universidad regional autÓnoma de los...
TRANSCRIPT
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTÍLES
PROGRAMA DE MAESTRÍA EN SISTEMAS DE INFORMACIÓN
GERENCIAL
ARTÍCULO CIENTÍFICO PARA LA OBTENCIÓN DEL GRADO
ACADÉMICO DE MAGISTER EN SISTEMAS DE INFORMACIÓN
GERENCIAL
TEMA:
GESTIÓN DE SEGURIDAD PARA EL MEJORAMIENTO DE LA
USABILIDAD DEL INTERNET EN LA COOPERATIVA TULCÁN
AUTOR: ING. HIGUERA ROSERO JOHNY MAURICIO
TUTORES: DR. ROMERO FERNANDEZ ARIEL JOSE, PHD
ING. SANDOVAL PILLAJO ANA LUCÍA, MG
IBARRA-ECUADOR
2019
APROBACIÓN DE LOS TUTORES DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quienes suscriben, legalmente CERTIFICAMOS QUE: El presente Trabajo de
Titulación realizado por el Ing. Higuera Rosero Johny Mauricio estudiante del
programa de Maestría en Sistemas de Información Gerencial, Facultad de Sistemas
Mercantiles, con el tema “GESTIÓN DE SEGURIDAD PARA EL
MEJORAMIENTO DE LA USABILIDAD DEL INTERNET EN LA
COOPERATIVA TULCÁN”, ha sido prolijamente revisado, y cumple con todos los
requisitos establecidos en la normativa pertinente de la Universidad Regional Autónoma
de Los Andes -UNIANDES-, por lo que aprobamos su presentación.
Ibarra, junio del 2019
_______________________________ _______________________________
Dr. Romero Fernández Ariel, Ph.D Ing. Sandoval Pillajo Ana Lucía, Mg
TUTOR TUTORA
DECLARACIÓN DE AUTENTICIDAD
Yo, Ing. Higuera Rosero Johny Mauricio, estudiante del programa de Maestría en
Sistemas de Información Gerencial, Facultad de Sistemas Mercantiles declaro que todos
los resultados obtenidos en el presente trabajo de investigación, previo a la obtención
del Grado Académico de MAGISTER EN SISTEMAS DE INFORMACIÓN
GERENCIAL, son absolutamente originales, auténticos y personales; a excepción de
las citas, por lo que son de mi exclusiva responsabilidad.
Ibarra, junio de 2019
_______________________________
Ing. Higuera Rosero Johny Mauricio
CI: 0401175393
AUTOR
DERECHOS DEL AUTOR
Yo, Ing. Higuera Rosero Johny Mauricio, declaro que conozco y acepto la
disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional
Autónoma de Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de
la UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones,
trabajos científicos o técnicos, proyectos profesionales y consultaría que se realicen en
la Universidad o por cuenta de ella.
Ibarra, junio de 2019
_______________________________
Ing. Higuera Rosero Johny Mauricio
CI: 0401175393
AUTOR
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
Yo, Ing. Díaz Vásquez Rita Azucena, Msc. en calidad de Lectora del Artículo
Científico.
CERTIFICO:
Que el presente trabajo de titulación realizado por el estudiante Ing. Higuera Rosero
Johny Mauricio, sobre el tema: “GESTIÓN DE SEGURIDAD PARA EL
MEJORAMIENTO DE LA USABILIDAD DEL INTERNET EN LA
COOPERATIVA TULCÁN”, ha sido cuidadosamente revisado por el suscrito, por lo
que he podido constatar que cumple con todos los requisitos de fondo y forma
establecidos por la Universidad Regional Autónoma de Los Andes, para esta clase de
trabajos, por lo que autorizo su presentación.
Ibarra, julio de 2019
____________________________
Ing. Díaz Vásquez Rita Azucena, Msc.
LECTORA
DECICATORIA
Dedico este trabajo principalmente a Dios, por ser el inspirador y darme fuerza
necesaria para poder continuar en este proceso de obtener uno de los anhelos más
deseados en mi vida profesional.
A mi esposa Nathy
En el camino encuentras personas que iluminan tu vida, que con su apoyo alcanzas de
mejor manera tus metas, a través de sus consejos, de su amor, y paciencia me ayudo a
concluir esta meta.
A mis hijos Joaquin Alejandro y Andy Mateo
Quienes con su amor y paciencia me han sido la fuente de inspiración fundamental para
poder continuar en el camino del esfuerzo y perseverancia logrando alcanzar el éxito
anhelado, por ello mi amor incondicional para con ellos que han sido seres especiales en
mi vida personal.
A mis padres
El esfuerzo y las metas alcanzadas, refleja la dedicación, el amor que invierten sus
padres en sus hijos. Gracias a mis padres soy quien soy, orgullosamente y con la cara
muy en alto agradezco a Carmen Rosero y Milton Higuera, por su amor, trabajo y
sacrificio en todos estos años, gracias a ellos que han contribuido en este logro
importante en mi vida personal.
A toda mi familia porque con sus oraciones, consejos y palabras de aliento hicieron de
mí una mejor persona y de una u otra forma me acompañan en todos mis sueños y
metas.
AGRADECIMIENTO
Quiero agradecer a todas las personas que hicieron posible esta investigación y que de
alguna manera estuvieron conmigo en los momentos difíciles, alegres, y tristes. Estas
palabras son para ustedes.
A mis padres por todo su amor, comprensión y apoyo pero sobre todo gracias infinitas
por la paciencia que me han tenido. No tengo palabras para agradecerles las incontables
veces que me brindaron su apoyo en todas las decisiones que he tomado a lo largo de mi
vida.
A mi hermosa familia por el cual son el motor principal para poder continuar con mi
superación personal y profesional en mi vida, gracias por ser el apoyo incondicional día
tras día, por todos los consejos brindados.
