UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...
109
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES “UNIANDES” FACULTAD DE SISTEMAS MERCANTILES CARRERA DE SISTEMAS PREVIO A LA OBTENCIÓN AL TITULO DE INGENIERO EN SISTEMAS E INFORMÁTICA TEMA: Software de seguridad que permita la confidencialidad de los datos del sistema de gestión y servicios académicos para planteles de educación media (SiViSA) AUTOR Alexis Eduardo Verdesoto Arguello. TUTOR Ing. Franklin W. Montecé Mosquera. 2014
Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
CARRERA DE SISTEMAS
PREVIO A LA OBTENCIÓN AL TITULO DE INGENIERO
EN SISTEMAS E INFORMÁTICA
TEMA:
Software de seguridad que permita la confidencialidad de los
datos del sistema de gestión y servicios académicos para
planteles de educación media (SiViSA)
AUTOR
Alexis Eduardo Verdesoto Arguello.
TUTOR
Ing. Franklin W. Montecé Mosquera.
2014
~ I ~
DECLARACIÓN DE TUTORIA
El suscrito, Lic. Franklin Montecé Mosquera, MSc., Docente de la Universidad
Regional Autónoma de los Andes “UNIANDES” certifica que el Egresado ALEXIS
EDUARDO VERDESOTO ARGUELLO realizó la tesis de grado previo a la
obtención del título de Ingeniero en Sistemas e informática con el tema: “Software
de seguridad que permita la confidencialidad de los datos del sistema de
gestión y servicios académicos para planteles de educación media (SIVISA)”,
Bajo mi dirección, habiendo cumplido con todas las disposiciones reglamentarias
establecidas para el efecto.
Es todo cuanto puedo decir en honor a la verdad, facultando al Interesado hacer
uso de la presente.
Babahoyo, 24 de Octubre del 2014
Atentamente
Lic. Franklin Montecé Mosquera, MSc.
ASESOR DE TESIS
~ II ~
DECLARACIÒN DE AUTORÌA
Yo ALEXIS EDUARDO VERDESOTO ARGUELLO, C.I Nº 1207250356 declaro
que el trabajo aquí descrito es de mi autoría; que no ha sido previamente
presentado para ningún grado o calificación profesional y que he consultado las
referencias bibliográficas que se incluyen en este documento.
La Universidad Regional Autónoma de los Andes “UNIANDES”, puede hacer uso
de los derechos correspondientes a este trabajo, según lo establecido por la Ley de
Propiedad Intelectual, por su Reglamento y por la normatividad institucional
vigente.
Atentamente
ALEXIS EDUARDO VERDESOTO ARGUELLO
~ III ~
DEDICATORIA
Este trabajo es fruto del esfuerzo constante y del continuo anhelo por avanzar hacia
un mejor futuro.
Esta tesis se la dedico a Dios por darme la vida, sabiduría y guiarme por el camino
del bien, darme fuerzas para seguir adelante y no desmayar en la constante lucha
para logar un objetivo.
A mis padres con todo mi amor y cariño quienes hicieron todo en la vida para que
pudiera lograr mis sueños, por motivarme, apoyarme moral, psicológicamente y con
los recursos necesarios para poder llegar a esta instancia de mis estudios, ya que
ellos siempre han estado presentes en los momentos más difíciles de este extenso
camino.
“El éxito en la vida consiste en seguir siempre adelante” Samuel Johnson
Alexis Eduardo Verdesoto Arguello
~ IV ~
AGRADECIMIENTO
Agradezco a Dios ser maravilloso que me dio fuerza para creer y logar lo que
parecía imposible terminar.
A mis padres por haberme dado la vida, quienes con sus sabios consejos y
experiencias han servido de inspiración para llegar alcanzar esta meta y a toda mi
familia por el amor y cariño que supieron otorgarme para mi formación.
A la Universidad Regional Autónoma de los Andes UNIANDES extensión Babahoyo
y a todos los catedráticos que forman parte de esta prestigiosa entidad de
educación superior que de una u otra manera han contribuido con sus
conocimientos en el camino de mi formación profesional.
A mis compañeros y amigos por ser parte de mi vida, por compartir muchos
momentos de felicidad, tristeza y triunfos logrados que jamás se borraran de mi
mente.
Son Muchas las personas que han formado parte de mi vida profesional a las que
me encantaría agradecerles su amistad, consejos, apoyo, ánimo y compañía en
los momentos más difíciles de mi vida. Sin importar en donde estén quiero darles
las gracias por formar parte de este sueño tan anhelado, por todo lo que me han
brindado y por todas sus bendiciones.
Para todos ellos, Muchas gracias y que Dios los bendiga.
Alexis Eduardo Verdesoto Arguello
~ V ~
INDICE GENERAL
DECLARACIÓN DE TUTORIA ........................................................................................... I
DECLARACIÒN DE AUTORÌA .......................................................................................... II
DEDICATORIA ................................................................................................................. III
AGRADECIMIENTO ......................................................................................................... IV
INDICE GENERAL ............................................................................................................ V
RESUMEN EJECUTIVO .................................................................................................. IX
ABSTRACT ....................................................................................................................... X
INTRODUCCIÓN .............................................................................................................. 1
CAPITULO I ...................................................................................................................... 7
MARCO TEORICO ............................................................................................................ 7
1.1 Origen y evolución de la seguridad informática. ........................................... 7
1.2 Análisis de las distintas posiciones teóricas de la seguridad informática. .... 8
Software de seguridad ..................................................................................... 8
Seguridad Informática ...................................................................................... 8
Objetivos de la seguridad informática ............................................................ 10
Servicios de seguridad de la información....................................................... 11
Propiedades que se deben asegurar ............................................................. 12
Técnicas y mecanismos de seguridad ........................................................... 15
~ VI ~
Elementos vulnerables en el sistema informático: hardware, software y datos. ....................................................................................................................... 16
Amenazas ...................................................................................................... 17
Principios de la seguridad lógica .................................................................... 23
Controles de acceso ...................................................................................... 23
Identificación y autentificación ....................................................................... 24
Sistemas basados en algo conocido: contraseña. ......................................... 25
Sistemas basados en algo poseído: token de seguridad o de autenticación . 25
Sistemas de autenticación biométrica. ........................................................... 25
Roles .............................................................................................................. 26
Limitaciones a los servicios ............................................................................ 26
Modalidad de acceso ..................................................................................... 26
¿Qué hace que una contraseña sea segura? ................................................ 28
Estrategias que deben evitarse con respecto a las contraseñas ................... 30
Seguridad En Los Sistemas Informáticos. ..................................................... 31
Tipos De Riesgos ........................................................................................... 32
Medidas De Seguridad................................................................................... 32
La seguridad de las contraseñas se ve afectadas por diversos factores: ...... 33
P H P.............................................................................................................. 34
~ VII ~
¿Qué se puede hacer con Php? .................................................................... 34
Historia. .......................................................................................................... 36
Lenguaje Php Bases de la Sintaxis. ............................................................... 37
Conexiones a Bases de Datos. ...................................................................... 38
Base de datos mysql. ..................................................................................... 38
¿Qué es MySQL? ......................................................................................... 39
Las características principales de MySQL. .................................................... 40
El servidor WAMP .......................................................................................... 41
¿Para qué sirve un Servidor WAMP? ............................................................ 42
1.3 Valoración crítica de los conceptos principales de las distintas posiciones
teóricas de la seguridad informática. ................................................................. 43
1.4 Conclusiones parciales del capítulo. .......................................................... 43
CAPÍTULO II. .................................................................................................................. 45
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA. ....................... 45
2.1 Contexto Institucional. ................................................................................. 45
2.2 Diseño metodológico. .................................................................................. 45
Población y muestra ...................................................................................... 46
Encuesta general aplicada a Rectores, Vicerrectores, Secretarias, Coordinadores DCE ....................................................................................... 47
2.3 Propuesta del investigador. ......................................................................... 56
CASOS DE USO ............................................................................................... 56
DIAGRAMAS DE SECUENCIA ......................................................................... 57
~ VIII ~
MODELO CONCEPTUAL DEL SISTEMA ......................................................... 58
2.4 Conclusiones parciales del capítulo. ........................................................... 66
CAPITULO III .................................................................................................................. 67
VALIDACION DE RESULTADOS DE aplicación. ............................................................ 67
3.1 Procedimiento de aplicación de resultados. ................................................ 67
3.2 Análisis de los resultados finales de la investigación. ................................. 75
3.3 Conclusiones parciales del capítulo. ........................................................... 78
CONCLUSIONES GENERALES. .................................................................................... 79
RECOMENDACIONES. .................................................................................................. 80
BIBLIOGRAFIA
ANEXOS
~ IX ~
RESUMEN EJECUTIVO
Existe una constante preocupación por parte de los creadores de aplicaciones
informáticas, en lo referente a la seguridad y confiabilidad de los datos contenidos
en los mismos. Se considera necesario que cuenten con lineamientos y controles
de seguridad para disminuir este problema y así poder obtener resultados de los
trabajos sin ninguna preocupación.
El objetivo de este proyecto que esta basados en servicios digitales en internet y
consiste en Diseñar el Control de seguridad de acceso al Sistema de gestión y
servicios académicos para planteles de educación media, para lograr su
Confiabilidad y Calidad. Este control de seguridad de accesos estará acompañado
por las herramientas correspondientes para su implementación. Es de suma
importancia en que el sistema que manejara datos de las diferentes instituciones
beneficiadas cuente con control de acceso para la autentificación de usuarios y de
esta manera contribuir a la seguridad de dicha aplicación informática basada en la
web para lograr un trabajo confiable y de calidad.
En conclusión este trabajo consiste Diseñar un Control de seguridad de acceso
para el Sistema de gestión y servicios académicos para planteles de educación
media y de esta manera prestar la correcta confidencialidad y control de acceso a
los datos, los puntos como confidencialidad y acceso son los más importantes de
la seguridad informática aplicada a las necesidades de los usuarios y de las
aplicaciones web. El acceso al sistema y a los datos es algo a considerar ya que
en cualquier tipo de sistemas que maneja diferentes tipos de datos que se podrían
catalogar como confidenciales o privados debe existir control de acceso para los
diferentes usuarios.
~ X ~
ABSTRACT
There is a constant concern for the creators of computer applications, in terms of
safety and reliability of the data contained therein. It is considered necessary to have
guidelines and safeguards to reduce this problem and to obtain results of the work
without any worries.
