TRABAJO COLABORATIVO Nº 4
PROYECTO DE GRADO (ING. DE SISTEMAS)
PRESENTADO POR:
CHRISTIAN
SEGUNDO ORTEGA
COD. 1085258548
CARLOS
HERNEL ERASO
PAULA
MILENA ANDRADE ORTEGA
CÓD.
37082455
DEISY
ALEXANDRA RODRIGUEZ CHAMORRO
CÓD.
27436348
CARLOS
ARTURO MUÑOZ
Cód.
87027651
GRUPO 201014_27
TUTOR DE CURSO:
JAVIER MEDINA CRUZ
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
PROGRAMA DE INGENIERIA DE SISTEMAS
CEAD PASTO
MAYO DE 2015
ANALISIS DE
SEGURIDAD DE LA INFORMACIÓN DENTRO DE LA
INSTITUCIÓN ANI
- COLOMBIA
Christian
Segundo Ortega
Paula Milena Andrade Ortega
Deisy
Rodríguez, Alexandra Chamorro
Carlos
Eraso
Carlos
muñoz, Arturo Ojeda
Filiación de los autores
Resumen
La necesidad de comunicación: centralización y
divulgación de información asegurando los datos sensibles y satisfaciendo las
ya mencionadas necesidades de comunicación, son un eje fundamental dentro de
cualquier empresa. Para nuestro caso de estudio, se trabajará la empresa
Agencia Nacional de Inteligencia (ANI), la cual, de igual manera que una
empresa de cualquier tipo, recoge datos sensibles y no sensibles, maneja y
gestiona los diferentes niveles de relevancia, determinando controles para
asegurar la privacidad de los datos. Sin embargo, como particularidad y de suma
importancia, tenemos que la empresa es un ente del estado, el cual, por tanto,
es un blanco elegible para grupos al margen de la ley.
El análisis que se presenta a continuación, tiene como
solución la implementación de un sistema de información basado en criptografía
moderna, lo cual representa una solución al problema de seguridad que por el
momento se encuentra latente en la empresa ANI.
Palabras Clave
ANI, Seguridad
de la información, Datos sensibles, Criptografía
Introducción
Como
es de conocimiento general, las bases de datos que hoy en día se manejan por
medio de sistemas de información, guardan una serie de datos conocidos como
información sensible y/o privada, la cual, debe permanecer privada dentro de la
empresa, puesto que en manos equivocadas sería un arma muy poderosa.
Ahora
bien, muchas veces el sistema de información maneja ciertos niveles de
seguridad, que aunque se crean suficientes no lo son, los ataques Hackers de
los que aún se habla en las noticias son un ejemplo acerca de la vulnerabilidad
latente en dichos software.
La
importancia de la seguridad de la información radica entonces, en la privacidad
del usuario final, que de cierta forma, ha confiado en los niveles de seguridad
que ofrece la empresa, que para el caso, es ANI, encargada de procesos que por
su entorno, clasifica a la empresa como un ente elegible para ataques.
Contenido
La criptografía es la técnica que protege documentos y
datos. Funciona a través de la utilización de cifras o códigos para escribir
algo secreto en documentos y datos confidenciales que circulan en redes locales
o en internet. Su utilización es tan antigua como la escritura.
Nos sirve para
implementar programas que nos permitan garantizar el secreto en la comunicación
entre dos entidades (personas u organizaciones, etc.) y asegurar que la
información que se envía es auténtica en doble sentido; que el remitente sea
quien dice ser y por ultimo impedir que el contenido del mensaje enviado sea
modificado en su tránsito.
La
criptografía actualmente se encarga del estudio de los algoritmos, protocolos y
sistemas que se utilizan para dotar de
seguridad a las comunicaciones, a la información y a las entidades que
se comunican. El objetivo de la criptografía es diseñar, implementar,
implantar, y hacer uso de sistemas criptográficos para dotar de alguna forma de
seguridad.
Para
efectos de comprensión del lector, el hacker, es una persona que posee un
conocimiento extenso sobre informática y áreas afines, lo que le permite
infiltrarse y apoderarse de información que se considera privada o sensible.
Tenemos como ejemplo “Los 5 ataques cibernéticos más feroces del 2014”, solo
por mencionar casos conocidos. Con fines de ilustrar al lector, tomemos como
ejemplo a google navegador, y recordemos que el GPS de nuestro celular inteligente
nos permite calcular rutas y tiempos para llegar a nuestros destinos, pero a la
vez, nos sugiere los destinos que nosotros hemos recorrido según el día u hora
del día, esto, gracias a su base de datos en donde se guardan nuestros datos.