También un agradecimiento especial a todos los docentes de la Universidad Regional
Autónoma de los Andes “UNIANDES”, por todo los conocimientos impartidos durante
el transcurso de la maestría y que han contribuido de manera personal en las funciones
laborales por el cual me desempeño como profesional.
ÍNDICE GENERAL
Pág.
APROBACIÓN DE LOS TUTORES DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DEL AUTOR
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
DEDICATORIA
AGRADECIMIENTO
ÍNDICE GENERAL
ÍNDICE DE TABLAS
ÍNDICE DE FIGURAS
RESUMEN
ABSTRACT
Tema ................................................................................................................................. 1
Línea de Investigacón ....................................................................................................... 1
Introducción ...................................................................................................................... 1
Materiales y Métodos ........................................................................................................ 2
Resultados ......................................................................................................................... 4
Fase (I) Planeación y Organización .................................................................................. 5
Fase (II) Adquisición e Implementación .......................................................................... 6
Fase (III) Soporte y Servicios ........................................................................................... 8
Fase (IV) Monitoreo ....................................................................................................... 15
Discusión ........................................................................................................................ 17
Conclusiones ................................................................................................................... 19
Referencias Bibliográficas
ÍNDICE DE TABLAS
Pág.
Tabla 1 Funcionarios para aplicación de instrumentos de investigación .......................... 3
Tabla 2 Matriz de usuarios por grupos de trabajo ............................................................ 6
Tabla 3 Principales Categorías de Navegación ................................................................. 7
Tabla 4 Reglas de accesos ................................................................................................ 8
Tabla 5 Perfiles de Usuarios ............................................................................................. 9
Tabla 6 Políticas de Navegación ..................................................................................... 10
Tabla 7 Sitios web no permitidos ................................................................................... 10
Tabla 8 Sitios web permitidos ........................................................................................ 11
Tabla 9 Excepciones a dominios permitidos .................................................................. 12
Tabla 10 Regla para actualización de parches de software ............................................ 13
Tabla 11 Monitoreo de navegación de usuarios por aplicación sin políticas de control 15
Tabla 12 Monitoreo de navegación de usuarios por aplicación con políticas de control 16
ÍNDICE DE FIGURAS
Pág.
Figura 1. Porcentajes de los problemas identificados respecto de la congestión del uso
del internet. ....................................................................................................................... 4
Figura 2. Diseño arquitectura lógica de administración para configuración en firewall . 6
Figura 3. Configuración de Políticas para navegación UTM Sophos............................... 9
Figura 4. Listado de categorías para Política Software Update UTM Sophos ............... 13
Figura 5. Servicio de DHCP UTM Sophos ..................................................................... 14
Figura 6. Segmentación del Canal de Internet UTM Sophos ......................................... 14
Figura 7. Monitoreo Canal de Internet mayo 2019 Firewall UTM Sophos .................... 15
Figura 8. Monitoreo del Canal de Internet UTM Sophos ............................................... 17
RESUMEN
Las instituciones financieras en la actualidad gestionan la operatividad de sus
aplicativos mediante el acceso al internet, en muchos de los casos este servicio se ha
visto afectado en su rendimiento debido a la gran afluencia del uso de plataformas
tecnológicas, generando retrasos en sus procesos operativos; la Cooperativa Tulcán es
una institución dedicada a la prestación de servicios financieros a la sociedad, para el
desempeño de sus operaciones utilizan el internet para ingresar a los aplicativos; la
congestión es uno de los problemas que incide en el desempeño normal de sus
actividades llegando a ser saturado por efectos del acceso sin restricciones, con el
objeto de descongestionar la navegación se implementó una administración basada en
perfiles de usuario, para esto usamos la metodología Cobit5 para el diseño de las
políticas y reglas de accesos obteniendo un mejor control en el uso del servicio, para
recolectar la información sobre la problemática se utilizó los instrumentos de encuestas
y entrevistas aplicadas al personal de la institución; una vez aplicado las
configuraciones de administración en el firewall se obtuvo fluidez del servicio sin
niveles de saturación, llegando a registrar consumo hasta un límite de 4.5mb de un total
de 6mb concluyendo que la aplicación de estas medidas permitió disponer del servicio
del internet de forma estable y fluida.
PALABRAS CLAVE
Políticas de Seguridad, Roles, Usuarios, Tráfico de Internet, Vulnerabilidades,
Seguridad Informática, Usabilidad, Cobit5, Cooperativa de Ahorro y Crédito.
ABSTRACT
Financial institutions nowdays manage the capacity of their applications by accesing
the internet, in many cases this service has been affected in its performance due to the
great predominance of technological platforms, generating delays in the operational
processes; the Tulcán Cooperative it is a dedicated institution that provides a financial
services to society; for the performance of their operations they use the internet for the
application entrance, congestion is one of the issues that Tulcán Cooperative has, this
affects the normal performance of its activities becoming loaded by effects of access
without restrictions; in order to decongest the navigation an administration based on
user profiles was implemented, for this the Cobit5 methodology was used for the design
of policies and access rules getting better control in the navegation, in order to collect
the information about the problem survey instruments and interviews applied to the
staff of the institution were used , once the administration configurations have been
applied in the firewall a service fluid was achieved without saturation levels, reaching a
consumtion levels up to a limit of 4,5 mb out of a total of 6 mb concluding that the
application of these measures allowed to have an internet service in a stable and fastest
way.
KEYWORDS
Security Politics, Roles, Users, Internet Traffic, Vulnerabilities, Informatic Security,
Usability, Cobit5, Cooperative of savings and Credits.
1
TEMA
Gestión de seguridad para el mejoramiento de la usabilidad del internet en la
Cooperativa de Ahorro y Crédito Tulcán.