The objective of this project is based on the Internet and digital services and it
consists on designing the security control to access to the management and
academic services systems for middle school campuses, in order to reach their
reliability and quality. This security access control will be accompanied by the
corresponding tools for implementation. It is critical that the system that will handle
the different data of the benefited institutions, counts with access control for users
authentication and thus contribute to the security of the application based on the
web for a reliable and quality work.
In conclusion this work consists on designing an access security control for a
management and academic services system for middle school campuses and thus
to provide the proper confidentiality and access control data, such as confidentiality
and access points, which are the most important security informatics needs of users
and web applications. Access to the system and data is something to consider as in
any system that handles various types of data that could be classified as confidential
or private, access control must exist for different users.
~ 1 ~
INTRODUCCIÓN
Antecedentes de la investigación.
La Seguridad de la información a través del tiempo ha ido evolucionando, debido a
las potentes amenazas y riesgos existentes en la actualidad, algunas entidades que
utilizan sistemas informáticos aún no han tomado conciencia de lo importante que
es para su funcionamiento el cuidado y la seguridad de la información considerada
como el bien fundamental.
El resguardo de la información es muy importante en el proceso de funcionamiento
de sistemas informáticos. Así mismo para contar con la información de forma
precisa y en el momento que se requiera, es primordial para mantener la agilidad
en el trabajo que se efectúa, además de ser parte importante al momento de realizar
los procesos de manera rápida y segura.
Luego de realizar una revisión en la biblioteca de UNIANDES sobre las Tesis de
Grado presentadas en Ingeniería de Sistemas se encontró el trabajo de la Ingeniera
Lilibeth del Rocío Tapia Villarreal con su tema “La planificación tecnológica y la
gestión modernizadora del municipio del cantón Simón Bolívar” presentada
en el año 2009, establece que un método eficaz para proteger sistemas de
computación es el software de control de acceso. Los paquetes de control de
acceso protegen contra el acceso no autorizado, pues piden del usuario una
contraseña antes de permitirle el acceso a información confidencial. Los riesgos en
el control de la información a través de las nuevas plataformas desarrolladas deben
evaluarse siempre, ya que su funcionamiento y seguridad cambiará con la
introducción de nuevas aplicaciones tecnológicas.
Se debe garantizar el acceso permanente de los datos, contar con medidas de
seguridad que permitan afrontar cualquier ataque no previsto y que todos los
usuarios del sistema tengan la certeza de que su trabajo no será afectado por fallas
de los datos o de otros eventos que puedan generar inseguridad.
~ 2 ~
El análisis realizado a la tesis Seguridad en Entornos Web para Sistemas de
Gestión Académica de René Guamán Quinche estudiante de la facultad de
Informática de la Universidad del País Vasco, resalta: ”La sociedad en que vivimos
nos ha enseñado desde que éramos niños unas reglas básicas de protección de
nuestros objetos personales para evitar pérdidas o robos. En cambio nuestra
experiencia con Internet es muy breve y es una realidad que cada vez más
personas necesitaran conocer el manejo de las computadoras así como las
protecciones que día a día se van ofreciendo para garantizarnos la seguridad en el
manejo de la información”, esto plantea la necesidad imperiosa de brindar siempre
al usuario un sistema informático que contemple fiabilidad, integridad y seguridad
de los datos en todas sus operaciones, ya que ese es el punto central en que se
fundamenta el éxito de una herramienta Web.
Planteamiento del problema
La seguridad informática en la actualidad ha adquirido gran demanda, dado a las
cambiantes condiciones y nuevas plataformas de computación disponibles,
situación que converge en la aparición de nuevas amenazas de ataques a los
sistemas informáticos.
A raíz de esto, han surgido muchos problemas relacionados con el uso de
computadoras en las instituciones educativas, existen amenazas informáticas que
afectan negativamente tanto al personal que labora en las instituciones, generando
inconvenientes relacionados con el acceso no controlado a la información del
plantel ya sea por el personal que labora en secretaria como los docentes al
momento de registrar sus diferentes actividades académicas, no se valida ni la
fecha ni la hora de ingreso del usuario, ocasionando en algunos casos la
modificación de la información sin conocer quién realizó los cambios, esto repercute
en el buen desempeño de la institución ya que se debe verificar en los medios
físicos cuales y cuantas fueron las calificaciones o procesos adulterados.
~ 3 ~
Formulación del Problema
¿Cómo disminuir riesgos y amenazas de pérdida de información y evitar ingresos
de personas no autorizadas al sistema de gestión y servicios académicos para
planteles de educación media?
Objeto de estudio y campo de acción.
Objeto de Investigación: Software de Seguridad Informática
Campo de acción: confidencialidad de los datos del sistema de gestión y servicios
académicos.
Línea de Investigación.
La línea de investigación que se utilizó en la realización de este trabajo es el
Desarrollo de Software y Programación de Sistemas.
Objetivos.
Objetivo General.
Desarrollar el software de seguridad que permita la confidencialidad de los datos
del sistema de gestión y servicios académicos para planteles de educación media
(SIVISA).
Objetivos Específicos.
Fundamentar teóricamente las herramientas que garanticen la integridad,
disponibilidad y confidencialidad de la información del sistema de gestión y
servicios académicos para planteles de educación media (SIVISA).
Determinar la herramienta que permita la confidencialidad de los datos del
SIVISA.
Diseñar el software que permita la seguridad de los datos del SIVISA.
Implementar el software de seguridad en el SIVISA.
~ 4 ~
Hipótesis.
La implementación del software de seguridad permitirá disminuir riesgos y
amenazas de pérdida de información y evitar ingresos de personas no autorizadas
al sistema de gestión y servicios académicos para planteles de educación media.
Variables de la investigación
Variable independiente
Software de seguridad
Variable dependiente
Amenazas de pérdida de información, control de ingresos y confidencialidad de los
datos del sistema de gestión y servicios académicos para planteles de educación
media.
Justificación del tema.
La seguridad informática en la actualidad es cada vez más reconocida y su
importancia ha ido en aumento en las empresas privadas como en las instituciones
públicas a nivel mundial, ya que Internet es la principal fuente de acceso de
cualquier tipo de información. Esto ha impulsado que se automaticen muchos
procesos que habitualmente se realizaban de forma manual, lo que ha permitido
que se agiliten los procesos y se simplifique el trabajo de las personas, volviéndose
muy dependientes de los equipos informáticos y por ende del Internet, este acceso
constante a los sistemas y servicios web provocan un descuido del usuario ya que
se accede sin ningún control o restricción desde cualquier punto que tenga acceso
o salida al entorno web, esto se degenera en un problema siendo estos los fraudes
existentes debido a la inseguridad informática.
~ 5 ~
Por los antecedentes antes expuestos se plantea como solución la implementación
de un software de seguridad que permita lograr la confidencialidad de los datos del
sistema de gestión y servicios académicos para los planteles de educación media
de la ciudad de Babahoyo.
Una vez implementada la aplicación se logrará efectuar un mayor control sobre el
acceso a la herramienta, verificando ingreso y salida de la herramienta, control y
monitoreo de usuarios. Con esta aplicación se podrá autenticar la validez de los
códigos de los usuarios, controlando que el usuario administrador será el único que
pueda realizar modificaciones a la herramienta. Cómo efecto positivo se considera
la confidencialidad de la información ingresada y de los datos almacenados en la
aplicación.
Metodología investigativa a emplear.
Esta investigación se enmarca dentro de la modalidad cualitativa – cuantitativa, con
énfasis en lo cualitativo, en virtud que se definen algunas variables que permiten
un conocimiento real de la información que se desea generar para establecer un
control de acceso a los datos de la herramienta Web. Los resultados de los
procesos se miden cuantitativamente a través de las siguientes variables:
necesidad de un sistema de control de acceso al sistema, importancia de la
aplicación para las unidades educativas, entre otros.
A lo largo de la investigación se llevara a cabo la utilización de algunas técnicas de
investigación, como lo es la investigación de campo que consiste en la visita a las
instituciones educativas, los medios para la obtención de datos será la observación
e interrogación dirigida a las personas de las áreas administrativa – operativa,
además de la elaboración de herramientas como cuestionarios y entrevistas y de la
correspondiente investigación bibliográfica, que permite consultar información de:
manuales, informes, libros y revistas.
~ 6 ~
Resumen de la estructura de la tesis.
La presente tesis está estructurada en cuatro secciones perfectamente
diferenciadas que son:
La introducción que recoge aspectos importantes como los antecedentes
investigativos, el planteamiento del problema enfocado a las diferentes
dificultades que se presentan cuando existe inseguridad informática en los
sistemas web, también se presentan los objetivos y la justificación del trabajo.
El marco teórico recoge aspectos relacionados a las diferentes definiciones y
servicios de la seguridad informática y la gestión de la misma, además de los
diferentes mecanismos que minimizan la vulnerabilidad de la información como
recurso fundamental de una organización.
El marco metodológico, que analiza los resultados de la investigación de campo,
en el, se sintetizan las encuestas y sus resultados ratifican los síntomas de la
problemática, así como también orientan a la solución, es por ello que en el mismo
se plasma dicha solución en una propuesta de implementación de un software de
seguridad informática que permitirá disminuir riesgos y amenazas de pérdida de
información y evitar ingresos de personas no autorizadas al sistema de gestión y
servicios académicos para planteles de educación media. La metodología
aplicada es la cuali-cuantitativa ya que se trata de determinar las características
de la problemática y se las ratifica mediante encuestas.
Finalmente el desarrollo y validación de la propuesta donde se estructura el
sistema de control de ingreso de usuarios a la aplicación web, con las
consideraciones establecidas en la introducción y el capítulo I.
Aporte teórico y significación práctica
Es un ente bibliográfico para futuras investigaciones que tengan relación con el
campo de la gestión y servicios de la seguridad informática.
La significación práctica se evidencia en las mejoras de la seguridad de la
información, lográndose a partir de la implementación de la herramienta en las
instituciones educativas, evitando: Pérdidas, mal manejo, daños y alteraciones de
los datos.
~ 7 ~
CAPITULO I
MARCO TEORICO
1.1 Origen y evolución de la seguridad informática.
Desde tiempos inmemorables el hombre ha resguardado y protegido con celo sus
conocimientos debido a la ventaja y poder que éste le producía sobre otros hombres
o sociedades. En la antigüedad surgen las bibliotecas, lugares donde se podía
resguardar la información para trasmitirla y para evitar que otros la obtuvieran,
dando así algunas delas primeras muestras de protección de la información. Sun
Tzuen El arte de la guerra y Nicolás Maquiavelo en El Príncipe señalan la
importancia de la información sobre los adversarios y el cabal conocimiento de sus
propósitos para la toma de decisiones.
