateWay WAN 192.168.80.1
68
Requerimientos:
* Red LAN: servicios privados solo accesibles desde la LAN, debe comunicarse con
la DMZ y con la WAN.
* Red DMZ: servicios públicos accesibles desde la DMZ, LAN y WAN, no debe ver
la LAN.
* Red WAN: Debe acceder a los servicios públicos de la DMZ por el firewall (re
direccionamiento de IP) y no debe ver la LAN.
* Todas las redes deben salir a internet.
Configuración:
La instalación de endian es bastante sencilla una vez pongamos a bootear nuestra
máquina, escogeremos el lenguaje apropiado, que escriba los cambios en el disco
duro, habilitar el servicio de consola por cable serial, agregar una dirección ip por la
que accederemos vía web a la interfaz web de endian, retiramos la ISO de instalación
de la unidad de CD y finalizamos la instalación, una vez hechos estos pasos
empezaremos la configuración.
Instalación Endian
Cuando nos aparezca esta pantalla escogeremos la opción 0 para ingresar a la shell.
69
Una vez allí le diremos login y pondremos la contraseña del root que por defecto
es endian.
Aquí podremos administrar desde la shell de endian con algunos de los comandos
que usualmente usamos en nuestras maquina con SO en Linux.
Desde la maquina Windows, pondremos la dirección IP que le dimos en la instalación,
la pondremos en la barra de direcciones y entraremos a la interfaz web de endian.
Una vez allí le daremos en el botón con las flechas (siguiente).
70
Si queremos hacer un respaldo de nuestro firewall escogemos la opción si en el
siguiente paso, en este caso le diremos que no, y continuamos.
Escogemos la contraseña para nuestro usuario y para el servicio SSH del root y
continuamos.
En endian, las Zonas se definen por colores, por eso es importante leer bien lo que
hacemos ya que allí está todo muy bien definido.
71
En este paso configuraremos el tipo de interfaz para la zona ROJA que es la WAN,
seleccionamos ETHERNET ESTATICO para que nuestra dirección sea estática y le
damos siguiente, donde escogemos el color para nuestra zona DMZ que
como allí dice NARANJA para DMZ o AZUL para WI FI.
Aquí configuraremos la zona VERDE que será la LAN, le pondremos
una dirección ip, la que nosotros destinemos a la LAN, la máscara
y seleccionamos la opción verde en la tabla de abajo para confirmar el Mac el vínculo
y la interfaz en este caso eth0.
En la misma página configuraremos la zona NARANJA que será la DMZ, le
pondremos una dirección ip estática y su respectiva mascara que asignamos en una
previa planeación para la DMZ y seleccionamos la opción naranja en la tabla, si
queremos cambiamos el nombre del equipo y del dominio y continuamos.
En el siguiente paso configuraremos la dirección estática para nuestra WAN, como
sabremos que ip ponerle en la shell de endian haremos un dhclient a la interfaz por
la que este nuestra WAN en nuestro caso la eth2 y vemos que ip nos entrega.
72
Agregaremos la ip que obtuvimos con la máscara, seleccionamos la opción roja o la
última de la tabla, y agregamos el Gateway.
73
Aquí pondremos los servidores DNS que normalmente usamos para salir a internet y
continuamos, donde nos pedirá una dirección de correo electrónico pero esto es
opcional y se puede omitir.
Una vez estemos en el último paso le damos Aceptar, aplicar configuración,
esperamos 20 segundos y nos aparecerá el login.
Entramos con el usuario admin y la contraseña
74
Configuración del NAT
Nos dirigiremos a la opción cortafuegos y allí Reenvió de puertos / NAT y luego Nat
Fuente
Allí en Origen le diremos que es tipo Red/IP y agregaremos la dirección de nuestra
LAN con destino a cualquier destino (0.0.0.0) y le damos crear regla, esto es para
que nuestra LAN tenga acceso a internet, crearemos dos una para la LAN y otra para
la DMZ.
75
Aplicamos las reglas haciendo click en Aplicar
Luego le daremos en Incoming Routed Traffic para denegar el acceso de la WAN a
la LAN.
76
Allí en Origen le diremos que es tipo ROJA (WAN) y en destino tipo Zonas,
seleccionamos la VERDE (LAN) y en la política le diremos DENEGAR y creamos la
regla, esto quiere decir que nuestra WAN no tendrá acceso a la LAN.
Ahora configuraremos las reglas de reenvíos nos dirigiremos a Port forwarding /
Destination NAT Rule Editor.