LÍNEA DE INVESTIGACIÓN
Incidencia de los Sistemas de Información en el Comportamiento Organizacional.
INTRODUCCIÓN
Las instituciones financieras, por el fin que persiguen, están cada vez más expuestas a
ser sujetos de cualquier tipo de amenaza informática más aún cuando se dispone de un
mecanismo de administración seguro causando diferentes problemas relacionados con
la congestión del acceso al internet, afectando a las operaciones diarias que los
funcionarios realizan con el uso de este servicio.(López R. , 2018)
La Cooperativa de Ahorro y Crédito Tulcán Ltda. es una institución financiera que
tiene por objetivo brindar a sus socios y clientes servicios financieros contribuyendo de
esta manera a una mejor calidad de vida y un desarrollo sostenible de los socios y de la
comunidad, en función de ello la institución utiliza una infraestructura tecnológica de
hardware y software con el cual se soportan para el procesamiento de la información de
las operaciones, la mayor parte de las aplicaciones utilizadas son basadas en tecnología
web mediante el uso del Internet, de allí la necesidad que el servicio sea de calidad para
el buen desempeño de sus operaciones diarias. (Ríos, 2018)
En la institución una de las principales causas que ocasionan la degradación del
servicio del Internet corresponde a que no se aplicaron políticas de administración de
usuarios para el acceso a este servicio, además de ello se vinculan ciertos factores tales
como la congestión, la inseguridad que se genera por la navegación y la falta de una
matriz de usuarios que permita crear perfiles de acceso a los sitios o url’s de acceso en
la nube. (Díaz, 2019)
Es importante indicar que la mayor parte de los aplicativos utilizados en la institución
para el procesamiento de las transacciones son diseñados bajo tecnología web siendo el
acceso al internet el modo de conexión para el funcionamiento. (San Miguel, 2015).
2
Al implementar un control efectivo se mejora el acceso de los usuarios a diferentes
servicios que tiene el internet permitiendo a los funcionarios desarrollar sus
operaciones diarias de manera ágil, efectiva permitiendo el normal desempeño de sus
actividades operativas.
En el Ecuador el sector financiero es regulado por los entes de control Nacional
denominados (SEPS), Superintendencia de Economía Popular y Solidaria, bajo normas
y estándares internacionales aplicados a los procesos operativos de las instituciones
financieras en sus diferentes ámbitos de gestión, es por ello que para evaluar el riesgo
tecnológico utilizan algunas metodologías de control entre ellas COBIT5 como un
marco referencial de negocios para la gestión de las tecnologías con el objetivo de
establecer políticas de administración basadas en buenas prácticas (Anastacio, 2016).
Para el buen uso del servicio de internet apoyados en la metodología de evaluación de
riesgos tecnológicos COBIT5 se ha establecido reglas y políticas de administración
basadas en perfiles de accesos a usuarios con la finalidad de distribuir el ancho de
banda y de esta forma mejorar el servicio(Riesgos, 2015).
Por tanto, la congestión del servicio del internet es solucionado a través de una
administración efectiva de políticas de acceso, configuración de contenidos de
navegación, creación de perfiles de usuarios y segmentación del canal contribuyendo
de esta forma al descongestionamiento del servicio. (López A. , Seguridad en internet,
2017).
MATERIALES Y MÉTODOS
El tipo de investigación que se utilizó para el caso de estudio aplicado en la Cooperativa
de Ahorro y Crédito Tulcán, es el enfoque mixto ya que se utilizó por más de un
método para la obtención de resultados combinando con los métodos Cuantitativos y
Cualitativos los mismos que permitieron identificar con mayor precisión la congestión del
servicio del internet (Gómez, 2015).
Al usar la metodología COBIT5 se puede dar cuenta que el monitoreo se ha mejorado
mediante la aplicación de los controles de navegación que permiten que el servicio sea
fluido proporcionando la información de los usuarios quienes hacen uso del internet.
(Armendáriz, 2017).
3
De acuerdo a la metodología COBIT5 basado en el modelo relacional BMIS (Business
Model for Information Security) permitió establecer una administración operativa
principalmente en la configuración de políticas de acceso descongestionando en gran
medida el servicio, minimizando de esta forma el riesgo operativo producido por este
fenómeno, los principales componentes de COBIT5 se basan en las siguientes fases
(Aguilar L. , 2017): Fase (I) Planeación y Organización donde en función de la
información recolectada se diseñó la matriz de usuarios con la finalidad de crear
perfiles de acceso, Fase (II) Adquisición e Implementación donde se aplicó las
configuraciones de acceso y seguridad tomando en cuenta la estructura organizacional
de la institución, Fase (III) Soporte y Servicios donde se configura las políticas de uso
y distribución del ancho de banda del canal del internet. Finalmente, Fase (IV)
Monitoreo con el cual se evidencia como resultado la fluidez de la navegación
disponiendo de estadísticas de consumo que van de 4 y 5 megas respecto del total del
ancho de banda de 6 megas contratadas.
Población
Tabla 1
Funcionarios para aplicación de instrumentos de investigación
Personal Descripción Instrumento Número
Jefe de Riesgos Gestión de Riesgo Operativo Entrevista 1
Supervisor de
Seguridades Lógicas
Administración de Infraestructura
Perimetral
Entrevista 1
Funcionarios Empleados que laboran en la
institución
Encuesta 42
TOTAL 44
Fuente: Funcionarios en la cuales se aplicó las técnicas para la recolección de la información
La población fue seleccionada en función de los usuarios quienes hacen uso del servicio
del internet y quienes realizan la administración y configuración de las políticas de
acceso en el firewall de seguridad perimetral.