Durante la Segunda Guerra Mundial se crean la mayoría de los servicios de
inteligencia del mundo con el fin de obtener información valiosa e influyente,
creándose grandes redes de espionaje. Como forma de protección surge la
contrainteligencia. Con el devenir de los años al incrementarse el alcance de la
tecnología, el cuidado de la información se ha vuelto crucial para los hombres, las
organizaciones y las sociedades.
Pero ¿por dónde empezó este tema? Sin dudas uno de los pioneros en el tema fue
James Peter Anderson, quien allá por 1980 y a pedido de un ente gubernamental
produjo uno de los primeros escritos relacionados con el tema, y es allí donde se
sientan también las bases de palabras que hoy suenan como naturales, pero que
por aquella época parecían ciencia ficción.
El documento de James se llamó: Computer Security Threat Monitoring and
Surveillance, describe ahí la importancia del comportamiento enfocado hacia la
seguridad en materia de informática.1
1 CONTRERAS, Nataly.et al. (2011), Enfoque de la seguridad de la información, Argentina.
~ 8 ~
En ese documento se encuentran las primeras suposiciones de definiciones casi
proféticas:
Amenazas
Riesgos
Vulnerabilidad
Ataque
Penetración2
1.2 Análisis de las distintas posiciones teóricas de la seguridad informática.
Software de seguridad
Un software de seguridad es desarrollado para la protección de un sistema,
debemos tener en cuenta los riesgos que se corren al no poseerlo, los cuales,
suelen ser, virus informáticos, fallas en el sistema y robo de la información o
recursos del mismo. La mayoría de los tipos de software que se suelen desarrollar
analizan cada uno de los elementos que poseemos en nuestro sistema para
detectar y eliminar aquellos que se encuentran dañados y/o resultan una
amenaza para el funcionamiento del mismo.3
Seguridad Informática
Según Jesús Costas Santos (2011), La seguridad informática consiste en asegurar
que los recursos del sistema de información de una organización sean utilizados de
la manera que se decidió y que el acceso a la información allí contenida, así como
su modificación, solo sea posible a las personas que se encuentren acreditadas y
dentro de sus límites de su autorización.
La Seguridad informática en general está teniendo una importancia cada vez
mayor. Los usuarios, particulares y trabajadores de las empresas, deben ser
2 ANDERSON, James P. (1980), Computer Security Threat Monitoring and Surveillance, Washington. 3 http://www.softwareseguridad.com
~ 9 ~
conscientes de que el funcionamiento correcto de sus sistemas depende en gran
medida, de protegerlos como el mayor de sus tesoros.4
Según Álvaro Gómez Vieites (2007), La seguridad informática se puede definir
como cualquier medida que impida la ejecución de operaciones no autorizadas
sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la
información, comprometer su confidencialidad, autenticidad o integridad, disminuir
el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al
sistema.
Es necesario considerar otros aspectos o cuestiones relacionadas cuando se habla
de seguridad informática:
Cumplimiento de las regulaciones legales aplicables a cada sector o tipo de
organización, dependiendo del marco legal de cada país.
Control en el acceso a los servicios ofrecidos y la información guardada por
un sistema informático.
Control en el acceso y utilización de ficheros protegidos por la ley: contenidos
digitales con derechos de autor, ficheros con datos de carácter personal,
etcétera.
Identificación de los autores de la información o de los mensajes.
Registro del uso de los servicios de un sistema informático, etcétera.
Desde un punto de vista más amplio, en la norma ISO/IEC 17799 se define a la
seguridad de la información como la preservación de su confidencialidad, su
integridad y su disponibilidad, tal como se ve en la figura 1.1 (medidas conocidas
por su acrónimo “CIA” en inglés: “Confidentialy, Integrity, Availability”).5
4 COSTAS, Jesús. (2011), Seguridad Informática, Ediciones de la U, 1er ED, España. 5 GOMEZ, Álvaro. (2007), Enciclopedia de la seguridad Informática, Alfaomega – Ra-Ma, 1er ED, México.
~ 10 ~
Figura 1.1: Seguridad de la información según la norma ISO/IEC 17799.
Según el INFOSEC Glossary 2000: “Seguridad Informática son las medidas y
controles que aseguran la confidencialidad, integridad y disponibilidad de los
activos de los sistemas de información incluyendo hardware, software, firmware y
aquella información que procesan, almacén y comunican”.6
Objetivos de la seguridad informática
Entre los principales objetivos de la seguridad informática se puede destacar los
siguientes:
Minimizar y gestionar los riesgos y detectar los posibles problemas y
amenazas a la seguridad.
Garantizar la adecuada utilización de los recursos y de las aplicaciones del
sistema.
Limitar las pérdidas y conseguir la adecuada recuperación del sistema en
caso de un incidente de seguridad.
Cumplir con el marco legal y con los requisitos impuestos por los clientes en
sus contratos.7
6 NSTISSC, (2000), National Information Systems Security (INFOSEC) Glossary, EEUU. 7 GOMEZ, Álvaro. (2007), Enciclopedia de la seguridad Informática, Alfaomega – Ra-Ma, 1er ED, México.
~ 11 ~
Para lograr estos objetivos una organización debe contemplar cuatro planos de
actuación tal como lo muestra la figura 1.28
Figura 1.2: Planos de actuación en la Seguridad Informática.
Servicios de seguridad de la información.
Para alcanzar los objetivos de la seguridad informática es necesario contemplar
una serie de servicios o funciones de seguridad de la información:
Confidencialidad
Datos almacenados en un equipo
Datos guardados en dispositivos de backup
Datos transmitidos
Autenticación
De identidad (usuario o equipo)
Mutua o unilateral
Del origen de los datos
Integridad
Protección a la réplica
8 CEQUEDA, Jean, (2012), Generalidades de la Seguridad Informática. http://seguridadinformaticaufps.wikispaces.com/file/view/U1_Generalidades_SI.pdf
~ 12 ~
Reclamación de origen
Reclamación de propiedad
No repudiación
De origen y/o destino
Confirmación de la prestación de un servicio
Referencia temporal
Autorización (Control de acceso a equipos y servicios)
Auditabilidad o Trazabilidad
Disponibilidad del servicio
Anonimato en el uso de los servicios
Certificación mediante Terceros de Confianza9
Propiedades que se deben asegurar
Todos los componentes de un sistema informático están expuestos a un ataque
(hardware, software y datos) son los datos y la información los sujetos principales
de protección de las técnicas de seguridad. La seguridad informática se dedica
principalmente a proteger la confidencialidad, la integridad y disponibilidad de la
información.
En la actualidad se considera generalmente aceptado que la seguridad de los datos
y la información comprende tres aspectos fundamentales:
Confidencialidad
Integridad
Disponibilidad
Hay que tener en cuenta que tanto las amenazas como los mecanismos para
contrarrestarlas, suelen afectar a estas tres características de forma conjunta. Por
ejemplo, fallos en el sistema que hacen que la información no sea accesible pueden
llevar consigo a una pérdida de integridad.
9 GOMEZ, Álvaro. (2007), Enciclopedia de la seguridad Informática, Alfaomega – Ra-Ma, 1er ED, México.
~ 13 ~
Junto a estos tres aspectos fundamentales se estudian conjuntamente la
autenticación y el no repudio en los sistemas de información. Por lo que suele
referirse al grupo de estas características como CIDAN, nombre sacado de la inicial
de cada característica.
Confidencialidad
Integridad
Disponibilidad
Autentificación
No repudio
Confidencialidad
Según Jesús Costas Santos (2011), se trata de la cualidad que debe poseer un
documento o archivo para que este solo se entienda de manera comprensible o sea
leído por la persona o sistema que esté autorizado. 10
Según Álvaro Gómez Vieites (2007), mediante este servicio o función de seguridad
se garantiza que cada mensaje transmitido o almacenado en un sistema informático
solo podrá ser leído por su legítimo destinatario. Si dicho mensaje cae en manos
de terceras personas, estas no podrán acceder al contenido del mensaje original.
Integridad
Según Álvaro Gómez Vieites (2007), Se encarga de garantizar que un mensaje o
fichero no ha sido modificado desde su creación o durante su transmisión a través
de una red informática. De este modo, es posible detectar si se ha añadido o
eliminado algún dato en un mensaje o fichero almacenado, procesado o transmitido
por un sistema o red informática.11
Según Jesús Costas Santos (2011), es la cualidad que posee un documento o
archivo que no ha sido alterado y que además permite comprobar que no se ha
producido manipulación alguna en el documento original.
10 COSTAS, Jesús. (2011), Seguridad Informática, Ediciones de la U, 1er ED, España. 11 GOMEZ, Álvaro. (2007), Enciclopedia de la seguridad Informática, Alfaomega – Ra-Ma, 1er ED, México.
~ 14 ~
Disponibilidad
Según Jesús Costas Santos (2011), se trata de la capacidad de un servicio, de unos
datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos)
autorizados cuando estos lo requieran.
También se refiere a la seguridad que la información pueda ser recuperada en el
momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque
doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.12
Según Álvaro Gómez Vieites (2011), es una cuestión de especial importancia para
garantizar el cumplimiento de sus objetivos, ya que se debe diseñar un sistema lo
suficientemente robusto frente a ataques e interferencias como para garantizar su
correcto funcionamiento, de manera que pueda estar permanentemente a
disposición de los usuarios que deseen acceder a sus servicios.
Se debe tomar en cuenta que de nada sirve los demás servicios de seguridad si el
sistema informático no se encuentra disponible para que pueda ser utilizado por
sus legítimos usuarios y propietarios.
Autentificación
Según Álvaro Gómez Vieites (2007), garantiza que la identidad del creador de un
mensaje o documento es legítima, es decir, gracias a esta función, el destinatario
de un mensaje podrá estar seguro de que su creador es la persona que figura como
remitente de dicho mensaje. 13
Según Jesús Costas Santos (2011), Aplicado a la verificación de la identidad de un
usuario, la autentificación se produce cuando el usuario puede aportar algún modo
de que se pueda verificar que dicha persona es quien dice ser, a partir de ese
momento se considera un usuario autorizado. La autentificación en los sistemas
12 COSTAS, Jesús. (2011), Seguridad Informática, Ediciones de la U, 1er ED, España. 13 GOMEZ, Álvaro. (2007), Enciclopedia de la seguridad Informática, Alfaomega – Ra-Ma, 1er ED, México.