En tipo buscamos la opción Zona/VPN/Enlace activo y buscamos el enlace activo de
nuestra WAN y lo seleccionamos, le diremos q es para el servidores y en la parte
Mapear a, escogemos tipo IP y ponemos la dirección de la DMZ donde esta nuestro
servicio de Desarrollo y su respectivo puerto, y que tenga acceso desde cualquier
enlace activo y le damos crear regla.
77
Y así quedaran nuestras reglas de reenvió, ahora podemos acceder desde la WAN
a los servicios de la DMZ.
Ahora configuraremos el tráfico entre zonas, nos dirigiremos a Tráfico entre Zonas y
añadiremos una nueva.
Le diremos que de la Zona VERDE a la NARANJA permita cualquier servicio y le
damos crear regla.
78
Luego añadiremos otra, donde le diremos que deniegue todo el tráfico de cualquier
servicio de la Zona NARANJA a la VERDE, ya que este es un requisito principal que
la DMZ no vea a la LAN, pero la LAN si tenga acceso a los servicios de la DMZ.
Configuración De Proxy
Un servidor proxy básicamente lo que hace es filtrar la información que sale de un
host a la red y la redirige al proxy para controlar los sitios o las peticiones que realiza,
ya sea por motivos de seguridad, autenticación, anonimato, re direccionamiento entre
otros.
En esta práctica volveremos a trabajar con endian, sobre las reglas de firewall
publicadas en entradas anteriores, donde está documentada la instalación y la
configuración (http://donjuanblogo.blogspot.com/2012/05/endian-firewall-
configuracion-y.html) aunque estas reglas no son necesarias, crearemos nuestro
proxy por autenticación de usuarios y restringiremos algunos sitios por usuarios.
Comenzamos eligiendo la opción Proxy en la barra superior del endian, allí
ingresaremos a configuración y damos click sobre el botón Habilitar Proxy HTTP.
79
Aquí lo pondremos en modo transparente si deseamos que el proxy este por defecto
en el sistema, o No trasparente si queremos agregar el proxy manualmente en cada
browser, elegimos el puerto por el que queremos que corra nuestro proxy, el idioma
para el despliegue de error, un nombre cualquiera, una dirección de correo
cualquiera, y elegimos los tamaños de descarga y de subida de archivos.
80
Aquí veremos los puertos que tenemos permitidos.
Aquí habilitaremos el registro, los términos de consulta de registro, el registro de filtro
de contenido, y el registro por usuarios.
Aquí agregaremos un sitio para que no quede registrado en la cache, es opcional.
81
Y aplicamos las reglas una vez guardadas.
Ahora realizaremos las restricciones por usuario, ingresamos a Contenfilter donde
crearemos un perfil para definir la autenticación.
Le damos crear perfil, o si ya tenemos uno lo editamos.
82
Cuando le damos crear nos despliega unas ventanas donde configuraremos las
políticas de perfil, en esta configuraremos el nombre, y tenemos otras siguientes a
esta donde podemos restringir por palabras o por contenidos.
La que nos importa a nosotros será esta de listas negras y blancas personalizadas,
donde pondremos en la parte que dice Bloquear los siguientes sitios, agregaremos
allí los sitios a bloquear en nuestro caso youtube, Hotmail y Facebook.
Le damos crear perfil y aplicamos las reglas.
Ahora nos dirigiremos a Autenticación, y le damos en administrar usuarios, para crear
los usuarios a los que restringiremos los sitios anteriormente mencionados.
83
Configuración Usuarios
Agregamos el nombre y la contraseña del usuario, y le damos crear usuario.
Ahora crearemos el grupo donde estará nuestro usuario, volvemos a Autenticación y
le damos en administrar grupos.
84
Agregamos el nombre del grupo y seleccionamos los usuarios pertenecientes a este.
Vamos a Política de acceso para definir a quienes le aplicaremos estas.
En autenticación escogemos si queremos que sea por grupo o por usuario o para
cualquiera, en Filtro de perfil buscamos el perfil que creamos anteriormente llamado
reglas, y le damos crear política.
85
O por usuario, le damos user click en Autenticación y seleccionamos el usuario.
Aplicamos la regla y así se termina la configuración.
86
Anexo 5
ARQUITECTURAS DE LAS ÁREAS EN EL PROYECTO
Arquitectura del Área de Desarrollo
La arquitectura general del área de Desarrollo queda de la siguiente forma
Área de Desarrollo
87
Arquitectura del Área de Producción
La arquitectura general del área de producción queda de la siguiente forma
Área de Producción
Elaboración: Marcos Lescano
Fuente: Marcos Lescano