Técnicas e Instrumentos
Entrevista: En la investigación se hizo necesario la utilización de una entrevista, la
misma que fue aplicada al Supervisor de Seguridades Lógicas y al Jefe de Riesgos con
el propósito de recabar información técnica respecto de los factores que causan la
congestión del internet como son la falta de controles en el acceso, la no categorización
de los sitios de navegación y la segmentación del ancho de banda del internet.
4
Encuesta: Con el objeto de recolectar información sobre la situación actual de la
Cooperativa de Ahorro y Crédito Tulcán Ltda., respecto del manejo de políticas
preventivas y de administración de accesos a sitios con mayor concurrencia, descargas
de programas, ingreso a dominios de video, calidad del servicio, seguridad de
navegación, tipo de aplicaciones web utilizadas, tiempo de uso del internet se determinó
aplicar la técnica de la encuesta a los funcionarios facilitando de esta forma la
recolección de la información en forma ágil y precisa, permitiendo evidenciar las
vulnerabilidades existentes las mismas que son consideradas como un riesgo operativo
(Saucedo, 2016).
Evaluación In Situ: A través de la evaluación realizada en la Cooperativa de Ahorro y
Crédito Tulcán Ltda., se pudo observar que algunos de los funcionarios no se
encontraban en las actividades operativas, sino más bien se encontraban navegando en
sitios de entretenimiento retrasando las actividades normales laborales incurriendo en la
utilización del ancho de banda degradando el servicio del internet, los resultados
obtenidos fueron utilizados como fuente para la implementación de una administración
efectiva para mejorar el uso mediante la aplicación de políticas y reglas de acceso
basadas en buenas prácticas respecto de la navegación segura, mitigando el riesgo
operativo generado por los usuarios de la institución (López J. , 2017).
RESULTADOS
Factores de congestionamiento en el servicio de Internet
Figura 1. Porcentajes de los problemas identificados respecto de la congestión del uso del
internet.
Para la recolección de la información se aplicó la encuesta con la finalidad de poder
20.45%
40,91%
15.91%
22.73%
9 funcionarios 18 funcionarios 7 funcionarios 10 funcionarios
INSEGURIDAD SATURACIÓN CONTENIDO WEB ADM.USUARIOS
5
identificar de mejor manera los factores que generan la congestión del internet, los
cuales se categorizó en 4 segmentos (inseguridad de navegación, Saturación del
servicio, Contenido Web sin restricciones, no existencia de perfiles de acceso), los
mismos que afectan a la estabilidad del servicio. (Martín, 2015). De acuerdo al análisis
efectuado se pudo determinar que el 20.45% de los encuestados, las estaciones de
trabajo se encontraban con amenazas de virus debido al ingreso a sitios contenedores de
links para descargas de archivos contaminados de virus, por otro lado, el 40.91%
representa a la saturación del servicio debido al acceso abierto a sitios de reproducción
de video, descargas de música mp3, además, el 15.91% constituye a la navegación de
categorías web sin restricciones permitiendo navegar a todos los sitios disponibles en el
internet entre ellos youtube, redes sociales e inclusive realizando descargas de software
generando congestión del servicio, finalmente, el 22.73% corresponde a que no existía
una configuración basada en perfiles de navegación, cuando una administración no se
encuentra basada en usuarios, resulta muy complicado monitorear el consumo del
internet generado por los usuarios.
Es por estas razones la importancia de contar con una administración basada en perfiles
de acceso y para esto nos apoyamos en la metodología COBIT5 de acuerdo a sus fases
de trabajo el cual se describen a continuación:
Fase (I) Planeación y Organización
Se elaboró una planificación basada en buenas prácticas entorno a la navegación segura
las cuales se conforman por las siguientes actividades:
1. Se diseñó la matriz de usuarios tomando en cuenta la estructura organizacional
de la institución.
2. Se estableció los grupos de trabajo por departamentos.
3. Se definió los perfiles de acceso al internet alineados a los grupos de trabajo.
4. Se categorizó el contenido web en función de los perfiles.
5. Se segmentó al ancho de banda del internet con las aplicaciones de mayor uso
por los funcionarios.
6. Se determinó las reglas de navegación de acuerdo a los perfiles de usuario
7. Se estructuró las políticas de control para el acceso al internet
Las actividades fueron configuradas en la infraestructura de seguridad perimetral que
dispone la institución, como es el caso del firewall de la marca UTM Sophos (Christian,
6
2017). El firewall UTM Sophos es un equipo hardware diseñado para brindar seguridad
(Viteri, 2016), el cual incluye algunas funcionalidades las cuales aún no se encontraban
configuradas en el equipo, con la finalidad de dar una solución a la problemática
respecto del uso del internet se utilizó las ventajas que dispone dicho hardware
alineadas a las políticas internas de la institución.
Fase (II) Adquisición e Implementación
En esta fase se implementó la arquitectura lógica relacionada a la administración del
internet, en la figura 2 se observa las etapas de configuración.
Figura 2. Diseño arquitectura lógica de administración para configuración en firewall
Grupos de Trabajo
En la Cooperativa de Ahorro y Crédito Tulcán existen 14 departamentos de trabajo,
como primera estrategia se ha establecido formar grupos de trabajo tomando en cuenta
las diferentes áreas que conforman la institución, los mismos que en este caso particular
son los grupos de trabajo. Esta matriz de usuarios permite definir roles de acceso.
Tabla 2
Matriz de usuarios por grupos de trabajo
Grupos de
Trabajo
Departamento Nro.
Usuarios
Grupos de
Trabajo
Departamento Nro.