~ 15 ~
informáticos habitualmente se realiza mediante un usuario o login y una contraseña
o password.
No repudio
Según Jesús Costas Santos (2011), El no repudio o irrenunciabilidad es un servicio
de seguridad estrechamente relacionado con la autentificación y que permite probar
la participación de las partes en una comunicación.14
Según Álvaro Gómez Vieites (2007), este servicio consiste en implementar un
mecanismo probatorio que permita demostrar la autoría y envió de un determinado
mensaje, de tal modo que el usuario que lo ha creado y enviado a través del sistema
no pueda posteriormente negar esta circunstancia, situación que también se aplica
al destinatario del envió.
Técnicas y mecanismos de seguridad
En un sistema informático se puede recurrir a la implementación de distintas
técnicas y mecanismos de seguridad para poder ofrecer los servicios de
seguridad descritos anteriormente:
Identificación de usuarios y política de contraseña.
Control lógico de accesos a los recursos.
Copias de seguridad.
Centros de respaldo.
Encriptación de las transmisiones.
Huella digital de mensajes.
Sellado temporal de mensajes
Utilización de la firma electrónica
Protocolos criptográficos.
Análisis y filtrado del tráfico (cortafuegos).
Servidores proxy
14 COSTAS, Jesús. (2011), Seguridad Informática, Ediciones de la U, 1er ED, España.
~ 16 ~
Sistema de detección de intrusiones (IDS).
Antivirus, etcétera.15
Elementos vulnerables en el sistema informático: hardware, software y datos.
Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia.
Conviene aclarar que no siendo posible la certeza absoluta, el elemento de riesgo
está siempre presente, independientemente de las medidas que tomemos, por lo
que debemos hablar de niveles de seguridad. La seguridad absoluta no es posible
y en adelante entenderemos que la seguridad informática es un conjunto de
técnicas encaminadas a obtener altos niveles de seguridad en los sistemas
informáticos. Además, la seguridad informática precisa de un nivel organizativo, por
lo que diremos que:
Sistema de Seguridad = TECNOLOGÍA + ORGANIZACIÓN
La seguridad es un problema integral: los problemas de seguridad informática no
pueden ser tratados aisladamente ya que la seguridad de todo el sistema es igual
a la de su punto más débil. El uso de sofisticados algoritmos y métodos
criptográficos es inútil si no garantizamos la confidencialidad de las estaciones de
trabajo.
Por otra parte, existe algo que los hackers llaman Ingeniería Social que consiste
simplemente en conseguir mediante engaño que los usuarios autorizados revelen
sus password. Por lo tanto, la educación de los usuarios es fundamental para que
la tecnología de seguridad pueda funcionar. Es evidente que por mucha tecnología
de seguridad que se implante en una organización, si no existe una clara
disposición por parte de los directores de la empresa y una cultura a nivel de
usuarios, no se conseguirán los objetivos perseguidos con la implantación de un
sistema de seguridad.
Los tres elementos principales a proteger en cualquier sistema informático son el
software, el hardware y los datos.
15 GOMEZ, Álvaro. (2007), Enciclopedia de la seguridad Informática, Alfaomega – Ra-Ma, 1er ED, México.
~ 17 ~
Por hardware entendemos el conjunto formado por todos los elementos físicos de
un sistema informático, como CPU, terminales, cableado, medios de
almacenamiento secundario (cintas, CD- ROM, disquetes...) o tarjetas de red.
Por software entendemos el conjunto de programas lógicos que hacen funcionar al
hardware, tanto sistemas operativos como aplicaciones.
Por datos el conjunto de información lógica que manejan el software y el hardware,
como por ejemplo paquetes que circulan por un cable de red o una entrada de base
de datos.
Habitualmente los datos constituyen el principal elemento de los tres a proteger, ya
que es el más amenazado y seguramente el más difícil de recuperar.
Amenazas
Las amenazas a un sistema informático pueden provenir desde un hacker
remoto que entra en nuestro sistema con un troyano, pasando por un
programa descargado gratuito, pero que supone una puerta trasera a
nuestro sistema permitiendo la entrada a espías, hasta la entrada no
deseada al sistema mediante una contraseña de bajo nivel de seguridad.
Se pueden clasificar por tanto en amenazas provocadas por:
1. Personas.
2. Amenazas lógicas.
3. Amenazas físicas.
Elementos que potencialmente pueden amenazar a nuestro sistema.
1. Personas. La mayoría de ataques a nuestro sistema van a provenir
en última instancia de personas que, intencionada o
inintencionadamente, pueden causarnos enormes pérdidas.
Generalmente se tratará de piratas que intentan conseguir el máximo
nivel de privilegio posible aprovechando alguno o algunos de las
amenazas lógicas. Especialmente agujeros del software. Pero con
~ 18 ~
demasiada frecuencia se suele olvidar que los piratas “clásicos” no
son los únicos que amenazan nuestros equipos: es especialmente
preocupante que mientras que hoy en día cualquier administrador
mínimamente preocupado por la seguridad va a conseguir un sis tema
relativamente fiable de una forma lógica permaneciendo atento a
vulnerabilidades de su software, restringiendo servicios, utilizando
cifrado de datos, pocos administradores tienen en cuenta factores
como la ingeniería social, a la hora de diseñar una política de
seguridad.
Describiendo brevemente los diferentes tipos de personas que de una
u otra forma pueden constituir un riesgo para nuestros sistemas;
generalmente se dividen en dos grandes grupos:
Los atacantes pasivos aquellos que fisgonean por el sistema
pero no lo modifican o destruyen.
Los activos aquellos que dañan el objetivo atacado, o lo
modifican en su favor.
1.1 Empleados. Se pasa por alto el hecho de que casi cualquier persona de
la organización, incluso el personal ajeno a la infraestructura informática
(secretariado, personal de seguridad, personal de limpieza y
mantenimiento) puede comprometer la seguridad de los equipos. Aunque
los ataques pueden ser intencionados (en cuyo caso sus efectos son
extremadamente dañinos, recordemos que nadie mejor que el propio
personal de la organización conoce mejor los sistemas y sus
debilidades), lo normal es que más que de ataques se trate de
accidentes causados por un error o por desconocimiento de las normas
básicas de seguridad.
1.2 Ex-empleados. Generalmente, se trata de personas descontentas con
la organización que pueden aprovechar debilidades de un sistema que
conocen perfectamente, pueden insertar troyanos, bombas lógicas, virus
o simplemente conectarse al sistema como si aún trabajaran para la
~ 19 ~
organización (muchas veces se mantienen las cuentas abiertas incluso
meses después de abandonar la universidad o empresa), conseguir el
privilegio necesario, y dañarlo de la forma que deseen, incluso
chantajeando a sus ex-compañeros o ex-jefes.
1.3 Curiosos. Junto con los crackers, los curiosos son los atacantes más
habituales de sistemas. En la mayoría de ocasiones esto se hace
simplemente para leer el correo de un amigo, enterarse de cuánto cobra
un compañero, copiar un trabajo o comprobar que es posible romper la
seguridad de un sistema concreto. Aunque en la mayoría de situaciones
se trata de ataques no destructivos (a excepción del borrado de huellas
para evitar la detección), parece claro que no benefician en absoluto al
entorno de fiabilidad que podamos generar en un determinado sistema.
1.4 Hacker. Es un término general que se ha utilizado históricamente para
describir a un experto en programación. Recientemente, este término se
ha utilizado con frecuencia con un sentido negativo, para describir a una
persona que intenta obtener acceso no autorizado a los recursos de la
red con intención maliciosa, aunque no siempre tiene que ser esa su
finalidad.
1.5 Cracker. Es un término más preciso para describir a una persona que
intenta obtener acceso no autorizado a los recursos de la red con
intención maliciosa.
1.6 Intrusos remunerados. Se trata de piratas con gran experiencia en
problemas de seguridad y un amplio conocimiento del sistema, que son
pagados por una tercera parte generalmente para robar secretos (el
nuevo diseño de un procesador, una base de datos de clientes,
información confidencial sobre las posiciones de satélites espía) o
simplemente para dañar la imagen de la entidad afectada.
~ 20 ~
2. Amenazas lógicas. Bajo la etiqueta de “amenazas lógicas" encontramos
todo tipo de programas que de una forma u otra pueden dañar a nuestro
sistema, creados de forma intencionada para ello (software malicioso,
también conocido como malware) o simplemente por error (bugs o
agujeros).
2.1 Software incorrecto. A los errores de programación se les denomina
bugs, y a los programas utilizados para aprovechar uno de estos fallos y
atacar al sistema, exploits.
2.2 Herramientas de seguridad. Cualquier herramienta de seguridad
representa un arma de doble filo: de la misma forma que un administrador
las utiliza para detectar y solucionar fallos en sus sistemas o en la subred
completa, un potencial intruso las puedo utilizar para detectar esos
mismos fallos y aprovecharlos para atacar los equipos. Herramientas
como NESSUS, SAINT o SATAN pasan de ser útiles a ser peligrosas
cuando las utilizan crackers que buscan información sobre las
vulnerabilidades de un host o de una red completa.
2.3 Puertas traseras. Durante el desarrollo de aplicaciones grandes o de
sistemas operativos es habitual entre los programadores insertar “atajos”
en los sistemas habituales de autenticación del programa o del núcleo
que se está diseñando.
2.4 Bombas lógicas. Las bombas lógicas son partes de código de ciertos
programas que permanecen sin realizar ninguna función hasta que son
activadas; en ese punto, la función que realizan no es la original del
programa, sino que generalmente se trata de una acción perjudicial.
2.5 Canales cubiertos. Los canales cubiertos (o canales ocultos, según
otras traducciones) son canales de comunicación que permiten a un
proceso transferir información de forma que viole la política de seguridad
del sistema; dicho de otra forma, un proceso transmite información a
~ 21 ~
otros (locales o remotos) que no están autorizados a leer dicha
información.
2.6 Virus. Un virus es una secuencia de código que se inserta en un fichero
ejecutable (denominado huésped), de forma que cuando el archivo se
ejecuta, el virus también lo hace, insertándose a sí mismo en otros
programas. Todo el mundo conoce los efectos de los virus en algunos
sistemas operativos de sobremesa como Windows; sin embargo, en
GNU/Linux los virus no suelen ser un problema de seguridad grave.