Dicha información en las manos equivocadas representa un manual para
encontrarnos en el momento que se decida.
Entonces,
el objetivo que se pretende lograr, es brindar una seguridad mayor a la actual,
en cuanto a la información que se maneja dentro de la empresa y los datos que
hacen parte de la comunicación de las sucursales. Lo anterior solo es posible:
1. Si
se investiga a fondo los procesos administrativos y de comunicación que hacen
parte de las labores dentro de la empresa en cuestión
2. Si
se estable los niveles de seguridad actuales y las falencias que en el momento
se encuentran activas.
3. Si
se diseña, desarrolla e implementa un nuevo sistema de información que elimine
las falencias por medio de tecnologías de punta.
Entonces
y en primera instancia, debemos ubicarnos dentro del contexto en el cual se
llevan a cabo los procesos de la empresa; El sistema de información que maneja
la empresa, lleva aproximadamente más de tres años de funcionamiento, dentro de
los cuales, no se han realizado modificaciones de diseño u operatividad, por
tanto se considera que es un sistema nuevo, quien reemplazo al DAS. Los ataques
a los entes gubernamentales son altos, puesto que representan un buen blanco
tanto de práctica como para lograr extraer información. Ejemplo de esto, el
ataque a la registraduría nacional en
las elecciones del 2010.
Ahora
bien, encontramos entonces una serie de inconvenientes o falencias, entre las
cuales el más significativo es el decadente sistema de información que
actualmente lleva a cabo los procesos dentro de la empresa y que sirve como
software de comunicación y centralización de la información. Hasta aquí
encontramos que el objetivo principal es asegurar la información. Estamos
hablando entonces y como previo a una solución tangible, el diseño e implementación
de una web aplicación, que centralice la información, permita la comunicación
entre sucursales y además incorpore una tecnología de punta que asegure la
privacidad de la información. Dicha tecnología es la criptología asimétrica.
Alternativas de solución
La
criptología asimétrica, es un novedoso tipo de criptografía, lo cual, en
nuestro caso, representa una tecnología que soluciona de manera eficaz el
problema de seguridad de la información y la comunicación, razón por la cual,
se debe implementar en todos los niveles de nuestro sistema de información.
Crear una
solución al aplicar esta herramienta tecnológica, y que una vez implantadas en
la agencia en el área de informática y comunicaciones de la agencia nacional de
inteligencia, protegerá la información que salga y entre al organismo de
inteligencia, para esto es necesario la implantación de programas de cifrado y
descifrado, además de un personal experto en seguridad informática para que
realice de la mejor manera el trabajo.
Propuesta de solución: Las técnicas de cifrado se usan desde la Antigua
Grecia. Es de hecho del griego de donde viene el nombre de la ciencia del
cifrado, la criptografía: krypto
“ocultar” y graphos “escribir”,
es decir escritura oculta. El cifrado
de datos es el proceso por el que una información legible se transforma
mediante un algoritmo (llamado cifra)
en información ilegible, llamada criptograma
o secreto. Esta información
ilegible se puede enviar a un destinatario con muchos menos riesgos de ser
leída por terceras partes. El destinatario puede volver a hacer legible la
información, descifrarla, introduciendo la clave del cifrado.
Esta
técnica se usa en la actualidad para proteger la información, ya que en la red
se corre el peligro de sufrir un ataque que puede descubrir lo que enviamos es
por eso que se protegen las organizaciones cifrando la información,
especialmente en la Agencia Nacional de Inteligencia que es un organismo de
seguridad debe ser muy precavido con sus datos.
La
criptografía es una forma de cifrado o codificación, mediante la cual se
garantiza la seguridad del mensaje o información, puesto que solo aquel que
tenga el código de des encriptación puede entender dicho código. Se basa en
llaves públicas y privadas: conocida como criptografía asimétrica, permite la
comunicación entre el cliente y el servidor, otorgando el acceso mediante
llaves públicas y privadas, de tal manera que el cifrado se hace con la clave
pública, y una decodificación se realiza con la clave privada. Por ejemplo[1]:
Ana redacta un mensaje, Ana cifra el mensaje con la clave pública de David, Ana
envía el mensaje cifrado a David a través de internet, ya sea por correo
electrónico, mensajería instantánea o cualquier otro medio; David recibe el
mensaje cifrado y lo descifra con su clave privada; David ya puede leer el
mensaje original que le mandó Ana.