Usuarios
Gerencia Gerencia 1 Seguridades Seguridades 1
Subgerencias Subgerencias 3 Proveeduría Proveeduría 1
Tecnología y
Operaciones
Tecnología y
Operaciones 3
Marketing Marketing 1
Talento
Humano
Talento
Humano 2
Jurídico Jurídico 2
Contabilidad Contabilidad 3 Cajas Cajas 8
Auditoría Auditoría 1 Negocios Negocios 8
Riesgos Riesgos 2 Atención al Atención al 8
7
Cliente Cliente
Jefaturas Jefaturas 8
Fuente: Distribución de grupos de usuarios de acuerdo a las áreas de trabajo o departamentos en
la institución.
Filtrado de Contenido Web
La categorización de la navegación es una parte muy fundamental para el uso del
internet debido a que permite segmentar el acceso en categorías de contenido a los
diferentes sitios o dominios posibilitando de esta forma la aplicación de los controles
para evitar el congestionamiento del servicio. Esto garantiza también, en muchos casos,
la protección contra phishing y otras contaminaciones a través de páginas o sitios
evitando de esta forma que los usuarios puedan ingresar a los sitios no permitidos.
Tabla 3
Principales Categorías de Navegación
Categoría Id
Categoría Id
Video Hosting 1 Personal Clouds Apps 9
Online Chat 2 Live Video 1
Social Networking 2 Dowload Freeware 10
Radio & Audio Hosting 1 Business Cloud Apps 11
Web E –Mail 3 Coice & Video Calls 1
Online Shoping 4 Software Update 10
Entertaiment 5 Information Technology 8
Personal Network Storage 6 url negocio institución 12
Cajas 7 Oficiales de Negocio 12
Tecnología 8
Fuente: Listado de categorías web basadas en contenidos de acceso para asignación a usuarios
de acuerdo a perfil de navegación.
En la tabla 3, se evidencia la conformación de un grupo de categorías que tiene mayor
frecuencia de uso al momento de navegar, de esta manera se determinará con mayor
efectividad el acceso al internet delimitado por categorías de interés.
8
Reglas de Accesos
Las reglas de acceso son creadas y configuradas con el fin de priorizar la navegación
mediante las políticas web asignadas a los perfiles de usuarios, permitiendo el acceso o
no a los sitios de interés asegurando de esta forma una navegación fluida acorde a las
necesidades de los usuarios, la configuración de las reglas se realiza desde los perfiles
que tienen mayor accesibilidad a las categorías de navegación minimizando hasta los
perfiles con menor accesibilidad al internet (López R. , 2018).
Tabla 4
Reglas de acceso
Id Regla Nombre Id Categoría
1 Internet_Gerencia 1,2,3,4,5,6,8,9,10
4 Actualizaciones Software 10
5 Skype 1,2
6 Internet_Servidores 12,10
7 Internet_Asistentes TI 1,2,8,10
8 Internet_Jefes 12,2,3,8,10
9 Internet_Cajas 12,10,7
10 Internet_Call - center 12,10
11 Internet_Asistentes Matriz 12,3,10
12 Internet_Asistentes de Negocios 12,3,10,11
13 Internet_Supervisores Operaciones 12,3,10,3
14 Internet_Oficial Atencion Cliente 12,3,10,3,5
15 Internet_Asistentes Contabilidad 12,3,10,9
16 Internet_Asistentes Auditoria 12,3,10,5
17 Internet_Basico 12
Fuente: Configuración de Reglas en plataforma UTM Sophos
Fase (III) Soporte y Servicios
En esta fase se implementó la matriz de usuarios la misma que fue definida en función
de los perfiles de los funcionarios, se aplicó los privilegios de acceso o denegación a los
sitios web mediante las políticas de control para la administración del internet, se
estableció reglas de descargas para la actualización de los parches de seguridad para el
parque informático.
9
Perfiles de Usuarios
Tabla 5
Perfiles de Usuarios
Grupo Usuarios Regla Política Nivel de Bloqueo
Gerencia 1 Navegacion_Asistentes medio
Operaciones 13 Navegacion_Asistentes medio
Tecnología y Operaciones 7 Navegacion_Asistentes medio
Contabilidad 15 Navegacion_Asistentes medio
Auditoría 16 Navegacion_Asistentes medio
Cajas 9 Navegacion_Limitada bajo
Subgerencias 1 Navegacion_Total superior
Jefaturas 8 Navegacion_Administrativos medio-superior
Seguridades 13 Navegacion_Administrativos medio-superior
Jefaturas 8 Navegacion_Administrativos medio-superior
Fuente: Matriz de accesos en función de perfiles de navegación por usuarios
Políticas de Acceso
Se configuró las políticas que permiten establecer las normas que regulen el uso
aceptable del servicio del Internet, personal externo, terceros y/o pasantes autorizados,
tomando en cuenta que es un apoyo a la gestión y desempeño de las funciones y
actividades laborales.
En la figura 3, se encuentra demostrado la configuración de una política de acceso al
internet basado en categorías de navegación y el manejo de listas negras y blancas con
el propósito de delimitar la navegación en función del perfil del usuario (Romero,
2016).
Figura 3. Configuración de Políticas para navegación UTM Sophos
10
Listado de Políticas
Tabla 6
Políticas de Navegación
Nombre Descripción
Actualizaciones Software Política de Actualizaciones de Software por agencia.
Asistentes Matriz Política para los asistentes de la oficina Matriz
Asistentes Negocios Política para los oficiales de crédito
Asistentes TI Política para funcionarios de TI y soporte
Cajas Política para atención de cajeros
Call – Center Política para atención del Call Center
Gerencia y Subgerencias Política para acceso al Gerente y Subgerentes
Jefaturas Política para jefaturas de departamentos
No Online Chat Política para denegación de servicio
No Web Mail Política para denegación de servicio
No web uploads Política para denegación de servicio
Supervisores Operaciones Política para supervisores de Cajas
Fuente: Políticas de navegación en función de departamentos.