2.7 Gusanos. Un gusano es un programa capaz de ejecutarse y propagarse
por sí mismo a través de redes, en ocasiones portando virus o
aprovechando bugs de los sistemas a los que conecta para dañarlos. Al
ser difíciles de programar su número no es muy elevado, pero el daño
que pueden causar es muy grande: el mayor incidente de seguridad en
Internet fue precisamente el Internet Worm16, un gusano que en 1988
causó pérdidas millonarias al infectar y detener más de 6.000 máquinas
conectadas a la red.
2.8 Caballos de Troya. Los troyanos o caballos de Troya son instrucciones
escondidas en un programa de forma que éste parezca realizar las tareas
que un usuario espera de él, pero que realmente ejecute funciones
ocultas (generalmente en detrimento de la seguridad) sin el conocimiento
del usuario; como el Caballo de Troya de la mitología griega, al que
deben su nombre, ocultan su función real bajo la apariencia de un
programa inofensivo que a primera vista funciona correctamente.
2.9 Programas conejo o bacterias. se conoce a los programas que no
hacen nada útil, sino que simplemente se dedican a reproducirse hasta
que el número de copias acaba con los recursos del sistema (memoria,
procesador, disco.), produciendo una negación de servicio.
16 GOMEZ Alvaro, “Enciclopedia de Seguridad Informática”, Editorial Alfaomega RA-MA
~ 22 ~
3. Amenazas físicas. Algunas de las amenazas físicas que pueden afectar a
la seguridad y por tanto al funcionamiento de los sistemas son:
Robos, sabotajes, destrucción de sistemas.
Cortes, subidas y bajadas bruscas de suministro eléctrico.
Condiciones atmosféricas adversas. Humedad relativa excesiva o
temperaturas extremas que afecten al comportamiento normal de los
componentes informáticos.
Las catástrofes (naturales o artificiales) son la amenaza menos probable
contra los entornos habituales: simplemente por su ubicación geográfica.
Un subgrupo de las catástrofes es el denominado de riesgos poco
probables. Como ejemplos de catástrofes hablaremos de terremotos,
inundaciones, incendios, humo o atentados de baja magnitud (más
comunes de lo que podamos pensar); obviamente los riesgos poco
probables los trataremos como algo anecdótico.
Para proteger nuestro sistema se debe de realizar un análisis de las amenazas
potenciales que puede sufrir, las pérdidas que podrían generar, y la probabilidad de
su ocurrencia; a partir de este análisis hemos de diseñar una política de seguridad
que defina responsabilidades y reglas a seguir para evitar tales amenazas o
minimizar sus efectos en caso de que se produzcan.
A los mecanismos utilizados para implementar esta política de seguridad se les
denomina mecanismos de seguridad son la parte más visible de nuestro sistema
de seguridad, y se convierten en la herramienta básica para garantizar la protección
de los sistemas o de la propia red.
Las medidas de seguridad pueden ser:
3.1 Activas: que evitan daños en los sistemas informáticos, mediante:
Empleo de contraseñas adecuadas en el acceso a sistemas y
aplicaciones.
Encriptación de los datos en las comunicaciones.
~ 23 ~
Filtrado de conexiones en redes.
El uso de software específico de seguridad informática. Antimalware.
3.2 Pasivas: que minimizan el impacto y los efectos causados por
accidentes, mediante:
Uso de hardware adecuado, protección física, eléctrica y ambiental.
Realización de copias de seguridad, que permitan recuperar los
datos.
Principios de la seguridad lógica
Es importante recalcar que la mayoría de los daños que puede sufrir un sistema
informático no será sobre los medios físicos sino contra información por él
almacenada y procesada.
Así, la seguridad física sólo es una parte del amplio espectro que se debe cubrir
para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado,
el activo más importante que se posee es la información, y por lo tanto deben existir
técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda
la seguridad lógica.
Es decir que la seguridad lógica consiste en la aplicación de barreras y
procedimientos que resguarden el acceso a los datos y sólo se permita acceder a
ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta que todo lo que no esta
está permitido debe estar prohibido y esto es lo que debe asegurar la seguridad
lógica.
Controles de acceso
Estos controles pueden implementarse en el sistema operativo, sobre los
sistemas de aplicación, en bases de datos, en un paquete específico de
seguridad o en cualquier otra aplicación.
~ 24 ~
Constituyen una importante ayuda para proteger al sistema operativo de la
red, al sistema de aplicación y demás software de la ut ilización o
modificaciones no autorizadas; para mantener la integridad de la información
(restringiendo la cantidad de usuarios y procesos con acceso permitido) y
para resguardar la información confidencial de accesos no autorizados.
Asimismo, es conveniente tener en cuenta otras consideraciones referidas a
la seguridad lógica, como por ejemplo las relacionadas al procedimiento que
lleva a cabo para determinar si corresponde un permiso de acceso
(solicitado por un usuario) a un determinado recurso.
Identificación y autentificación
Es la primera línea de defensa para la mayoría de los sistemas computarizados,
permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la
mayor parte de los controles de acceso y para el seguimiento de las actividades de
los usuarios.
Se denomina identificación al momento en que el usuario se da a conocer en el
sistema; y autenticación a la verificación que realiza el sistema sobre esta
identificación.
Existen cuatro tipos de técnicas que permiten realizar la autenticación de la
identidad del usuario, las cuales pueden ser utilizadas individualmente o
combinadas:
Algo que solamente el individuo conoce: por ejemplo una clave secreta de
acceso o password, una clave criptográfica, un número de identificación
personal o PIN, etc.
Algo que la persona posee: por ejemplo una tarjeta magnética.
Algo que el individuo es y que lo identifica unívocamente: por ejemplo las
huellas digitales o la voz.
~ 25 ~
Algo que el individuo es capaz de hacer, por ejemplo los patrones de
escritura.
La seguridad informática se basa, en gran medida, en la efectiva
administración de los permisos de acceso a los recursos informáticos,
basados en la identificación, autenticación y autorización de accesos. 17
Sistemas basados en algo conocido: contraseña.
Las contraseñas crean una seguridad contra los usuarios no autorizados, el sistema
de seguridad solo puede confirmar que la contraseña es válida, y si no el usuario
está autorizado a utilizar esa contraseña. Es la razón por la que normalmente deben
mantenerse en secreto ante aquellos a quien no se le permite el acceso.
Sistemas basados en algo poseído: token de seguridad o de autenticación
El dispositivo puede ser en forma de una tarjeta inteligente o puede estar
incorporando en un objeto utilizado comúnmente, como un llavero.
Existe más de una clase de token de autenticación, están los bien conocidos
generados de contraseñas dinámicas (one time password) y los que comúnmente
se denominan tokens USB, los cuales no solo permiten almacenar contraseñas y
certificados digitales, sino que permiten llevar la identidad digital de la persona.
Los tokens proveen un nivel de seguridad adicional utilizando el método conocido
como autenticación de dos factores.
Sistemas de autenticación biométrica.
Estos sistemas son más amigables para el usuario, no va a necesitar recordar
contraseñas o números de identificación complejos, y como se suele decir, el
usuario puede olvidar una tarjeta de identificación, pero nunca olvidará una parte
de su cuerpo. Son mucho más difíciles de falsificar que una simple contraseña o
una tarjeta magnética.
17 COSTAS, Jesús. (2011), Seguridad Informática, Ediciones de la U, 1er ED, España.
~ 26 ~
Se clasifican:
1. Fisiológicos: huella dactilar, iris, retina, cara, geométrica de la mano, huella
palmar, estructuras de las venas, estructura de la oreja, termografía facial.
2. Conductuales: Voz, escritura, firma manuscrita, modo de teclear, modo de
andar. 18
Roles
El acceso a la información también puede controlarse a través de la función, perfil
o rol del usuario que requiere dicho acceso.
Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto,
gerente de un área usuaria, administrador del sistema, etc. En este caso los
derechos de acceso y políticas de seguridad asociadas pueden agruparse de
acuerdo con el rol de los usuarios.
Limitaciones a los servicios
Estos controles se refieren a las restricciones que dependen de parámetros propios
de la utilización de la aplicación o preestablecidos por el administrador del sistema.
Un ejemplo podría ser que en la organización se disponga de licencias para la
utilización simultánea de un determinado producto de software para cinco personas,
en donde exista un control a nivel sistema que no permita la utilización del producto
a un sexto usuario.
Modalidad de acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la
información. Esta modalidad puede ser:
Lectura: el usuario puede únicamente leer o visualizar la información pero
no puede alterarla. Debe considerarse que la información puede ser copiada
o impresa.
18 ECURED, (2013), Control de Acceso, Cuba. http://www.ecured.cu/index.php/Control_de_acceso
~ 27 ~
Escritura: este tipo de acceso permite agregar datos, modificar o borrar
información.
Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
Borrado: permite al usuario eliminar recursos del sistema (como programas,
campos de datos o archivos). El borrado es considerado una forma de
modificación.
Todas las anteriores.
Administración
Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es
necesario realizar una eficiente administración de estas medidas de seguridad
lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones
sobre los accesos de los usuarios de los sistemas.
La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar
a las decisiones referidas a la determinación de los controles de accesos
especificando las consideraciones necesarias para el establecimiento de perfiles
de usuarios.
La definición de los permisos de acceso requiere determinar cuál será el nivel de
seguridad necesario sobre los datos, por lo que es imprescindible clasificar la
información, determinando el riesgo que produciría una eventual exposición de la
misma a usuarios no autorizados.
Así los diversos niveles de la información requerirán diferentes medidas y niveles
de seguridad.
Para empezar la implementación, es conveniente comenzar definiendo las medidas
de seguridad sobre la información más sensible o las aplicaciones más críticas, y
avanzar de acuerdo a un orden de prioridad descendiente, establecido alrededor
de las aplicaciones.
~ 28 ~
Una vez clasificados los datos, deberán establecerse las medidas de seguridad
para cada uno de los niveles.
Debe existir una concienciación por parte de la administración hacia el personal en
donde se remarque la importancia de la información y las consecuencias posibles
de su pérdida o apropiación de la misma por agentes extraños a la organización.
Identificación
Las contraseñas son las claves que se utilizan para obtener acceso información
personal que se ha almacenado en el equipo y en sus cuentas en línea.