Por esta razón
utilizamos las mejores normas de seguridad, utilizamos una red cableada y otra
inalámbrica, para la red cableada utilizamos la norma 802.3
(Ethernet), el cifrado WPA2, con el
protocolo AES, cabe anotar que esta red es mucho más segura que la red WIFI,
que también necesitamos utilizar, porque se puede conectar desde un celular, por facilidad y
rapidez tendremos que trabajar con WIFI o IEEE 802.11, también con WPA2 y AES, ya que una red local inalámbrica 802.11 es completamente compatible con todos los
servicios de las redes locales (LAN) de
cable 802.3 (Ethernet). En lo único que se diferencia
una red wifi de una red Ethernet es en cómo se
transmiten las tramas o
paquetes de datos; el resto es idéntico
FASES
Índice esquemático Consideremos los elementos
necesarios para implementar la seguridad informática más concretamente el
cifrado de información, podemos hablar de cuatro fases para lograr nuestro
objetivo.
Fase uno planeación: definimos los objetivos
establecemos los requerimientos de hardware, software y telecomunicaciones, los
roles de los actores que van a manipular los sistemas (funcionarios,
ingenieros),
Fase dos Diseño: examinaremos el diseño de
los programas de cifrado que se utilizaran en el organismo de inteligencia, en
donde cada funcionario se regirá por un plan de definición de la información a
plasmar, los tipos de estrategias que se implementarán, los diferentes
elementos que permitirán al funcionario comunicarse con los demás interesados
(chats, foros, mail) y cualquier tipo de elemento que permita de manera más
óptima la seguridad de la información. De igual forma restringiremos los
permisos de la interface con el fin quesea lo más seguro posible para todos los
seleccionados para manejar esta información.
Fase tres Implementación: en esta fase
realizaremos la instalación de toda la parte tecnológica para el buen
funcionamiento del sistema de seguridad de la información, en el cual se
instalaran los servidores necesarios, bases de datos, sistemas de Backus y
auditoria, acondicionamiento de toda la parte de redes e internet y la
instalación de los programas de cifrado y protocolos de red.
Especificando, utilizaremos
la norma IEEE 802.3 para la comunicación cableada (Ethernet) y para la
comunicación inalámbrica IEEE 802.11 o también llamada WIFI, aunque la
cableada es más segura, la comunicación inalámbrica es muy utilizada, por el
desarrollo de los teléfonos móviles que usan esta herramienta, la técnica de
cifrado que se implantara es WPA2 que es la más segura, en estos momentos. Y
por último también aplicamos el protocolo AES para tener una seguridad extrema
Fase cuatro Pruebas: se evaluara la operatividad de los programas de cifrado, se realiza el
cifrado y descifrado de documentos, para comprobar su funcionamiento y se
realizara ataques para medir el grado de seguridad o vulnerabilidad de nuestro
sistema
Conclusiones
La
criptografía ha sido unos de los métodos más eficientes para salvaguardar la
información, por tanto, utilizar esta tecnología con los avances modernos,
convierten a software que incluya dicha tecnología, en un software capaz de
asegurar la información en todos los niveles posibles.
La
información es el recurso primordial dentro de una empresa, y se debe
salvaguardar de la mejor manera, puesto que los ataques para robar dicha
información son siempre una posibilidad muy alta.
Hoy en día, para vencer el vandalismo
informático nos apoyamos en la criptografía, la cual nos presenta varias formas
o maneras de ocultar la información logrando protegerla de ataques para
apropiarse de ella.
La criptografía se ha convertido en uno de
los mejores métodos para brindar seguridad a la información que se maneja en el
internet evitando ser utilizada por personas sin escrúpulos y de forma
maliciosa.
En las comunicaciones por internet no se
garantiza la confidencialidad y seguridad de la información, es por eso que la
criptografía se convierte en el soporte cibernético para obtener estos beneficios.
Referencias
·
Menezes,
A. J.; van Oorschot, P. C.; Vanstone, S. A. Handbook of applied cryptography.
·
Ejemplo de
criptografía asimétrica, recuperado de Tomado de
http://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica
·
Ataques hacker, Datos disponibles
en: http://www.noticiasrcn.com/nacional-elecciones/registraduria-confirmo-ataque-hacker-durante-elecciones
No hay comentarios:
Publicar un comentario