De acuerdo a la tabla 6, se realizó la creación de las políticas de navegación las mismas
que son asociadas a las reglas y cortafuegos del firewall de seguridad perimetral con el
fin de gestionar el acceso al internet (Miranda, 2016). Dependiendo del perfil del
usuario y el grupo de trabajo por el cual pertenece se asignó las diferentes políticas de
navegación.
Listas Negras
Son los sitios web no autorizados para la navegación, con esta configuración se logró
delimitar el acceso al internet especialmente para las páginas de categorías de
entretenimiento, compras, redes sociales, educación, aplicaciones de almacenamiento
en la nube entre otras, con el propósito de mejorar el acceso se configuró el listado de
los dominios web agrupados en las listas negras los cuales no pueden ser accedidos por
los usuarios.
Tabla 7
Sitios Web no Permitidos
Lista Negra
Lista Negra
www.spotify.com unir.cloud.panopto.eu
www.facebook.com dialnet.unirioja.es
www.youtube.com gestor.unir.net
www.netflix.com static.uniregistry.com
11
web.whatsapp.com escueladehumanidades.unir.net
fastlane.rubiconproject.com adeventtracker.spotify.com
www.ekosnegocios.com drive.google.com
pagead2.googlesyndication.com
bcsp.babycenter.com
lmsrecursos.unir.net c.amazon-adsystem.com
ecuador.unir.net universidad-online-uees.com
s.unir.net www.uniandesonline.edu.ec
apimg.unir.net
www.uniandes.edu.ec
unir.adobeconnect.com uniandes.edu.ec
Fuente: Sitios web no permitidos al cual no tendrán acceso los funcionarios
En la tabla 7, se encuentra configurado en la plataforma UTM Sophos el listado de los
dominios no permitidos para la navegación en el internet, es importante indicar que la
restricción se encuentra habilitada para todos los usuarios a excepción de los usuarios
con perfil de gerencia.
Listas Blancas
Son aquellos dominios por el cual pueden tener acceso los usuarios mediante el uso del
internet, generalmente son sitios institucionales los mismos que son de uso laboral para
el desempeño de sus operaciones, también se incluyen páginas de descargas de plugins
como adobe y ciertos aplicativos de Windows.
Tabla 8
Sitios web Permitidos
Lista Blanca Lista Blanca
www.camredvirtual.ec docs.google.com
www.aciamericas.coop www.sifisoft.com
www.fesaecuador.com.ec enlinea.cooptulcan.coop
www.avianca.com autodiscover.aon.com
www.cooptulcan.coop aon.com
www.coonecta.com.ec www.adobe.com
www.cooptulcan.com ctldl.windowsupdate.com
www.registrocivil.gob.ec avantcloud.cloud
www.databook-premium.com.ec www.bancodelaustro.com
www.rfd.org.ec educate.cosede.gob.ec
Fuente: Dominios permitidos a los cuales tendrán acceso los funcionarios de la institución
En la tabla 8, se puede visualizar el listado de los dominios permitidos que tienen
acceso los funcionarios de la institución.
12
Excepciones de Navegación
Son dominios permiten realizar la navegación a sitios por el cual son de uso para todos
los usuarios de la institución, esta funcionalidad del firewall es muy importante debido
a que también pueden ser utilizadas para la descarga de las actualizaciones de parches
de seguridad y plugins del sistema operativo de las estaciones de trabajo que
conjuntamente con las reglas de accesos pueden ser manejados para estos fines que son
necesarios para la protección de los equipos informáticos. Las categorías que se asocian
son de páginas o url’s de Microsoft, abobe en sus diferentes productos. En la tabla 9 se
puede observar el listado de excepciones que se configuro con el fin de gestionar la
navegación a los sitios antes mencionados.
Tabla 9
Excepciones a dominios permitidos
Excepciones Descripción
Descargas de Actualizaciones
Business Networking
Information Technology
Software Updates
Exclusión Adobe Flash
admdownload.adobe.com
dlmping3.adobe.com
fonts.adobe.com
fpdownload.adobe.com
get.adobe.com
Exclusión Adobe Flash y Office
adobe.com
microsoft.com
office.com
Fuente: Sitios con exclusión de políticas de acceso para navegación en internet
Actualizaciones de Software
La seguridad en el parque informático es una de las principales necesidades que tiene la
institución para que la infraestructura tecnológica no sea vulnerable ante las amenazas
de virus expuestas en el internet, en función de esta necesidad se configuró las reglas de
acceso que permiten la actualización del software informático en relación a los parches
de seguridad del sistema operativo los mismos que se encuentran parametrizados en
función de horarios de descargas con la finalidad de no degradar el servicio durante la
operatividad de las labores diarias que ejecuta el personal de la institución.
13
Tabla 10
Regla para actualización de parches de software
Regla Descripción
RegAct QS Actualización Software, Quito Sur
RegAct QC Actualización Software, Quito Centro
RegAct IB Actualización Software, Quito Ibarra
RegAct EA Actualización Software, Quito El Angel
RegAct SG Actualización Software, Quito San Gabriel
RegAct HA Actualización Software, Quito Huaca
RegAct JA Actualización Software, Julio Andrade
RegAct MA Actualización Software, Quito Matriz
Reg ActMA Actualización Software, Quito Tulcán
Fuente: Regla de acceso para descargas de software update UTM Sophos
En la tabla 10, se encuentran configuradas las reglas de actualización de software a
nivel de las agencias operativas de la Cooperativa de Ahorro y Crédito Tulcán las
mismas que entran en ejecución a partir de las 18:00 pm debido a que el personal de la
institución ya no se encuentra laborando.