Si algún delincuente o un usuario malintencionado consiguen apoderarse de esa
información, podría utilizar su nombre para cometer delitos informáticos. Por
suerte, no es difícil crear contraseñas seguras y mantenerlas bien protegidas.
¿Qué hace que una contraseña sea segura?19
Para un atacante, una contraseña segura debe parecerse a una cadena aleatoria
de caracteres. Puede conseguir que su contraseña sea segura si guía por los
siguientes criterios:
Que no sea corta. Cada carácter que agrega a su contraseña aumenta
exponencialmente el grado de protección que ésta ofrece. Las contraseña.'
deben contener un mínimo de 8 caracteres; lo ideal es que tenga 1-4
caracteres o más.
Muchos sistemas también admiten el uso de la barra espaciadora para las
contraseñas, de modo que pueden crearse frases compuestas de varias
palabras (una frase codificada). Por lo general, una frase codificada resulta
más fácil de recordar que una contraseña simple, además de ser más larga
y más difícil de adivinar.
19 GOMEZ Alvaro, “Enciclopedia de Seguridad Informática”, Editorial Alfaomega RA-MA
~ 29 ~
Combinar letras, números y símbolos. Cuanto más diversos sean los tipos
de caracteres de la contraseña, más difícil será adivinarla. Entre otros
detalles importantes cabe citar los siguientes:
Cuantos menos tipos de caracteres haya en la contraseña, más larga
deberá ser ésta. Una contraseña de 15 caracteres formada únicamente
por letras y números aleatorios es unas 33.001 veces más segura que
una contraseña de 8 caracteres compuesta de caracteres de todo tipo. Si
la contraseña no puede contener símbolos, deberá ser
considerablemente más larga para conseguir el mismo grado de
protección. Una contraseña ideal combinaría una mayor longitud y
distintos tipos de símbolos.
Utilizar todo tipo de teclas, no limitarse a los caracteres más comunes.
Los símbolos que necesitan que se presione la tecla “Mayús” junto con
un número son muy habituales en las contraseñas. La contraseña será
mucho más segura si se elige entre todos los símbolos del teclado,
incluidos los de puntuación que no aparecen en la fila superior del
teclado, así como los símbolos exclusivos del idioma.
Utilizar palabras y frases que resulten fáciles de recordar, pero que
a otras personas les sea difícil adivinar. La manera más sencilla de
recordar las contraseñas y frases codificadas consiste en anotarlas. Al
contrario que lo que se cree habitualmente, no hay nada malo en anotar
las contraseñas, si bien estas anotaciones deben estar debidamente
protegidas para que resulten seguras y eficaces.
Por lo general, las contraseñas escritas en un trozo de papel suponen un riesgo
menor en Internet que un administrador de contraseñas, un sitio web u otra
herramienta de almacenamiento basada en software.20
20 GOMEZ Alvaro, “Enciclopedia de Seguridad Informática”, Editorial Alfaomega RA-MA
~ 30 ~
Estrategias que deben evitarse con respecto a las contraseñas
Algunos métodos que suelen emplearse para crear contraseñas resultan fáciles de
adivinar para un delincuente. A fin de evitar contraseñas poco seguras, fáciles de
averiguar:
No incluir secuencias ni caracteres repetidos. Cadenas como
“12345678”, “222222”, “abcdefg” o el uso de letras adyacentes en el teclado
no ayudan a crear contraseñas seguras.
Evitar utilizar únicamente sustituciones de letras por números o
símbolos similares. Los delincuentes y otros usuarios malintencionados
que tienen experiencia en descifrar contraseñas no se dejarán engañar
fácilmente por reemplazos de letras por números o símbolos parecidos; por
ejemplo, i por l o a por @, como en “MlcrO$Oft” o en “C0ntr@señ@”. Pero
estas sustituciones pueden ser eficaces cuando se combinan con otras
medidas, como una mayor longitud, errores ortográficos voluntarios o
variaciones entre mayúsculas y minúsculas, que permiten aumentar la
seguridad de las contraseñas.
No utilices el nombre de inicio de sesión. Cualquier parte del nombre,
fecha de nacimiento, número de la seguridad social o datos similares propios
o de tus familiares constituye una mala elección para definir una contraseña.
Son algunas de las primeras claves que probarán los delincuentes.
No utilice palabras de diccionario de ningún idioma. Los delincuentes
emplean herramientas complejas capaces de descifrar rápidamente
contraseñas basadas en palabras de distintos diccionarios, que también
abarcan palabras inversas, errores ortográficos comunes y sustituciones.
Esto incluye todo tipo de blasfemias y cualquier palabra que no diría en
presencia de sus hijos.
Utiliza varias contraseñas para distintos entornos. Si alguno de los
equipos o sistemas en línea que utilizan esta contraseña queda expuesto,
toda la información protegida por esa contraseña también deberá
~ 31 ~
considerarse en peligro. Es muy importante utilizar contraseñas diferentes
para distintos sistemas.
Evita utilizar sistemas de almacenamiento en línea. Si algún usuario
malintencionado encuentra estas contraseñas almacenadas en línea o en un
equipo conectado a una red, tendrá acceso a toda su información.
Opción de “contraseña en blanco”. Una contraseña en blanco (ausencia
de contraseña) en su cuenta es más segura que una contraseña poco
segura, como “1234”. Los delincuentes pueden adivinar fácilmente una
contraseña simple.
Cuidar sus contraseñas y frases codificadas tanto como de la información que
protegen.
No las revele a nadie.
Proteja las contraseñas registradas.
No facilite nunca su contraseña por correo electrónico ni porque se lo pida
por ese medio.
Cambiar sus contraseñas con regularidad.
No escribir contraseñas en equipos que no se controla.21
Seguridad En Los Sistemas Informáticos.
La seguridad es un conjunto de soluciones técnicas, métodos, planes, etc. con el
objetivo de que la información que trata nuestro sistema informático sea protegida.
Lo más importante es establecer un plan de seguridad en el cual se definan las
necesidades y objetivos en cuestiones de seguridad. Es importante re-marcar que
la seguridad supone un coste y que la seguridad absoluta es imposible. Por lo tanto,
hay que definir cuáles son nuestros objetivos y a qué nivel de seguridad se quiere
llegar.
21 COSTAS, Jesús. (2011), Seguridad Informática, Ediciones de la U, 1er ED, España.
~ 32 ~
La seguridad se tiene que planificar haciendo un análisis del coste y su beneficio
(teniendo siempre en cuenta los requisitos de seguridad legalmente establecidos,
que evidentemente hay que cumplir).
Tipos De Riesgos
Si sabemos cuáles son los ataques podremos poner medidas de seguridad para
evitarlos. En este punto se va a enumerar los tipos de ataques más comunes que
puede sufrir un sistema informático.
Virus: es quizá el más conocido de los riesgos, y el que más difusión
mediática ha tenido. Un virus es un software que se propaga por la red y que
cuando "infecta" a un equipo puede producirle daños catastróficos (borrando
la información del disco duro infectado). El objetivo de un virus suele ser la
simple destrucción del equipo infectado. Con la difusión de Internet en los
últimos años los virus se han convertido en una plaga. Los virus pueden
entrar por medio del navegador, del correo electrónico, en fichero bajados
de red, etc.
Hackers: el objetivo de un hacker es entrar en la red informática de una
entidad. Lo que haga dentro ya depende del tipo de hacker: hay hackers que
simplemente lo hacen por diversión: entran y dejan un rastro para indicar que
han conseguido entrar, los hay maliciosos cuyo objetivo es sacar provecho
de haber entrado: como por ejemplo hacer transferencias, modificar notas
de exámenes, obtener documentos privados, etc. Estos últimos,
evidentemente, suponen un grave peligro para cualquier institución.
Medidas De Seguridad
Criptografía Y Autentificación
Como elementos indispensables para implementar un sistema seguro está la
criptografía y los mecanismos de autentificación. La criptografía es una disciplina
muy antigua cuyo objeto es la de ocultar la información a personas no deseadas.
~ 33 ~
La base de la criptografía ha sido el cifrado de textos, aunque se ha desarrollado
ampliamente desde la aparición de los primeros ordenadores.
Criptografía22
El cifrado es el proceso por el que un texto es transformado en otro texto cifrado
usando una función matemática (también denominado algoritmo de encriptación) y
una clave. El descifrado es el proceso inverso.
El cifrado es necesario entre otras funciones para:
Proteger la información almacenada en un ordenador
Proteger la información transmitida desde un ordenador a otro.
Asegurar la integridad de un fichero.
El cifrado también tiene sus límites ya que no puede prevenir el borrado de
información, el acceso al documento antes de su cifrado, por lo que un plan de
seguridad no se puede basar simplemente en el cifrado de la información.
No todas las formas de cifrado tienen la misma seguridad. Hay cifrados muy simples
que son fáciles de romper (se denomina romper un cifrado a la obtención del
mensaje cifrado o la clave) y otros muchos más complejos que requieren de
técnicas muy complejas para su descifrado. Hay que comentar que no existen
mecanismos de cifrado totalmente seguros, ya que con un ordenador lo
suficientemente potente (o muchos a la vez) y el tiempo necesario (años o siglos)
siempre será posible romper el cifrado. Por lo tanto, el objetivo de la criptografía es
obtener mecanismos de cifrado que sean lo suficientemente complejos para evitar
su descifrado usando la tecnología actual.
La seguridad de las contraseñas se ve afectadas por diversos factores:
1. Fortaleza de la contraseña: deben ser largas, normalmente más de 7
caracteres, y se deben usar combinaciones de letras mayúsculas y
minúsculas, números y símbolos.
22 COSTAS Santos Jesus, “Seguridad Informática”, Editorial RA-MA
~ 34 ~
2. Forma de almacenar las contraseñas: se debe usar un algoritmo
criptográfico irreversible (u función resumen), los más comunes son MD5 y
SHA1.
3. Método de retransmisión de la contraseña: Deben ser transmitida mediante
algún método criptográfico, en el caso de las redes locales se usa con mucha
frecuencia Kerberos.
4. Longevidad de la contraseña deben ser cambiada con cierta periodicidad.23
P H P.
Luis Miguel Cabezas Granado (2002). “PHP es un lenguaje de programación
soportado por HTML usado generalmente para la creación de contenido para sitios
web. PHP es un acrónimo recurrente o recursivo que significa "PHP Hypertext Pre-
processor", y se trata de un lenguaje interpretado usado para la creación de
aplicaciones para servidores, o creación de contenido dinámico para sitios Web.”