Política de actualizaciones
En la figura 4, se muestra la configuración de una política de actualización de software
donde se encuentra parametrizada con todas las categorías de accesos a excepción de
categorías como Video Hosting, Social Networking, Radio & Audio Hosting,
Entertaiment, Games and Gambing, Criminal Activities, Drugs and Controlled y Nudity
and Adult Content.
Figura 4. Listado de categorías para Política Software Update UTM Sophos
14
Servicio de DHCP (Conexiones Inalámbricas)
Con el fin de brindar el acceso al servicio del internet al personal externo de la
institución se ha tomado como estrategia configurar y habilitar la asignación dinámica
de Ip’s DHCP, para esta configuración se tomó como rango de direccionamiento a
partir de la 1921.4.50 hasta la 192.1.4.200 dando un rango de Ip’s de conexión para 50
host, de esta forma se dará el acceso al internet con un perfil de usuarios visitantes
donde la navegación mantiene un nivel de interacción media.
Figura 5. Servicio de DHCP UTM Sophos
En la figura 5, se muestra la configuración del servicio de DHCP para el acceso al
internet del personal externo.
Segmentación de Canal
Figura 6. Segmentación del Canal de Internet UTM Sophos
15
Con el fin de mantener estable el servicio del internet se realizó la configuración de
segmentación del canal en función de aplicaciones utilizadas por el personal de la
institución, es así que una de las aplicaciones que tiene mayor frecuencia de uso es el
Skype (chat y video) el cual es utilizado durante el transcurso del día, por esta razón se
asignó un espacio limitado para el uso exclusivo de esta aplicación con la finalidad de
no afectar el servicio a los usuarios de la institución.
Fase (IV) Monitoreo
En un inicio de la investigación la saturación del internet era muy evidente debido a la
falta de control en los accesos lo que ocasionaba que se encuentre congestionado, en la
figura 7 se evidencia el alto consumo del servicio el mismo que se encontraba por sobre
los límites de uso, tomando en cuenta que el ancho de banda de navegación contratado
es de 6 megabytes.
Figura 7. Monitoreo Canal de Internet mayo 2019 Firewall UTM Sophos
En la tabla 11 se evidencia una muestra de las aplicaciones utilizadas por los
funcionarios de la institución las mismas que saturaban el servicio del internet.
Tabla 11
Monitoreo de navegación de usuarios por aplicación sin políticas de control
Usuario Transferencia Bajada Aplicación Consumo Ipv4
192.1.1.60 200 mb Youtube Alto 192.1.1.60
192.1.8.11 80 mb Facebook Medio 192.1.8.11
192.1.3.21 70 mb Skype Medio 192.1.3.21
192.1.4.55 500 mb Dropbox Alto 192.1.4.55
192.1.9.10 300 mb Netflix Alto 192.1.9.10
192.1.2.18 210 mb Outlook Alto 192.1.2.18
192.1.1.35 70 mb Teamviewer Medio 192.1.1.35
192.1.1.22 80 mb Anydesk Medio 192.1.1.22
Fuente: Aplicaciones de uso del internet UTM Sophos
16
Luego de haber aplicado las políticas de control y con la finalidad de descongestionar el
servicio se obtuvo como resultado un mejor uso adecuado optimizando de manera
significativa la calidad y fluidez del internet ayudando a los funcionarios a desempeñar
sus operaciones de trabajo con más rapidez y agilidad en sus procesos operativos.
Tabla 12
Monitoreo de navegación de usuarios por aplicación con políticas de control
Usuario Transferencia
Bajada Aplicación
Consumo Ipv4
Jcalonina 3.24 kb Gmail Webmail Bajo 192.1.1.66
Ysilva 24.08 kb Http Image Bajo 192.1.1.88
Dhinojosa 101.82 mb Http Resume FileTransfer Medio 192.1.2.20
Mportilla 560.80 kb Jabber Bajo 192.1.3.33
Aauz 7.43 kb MicrosoftTeams Bajo 192.1.1.87
Erosero 21.18 kb Power BI Bajo 192.1.1.144
Mramirez 3.93 kb Rar File Download Bajo 192.1.6.21
Nacosta 4.5 kb Sip Request Bajo 192.1.2.11
Jhiguera 9.7 kb Snmmp Monitor Bajo 192.1.1.160
Jcabrera 27.86 kb Ssh Bajo 192.1.1.118
jmontenegro 2.14 mb Windows Remote Desktop Bajo 192.1.5.20
Fuente: Políticas de accesos distribuidas por categorías de uso UTM Sophos
En la tabla 12, se puede observar el uso del internet basado en una matriz de usuarios
donde podemos identificar los datos de los funcionarios que están haciendo uso del
servicio, adicional de ello podemos visualizar la ip de conexión y el tipo de aplicación
utilizado, esta información es muy importante para el supervisor de seguridades de la
información debido a que de esta forma podrá disponer de un control más efectivo
permitiendo realizar notificaciones a los usuarios quienes se encuentran navegando.
Una vez que se logró implementar la administración del internet en función de perfiles
de acceso, configuración de las reglas y políticas de contenido web tomando como
marco referencial de trabajo la metodología COBIT5 (Vargas, 2015), se pudo obtener
resultados positivos que permitieron mejorar de forma considerable la disponibilidad y
velocidad disponiendo de una fluidez en el acceso al internet.
Canal de Internet fluido
Como resultado final de la aplicación de todas las estrategias de administración del
internet tenemos un importante descongestionamiento del canal gracias a la
segmentación del servicio basado en usuarios, perfiles de acceso y la categorización de
contenido web.
17
Figura 8. Monitoreo del Canal de Internet UTM Sophos
En la figura 8, podemos observar los niveles de consumo los cual se encuentran en
intervalos normales de uso evidenciando que la aplicación de las políticas permitió
mejorar de forma significativa el servicio del internet.