¿Qué se puede hacer con Php?
PHP puede hacer cualquier cosa que se pueda hacer con un script CGI, como
procesar la información de formularios, generar páginas con contenidos dinámicos.
Y esto no es todo, se puede hacer mucho más.
Existen tres campos en los que se usan scripts escritos en PHP.
Scripts del lado del servidor. Este es el campo más tradicional y el principal foco de
trabajo. Se necesitan tres cosas para que esto funcione. El intérprete PHP (CGI ó
módulo), un servidor web y un navegador. Es necesario correr el servidor web con
PHP instalado. El resultado del programa PHP se puede obtener a través del
navegador, conectándose con el servidor web.
Scripts en la línea de comandos. Puede crear un script PHP y correrlo sin ningún
servidor web o navegador. Solamente necesita el intérprete PHP para usarlo de
23 HERNANDEZ, Enrique (2011), Seguridad y privacidad en los sistemas informáticos. http://www.disca.upv.es/enheror/pdf/ACTASeguridad.PDF
~ 35 ~
esta manera. Este tipo de uso es ideal para scripts ejecutados regularmente desde
cron (en Unix o Linux) o el Planificador de tareas (en Windows). Estos scripts
también pueden ser usados para tareas simples de procesamiento de texto.
Escribir aplicaciones de interfaz gráfica. Probablemente PHP no sea el lenguaje
más apropiado para escribir aplicaciones gráficas, pero si conoce bien PHP, y
quisiera utilizar algunas características avanzadas en programas clientes, puede
utilizar PHP-GTK para escribir dichos programas.
PHP puede ser utilizado en cualquiera de los principales sistemas operativos del
mercado, incluyendo Linux, muchas variantes Unix (incluyendo HP-UX, Solaris y
OpenBSD), Microsoft Windows, Mac OS X, RISC OS y probablemente alguno más.
PHP soporta la mayoría de servidores web de hoy en día, incluyendo Apache,
Microsoft Internet Information Server, Personal Web Server, Netscape e iPlanet,
Oreilly Website Pro server, Caudium, Xitami, OmniHTTPd y muchos otros. PHP
tiene módulos disponibles para la mayoría de los servidores, para aquellos otros
que soporten el estándar CGI, PHP puede usarse como procesador CGI.24
De modo que, con PHP tiene la libertad de elegir el sistema operativo y el servidor
de su gusto. También tiene la posibilidad de usar programación procedimental o
programación orientada a objetos. Aunque no todas las características estándar de
la programación orientada a objetos están implementadas en la versión actual de
PHP, muchas bibliotecas y aplicaciones grandes (incluyendo la biblioteca PEAR)
están escritas íntegramente usando programación orientada a objetos.
Con PHP no se encuentra limitado a resultados en HTML. Entre las habilidades de
PHP se incluyen: creación de imágenes, archivos PDF y películas Flash (usando
libswf y Ming) sobre la marcha. También puede presentar otros resultados, como
XHTM y archivos XML. PHP puede auto generar estos archivos y almacenarlos en
el sistema de archivos en vez de presentarlos en la pantalla.
24 COBO, Ángel, 2005, PHP y MySQL: tecnologías para el desarrollo de aplicaciones web, Ediciones Díaz de Santos
~ 36 ~
Quizás la característica más potente y destacable de PHP es su soporte para una
gran cantidad de bases de datos. Escribir un interfaz vía web para una base de
datos es una tarea simple con PHP. Las siguientes bases de datos están
soportadas actualmente
Adabas D Ingres Oracle (OCI7 and OCI8)
DBase Internase Ovrimos
Empress FrontBase PostgreSQL
FilePro (read-only) mSQL Solid
Hyperwave Direct MS-SQL Sybase
IBM DB2 MySQL Velocis
Historia.
PHP comenzó y sigue siendo primeramente usado como un lenguaje de script del
lado del servidor embebido en HTML.
PHP, se conoce originalmente como Personal Home Pages, fue concebido en el
otoño de 1994 por Rasmus Lerdorf. Él lo escribió como una forma de track visitantes
a su CV en línea. La primera versión salió en los comienzos de 1995, y fue ahí
donde Rasmus se dio cuenta que haciendo en proyecto código abierto, las
personas arreglarían sus problemas. La primera versión fue muy precaria y tenía
un parser que reconocía solo unas pocas macros y brindaba algunas utilidades que
se usaban comúnmente en sitios web.
El parser fue reescrito a mediados de 1995 y se lo renombro a PHP/FI versión 2. El
"FI" en esta versión quería decir Interprete formal. Lo que Rasmus había agregado
a PHP fue de acuerdo a las necesidades crecientes de los sitios web. El soporte
para MYSQL fue agregado. PHP/FI tuvo un crecimiento masivo, y otra gente
empezó a contribuir programando regularmente.25
25 COBO, Ángel, 2005, PHP y MySQL: tecnologías para el desarrollo de aplicaciones web, Ediciones Díaz de Santos
~ 37 ~
A mediados de 1997 Zeev Suraski y Andi Gutmans reescribieron el parser principal,
y PHP cambio de estar en manos de Rasmus a un grupo más orientado al proyecto.
Esto formo las bases para que PHP3, fuere ahora llamado PHP: Hypertext
Preprocessor un acrónimo recursivo.
La última versión, de PHP4, es otra reescritura de Suraski and Gutmans y está
basada en el motor Zend. PHP ahora tiene doscientos contribuyentes regularmente
trabajando en varias partes del proyecto. Tiene una cantidad muy grande
extensiones, módulos y soporta todos los servidores más populares nativamente, y
además tiene soporte para MySql y ODBC.
Las últimas estadísticas muestran que PHP es actualmente usado por más de 5.5
millones de dominios, y ha tenido un gran crecimiento durante el último año. Es
lejos el módulo más popular de Apache; para dar alguna perspectiva, Apache
actualmente tiene un 60% del mercado de servidores de internet, y el servidor IIS
(con soporte nativo para ASP) tiene menos de la mitad de esa proporción del
mercado.
Lenguaje Php Bases de la Sintaxis.
<? .... ?> Sólo si se activa la función short_tags() o la bandera de configuración
short_open_tag.
<?php .... ?>
<script languaje="php"> .... </script>
Sólo si se activan los tags para ficheros 'asp' con la bandera de
configuración asp_tags.
Separación de Instrucciones.
Las instrucciones se separan con ';', en el caso de ser la última instrucción no es
necesario el punto y coma.
~ 38 ~
Comentarios.
Los comentarios en PHP pueden ser
Como en C o C++, /*...*/ ó //
Otro tipo de comentario de una línea es #, que comentará la línea en la que
aparezca pero sólo hasta el tag ?> que cierra el código php.
Conexiones a Bases de Datos.
Las conexiones persistentes son enlaces SQL que no se cierran cuando la
ejecución del script termina. El comportamiento de estas conexiones es el siguiente.
Cuando se invoca una conexión de este tipo, PHP comprueba si existe una
conexión de este mismo tipo o por el contrario, se trata de una nueva conexión. En
el caso de que exista, se procede a su uso, y en el caso de que no exista, la
conexión se crea. Dos conexiones se consideran iguales cuando están realizadas
sobre el mismo servidor, con el mismo usuario y la misma contraseña.
Pero en realidad, estas conexiones permanentes, no proporcionan ningún tipo de
funcionabilidad adicional frente a conexiones temporales, debido a la forma en que
los servidores Web funcionan.26
Aun así se utilizan debido a la eficiencia, debido al tiempo de establecimiento de la
conexión, y debido a que si tienes una sola conexión sobre el servidor, irá mucho
más rápido que si tienes 10 conexiones temporales, puesto que la carga que
soporta es diferente.
Base de datos mysql.
Anthony Butcher (2005). “MySQL Database Server es la base de datos de código
fuente abierto más usada del mundo. Su ingeniosa arquitectura lo hace
26 TORRICELLA, Raúl, 2008, Infotecnología: la cultura informacional para el trabajo en la Web, Editorial Universitaria, Cuba
~ 39 ~
extremadamente rápido y fácil de personalizar. La extensiva reutilización del código
dentro del software y una aproximación minimalista para producir características
funcionalmente ricas, ha dado lugar a un sistema de administración de la base de
datos incomparable en velocidad, compactación, estabilidad y facilidad de
despliegue. La exclusiva separación del core server del manejador de tablas,
permite funcionar a MySQL bajo control estricto de transacciones o con acceso a
disco no transaccional ultrarrápido”.27
¿Qué es MySQL?28
MySQL es un sistema de administración de bases de datos.
A continuación las definiciones realizadas por algunos autores como:
Welling Luke; Thomson Laura (2005). “Una base de datos es una colección
estructurada de datos. Esta puede ser desde una simple lista de compras a una
galería de pinturas o el vasto monto de información en una red corporativa. Para
agregar, acezar y procesar datos guardados en un computador, usted necesita un
administrador como MySQL Server. Dado que los computadores son muy buenos
manejando grandes cantidades de información, los administradores de bases de
datos juegan un papel central en computación, como aplicaciones independientes
o como parte de otras aplicaciones.”
b) MySQL es un sistema de administración relacional de bases de datos.
Una base de datos relacional archiva datos en tablas separadas en vez de colocar
todos los datos en un gran archivo. Esto permite velocidad y flexibilidad. Las tablas
están conectadas por relaciones definidas que hacen posible combinar datos de
diferentes tablas sobre pedido.
27 TORRICELLA, Raúl, 2008, Infotecnología: la cultura informacional para el trabajo en la Web, Editorial Universitaria, Cuba 28 COBO, Ángel, 2005, PHP y MySQL: tecnologías para el desarrollo de aplicaciones web, Ediciones Díaz de Santos, España
~ 40 ~
c) MySQL es software de fuente abierta.
Fuente abierta significa que es posible para cualquier persona usarlo y modificarlo.
Cualquier persona puede bajar el código fuente de MySQL y usarlo sin pagar.
Cualquier interesado puede estudiar el código fuente y ajustarlo a sus necesidades.
MySQL usa el GPL (GNU General Public License) para definir qué puede hacer y
que no puede hacer con el software en diferentes situaciones. Si usted no se ajusta
al GLP o requiere introducir código MySQL en aplicaciones comerciales, usted pude
comprar una versión comercial licenciada.29
Las características principales de MySQL.
a) Es un gestor de base de datos.