DISCUSIÓN
Al determinar los grupos de trabajo asignando los perfiles de acceso se minimizó el
riesgo operativo, navegación sin controles, de allí que la necesidad radica en
implementar una administración segura que permita dar uso al internet de forma fluida
y estable.
La implementación de políticas de acceso permitió mejorar la navegación del internet,
administrando los accesos de mejor forma obteniendo como resultado una fluidez en el
servicio, esto conllevo a que el uso del Core Financiero utilizado en la institución sea
más eficiente en el procesamiento de las transacciones operativas que se ejecutan en la
Cooperativa Tulcán.
La utilización de las listas blancas y negras ayudó a disponer de un mejor balanceo del
ancho de banda del internet debido a que se configuraron los sitios permitidos y no
permitidos para el acceso a los dominios, también permitió alinear el uso del servicio
que realizan los funcionarios enfocado a la navegación de las páginas relacionadas con
el ámbito laboral de la institución
Con la aplicación de la metodología COBIT5 se mejorará administración de los accesos
al internet estabilizando el servicio, además de ello se logró disponer de un monitoreo
efectivo basado en categorías de contenido y accesos por usuario permitiendo visibilizar
de mejor manera el uso del ancho de banda utilizado.
18
Con la finalidad de minimizar el riesgo operativo en función del uso del internet es
importante concientizar a los funcionarios sobre el buen uso mediante charlas dirigidas
en los ámbitos de seguridad cibernética, navegación en la nube y contenido web, por
ello la importancia de crear una cultura de navegación en los funcionarios.
19
CONCLUSIONES
La saturación del servicio del internet es uno de los inconvenientes que la mayor parte
de las empresas tienen en el día a día de sus operaciones, para nuestro caso se logró
mitigar este problema con la implementación de las políticas y controles en el acceso
eliminando los factores que causaban la congestión del servicio tales como descargas
masivas de aplicativos, accesos a plataformas de video, redes sociales, aplicaciones tipo
cloud, permitiendo disponer de esta forma de una administración más efectiva en
función de la organización de los accesos ,perfiles de usuarios y el monitoreo adecuado
del canal del internet.
La segmentación de los perfiles de usuario fue un punto clave porque permitió
categorizar el contenido web de navegación de acuerdo a los grupos de trabajo
prestablecidos, esto ayudo a que el acceso sea delimitado y parametrizado tomando en
cuenta las actividades que ejercen los funcionarios en la institución.
La aplicación de reglas de control para la descarga y actualización de software permitió
descongestionar en gran medida el canal del internet debido a que este factor era una de
las causas principales para que el servicio se sature y se encuentre por sobre los límites
de navegación.
REFERENCIAS BIBLIOGRÁFICAS
Aguilar, L. (2017). Un modelo de Gobierno de Tecnologías de Información como
respuesta al reto contemporáneo en las organizaciones. Perspectiv@ s, , 18.
Anastacio, M. (2016). Análisis de la Seguridad en los Sistemas de e-Gobierno mediante
el Problema SAT. INGE CUC, 75.
Armendáriz, D. (2017). Modelo de gestión de los servicios de tecnología de
información basado en COBIT, ITIL e ISO/IEC 27000. Revista Tecnológica-
ESPOL, 19.
Christian, A. (2017). Soluciones Open Source Para Seguridad Perimetral De Empresas
Pymes Open Source Solutions For Perimeter Safety For Small Businesses.
Revista de congestión del conocimiento, 4.
Clavijo, D. (2015). Políticas de Seguridad Informática. Red de Revistas Científicas de
América Latina y el Caribe, España y Portugal, 88-92.
Díaz, J. (2019). Riesgos y vulnerabilidades de la denegación de servicio distribuidos en
internet de las cosas. evista de Bioética y Derecho, 90.
Gómez, M. (2015). La dicotomía cualitativo-cuantitativo: posibilidades de integración y
diseños mixtos. Revista de EducacióN, 25.
López, A. (2017). Seguridad en internet. PAAKAT, 6-9.
López, J. (2017). Evaluación in situ, una estrategia para la formación de profesores.
REXE, 92.
López, R. (2018). Seguridad en internet. Revista latinoamericana, 6.
Martín, P. (2015). Inseguridad cibernética en América Latina. Líneas de reflexión para
la evaluación de riesgos, 7.
Miranda, J. (2016). Estableciendo controles y perímetro de seguridad. Revista Ibérica
de Sistemas e Tecnologias de Informacion, 12.
Riesgos, A. D. (2015). Análisis de Riesgos. Obtenido de Análisis de Riesgos.:
http://www. madrid.
org/cs/StaticFiles/Emprendedores/Analisis_Riesgos/pages/p
df/metodologia/4AnalisisycuantificaciondelRiesgo (AR) _es. pdf.
Ríos, J. (2018). Comparación de metodologías en aplicaciones web. 3C Tecnología:
glosas de innovación aplicadas a la pyme, 3.
Romero, C. (2016). Determine the operation of a firewall to block avoidance internet
censorship systems based on proxy. Investig. Altoandin, 4-8.
San Miguel, J. (2015). Implantación de aplicaciones web en entorno internet, intranet y
extranet. Ediciones Paraninfo, SA, 1.
Saucedo, A. L. (2016). Guía de ataques, vulnerabilidades, técnicas y herramientas para
aplicaciones web. ReCIBE, 6.
Vargas, M. (2015). Desafíos para asegurar la calidad del servicio de internet
inalámbrico en la Universidad Francisco. Realidad y Reflexión, 108.
Viteri, J. (2016). Análisis y Evaluación del Riesgo de la Información : Caso de Estudio
Universidad Técnica de Babahoyo. Revista Uniandes Episteme, 229.