Una base de datos es un conjunto de datos y un gestor de base de datos es una
aplicación capaz de manejar este conjunto de datos de manera eficiente y cómoda.
b) Es una base de datos relacional.
Una base de datos relacional es un conjunto de datos que están almacenados en
tablas entre las cuales se establecen unas relaciones para manejar los datos de
una forma eficiente y segura. Para usar y gestionar una base de datos relacional se
usa el lenguaje estándar de programación SQL.
c) Es Open Source.
El código fuente de MySQL se puede descargar y está accesible a cualquiera, por
otra parte, usa la licencia GPL para aplicaciones no comerciales.
d) Es una base de datos muy rápida, segura y fácil de usar.
Gracias a la colaboración de muchos usuarios, la base de datos se ha ido
mejorando optimizándose en velocidad. Por eso es una de las bases de datos más
usadas en Internet.
29 COBO, Ángel, 2005, PHP y MySQL: tecnologías para el desarrollo de aplicaciones web, Ediciones Díaz de Santos, España
~ 41 ~
El servidor WAMP
Un servidor WAMP es un PC con Windows que dispone de un servidor Apache, un
gestor de bases de datos MySQL y el lenguaje de programación PHP” Las siglas
WAMP son un acrónimo de Windows + Apache + MySQL + PHP. Al igual que
WAMP, también existen los servidores LAMP que son lo mismo pero en un sistema
Linux.30
La terna Apache + PHP + MySQL es la base para instalar infinidad de aplicaciones
web Instalar y configurar un servidor Apache, un servidor MySQL y el lenguaje PHP,
así como configurarlo para que interrelacionen entre ellos y el servidor funcione
perfectamente, es una tarea compleja que solo pueden acometer informáticos
profesionales. Para simplificar la tarea de instalar Apache + PHP + MySQL en
Windows y acercar al gran público la posibilidad de disfrutar de estos servicios,
existen los llamados paquetes WAMP que instalan y configuran automáticamente
dichas aplicaciones para Windows y que proporcionan:
Servidor Web Apache
Base de datos MySQL
Lenguaje de programación PHP
Accesos para el arranque y la parada de los servicios
Facilidades para la configuración de los servicios
Otros servicios
30 RUIZ Alberto,”Servidoreswamp” 2010, http://recursostic.educacion.es/observatorio/web/es/software/servidores/800-monografico-servidores-wamp
~ 42 ~
¿Para qué sirve un Servidor WAMP?31
Disponer de un Servidor WAMP, permite instalar aplicaciones web accesibles
desde nuestra red local, y si abrimos el puerto 80 de nuestro router, también serán
accesibles desde Internet.
La gran mayoría de las aplicaciones web libres existentes, requieren de Apache +
MySQL + PHP para funcionar. Podemos instalar estas aplicaciones por separado y
después configurarlas, pero instalando un paquete WAMP se instalan y configuran
automáticamente dichas aplicaciones para Windows. Apache + MySQL + PHP son
la base para poder instalar infinidad de aplicaciones web libres, entre las que
destacamos:
Gestores de Contenidos orientados a sitios web: Joomla, Drupal,...
Gestores de Contenidos orientados a educación: Claroline, Moodle, Dokeos,
MediaWiki,...
Blogs: WordPress, Serendipity,...
Wikis: Mediawiki, Tikiwiki, Dokuwiki,...
Foros: phpBB, myBB,...
Galerías de imágenes: Gallery, Coppermine,...
Si se desea instalar en la red local cualquiera de las aplicaciones citadas
anteriormente, previamente se debe instalar un paquete WAMP en nuestro
servidor. Existen multitud de paquetes WAMP, pero en el siguiente artículo
analizaremos cuatro de los más populares y haremos una comparativa de las
características principales de cada uno de ellos:
Easyphp
XAMPP
AppServ
WampServer
31 RUIZ Alberto,”Servidoreswamp” 2010, http://recursostic.educacion.es/observatorio/web/es/software/servidores/800-monografico-servidores-wamp
~ 43 ~
1.3 Valoración crítica de los conceptos principales de las distintas
posiciones teóricas de la seguridad informática.
Debido a que Existen 4 tipos de técnicas que permiten realizar la autenticación de
la identidad del usuario, las cuales pueden ser utilizadas individualmente o
combinadas y son las siguientes:
1. Algo que solamente el individuo conoce: ejemplo una contraseña.
2. Algo que una persona posee: ejemplo una tarjeta magnética.
3. Algo que el individuo es y que lo identifica unívocamente: ejemplo las huellas
digitales.
4. Algo que solamente el individuo es capaz de hacer: ejemplo los patrones de
escritura.
Para solucionar el problema de control de acceso al sistema de gestión y servicios
académicos para instituciones educativas de nivel medio se ha decidido
implementar la técnica de seguridad basado en algo conocido: contraseña.
La utilización de una contraseña para controlar el accesos a los usuarios no
autorizados, el usuario está obligado a utilizar esa contraseña para poder acceder
al sistema. Es la razón por la que normalmente deben mantenerse en secreto ante
aquellos a quien no se le permite el acceso.
Las contraseñas deberán ser largas, normalmente más de 7 caracteres, y se
deben usar combinaciones de letras mayúsculas y minúsculas, números y
símbolos.
Forma de almacenar las contraseñas: se realizara mediante un algoritmo
criptográfico irreversible. Los más comunes son MD5 y SHA1.
Longevidad de la contraseña será cambiada con cierta periodicidad.
1.4 Conclusiones parciales del capítulo.
La seguridad en los sistemas informáticos se ha convertido en algo imprescindible
en toda institución que gestione datos informáticos. La alta informatización de la
sociedad actual ha conllevado el aumento de los denominados delitos informáticos.
~ 44 ~
Lo más importante es la gestión de los datos personales y su privacidad. Definir un
control de seguridad de acceso es el primer paso para aumentar la seguridad.
Este control de seguridad puede incluir medidas de acceso informáticas. En el
ámbito informático se han descritos varios mecanismos para aumentar la
seguridad, frente a los posibles ataques. Pero siempre es necesario recordar que
la seguridad absoluta no existe.
Es evidente que los procesos académicos serán más ágiles y efectivos al momento
de automatizarlos, además es importante señalar que al aplicar mecanismos de
seguridad en la herramienta informática se podrá contar con un registro confiable
de las actividades académicas.
~ 45 ~
CAPÍTULO II.
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA.
2.1 Contexto Institucional.
El fenómeno del fracaso escolar ha sido estudiado por varios autores, varios de
ellos señalan como principal causa del mismo a los elementos que conforman el
sistema educativo y, sobre todo, a la escuela y a sus componentes personales. Sin
embargo, las causas generadoras de este fenómeno van más allá de lo puramente
escolar, viéndose implicadas otras de tipo económico-social, administrativo y
psicopedagógico. Las familias juegan un importante papel en el éxito o fracaso
escolar de sus hijos e hijas, ya no sólo por la implicación que dan a la escuela y por
su participación dentro de ella.
El proyecto consiste en Implementar una estrategia informática que contribuya a la
integración de los elementos educativos que permitan mejorar el rendimiento
académico de los estudiantes de siete unidades educativas que ofrecen el sistema
de educación media, es decir, se realizará una serie de actividades que permitan
integrar a los alumnos, institución educativa y a los padres de familia, triangulo
principal de la educación media, de esta forma se plantea mejorar el rendimiento
académico. Una de las actividades previstas es la creación de un sistema
informático en ambiente web, que permita gestionar la parte académica de las
instituciones seleccionadas, para lo cual UNIANDES Babahoyo tendrá un hosting y
un servidor de bases de datos, a los cuales las instituciones educativas de nivel
medio, accederán y registrarán todas las actividades educativas que genere la
aplicación.
2.2 Diseño metodológico.
La modalidad investigativa que se ha utilizado en esta tesis es la denominada cuali-
cuantitativa. La investigación cualitativa es el procedimiento metodológico que se
caracteriza por utilizar palabras, textos, discursos, dibujos, gráficos e imágenes
para comprender las características generales del problema, en el caso que nos
atañe mediante la observación se ha procedido a investigar los aspectos de
demoras y el volumen de información en papeles que existe en la Institución,
~ 46 ~
también la entrevista realizada al Director confirmó las características del problema
descritas en la parte inicial de este trabajo investigativo.
La investigación cuantitativa se caracteriza por recoger, procesar y analizar datos
cuantitativos o numéricos sobre variables previamente determinadas. En esta
investigación, esta modalidad se aplicó cuando encuestamos a las Autoridades,
Administrativos, y Docentes de las Instituciones y luego dichas encuestas fueron
tabuladas en el programa SPSS para posteriormente graficar los resultados en
Excel.
Población y muestra
La población involucrada en la problemática descrita en el inicio de este trabajo
investigativo está estructurada de la siguiente forma:
FUNCIÓN NUMERO
Rectores 7
Vicerrectores 7
Secretaria 7
Coordinadores DCE 7
TOTAL 28
Debido a que la población es pequeña no es necesaria la aplicación de fórmula
para determinar la muestra.
Las técnicas de investigación aplicadas fueron:
Encuestas tanto a Rectores, Vicerrectores, Secretarias, Coordinadores
DCE.
Los instrumentos utilizados fueron:
Cuestionario general para Rectores, Vicerrectores, Secretarias,
Coordinadores DCE.
~ 47 ~
Encuesta general aplicada a Rectores, Vicerrectores, Secretarias,
Coordinadores DCE:
Pregunta nº1. ¿Su sistema académico cuenta con algún tipo de seguridad
informática?
PREGUNTA Nº1
ALTERNATIVAS FRECUENCIA PORCENTAJE
SI 8 29%
NO 20 71%
TOTAL 28 100%
Fuente: Encuesta a los Rectores, Vicerrectores, Secretarias, Coordinadores DCE
Elaboración Propia
Análisis e Interpretación: 71% de los encuestados dijeron que su sistema académico NO
cuenta con ningún tipo de seguridad informática, mientras que el 29% respondieron que
SI.
SI29%
NO71%
Grafico Nº1
SI
NO
~ 48 ~
Pregunta nº2. ¿Conoce usted la importancia de la seguridad de su sistema
académico?
PREGUNTA Nº2
ALTERNATIVAS FRECUENCIA PORCENTAJE
SI 22 79%
NO 6 21%
TOTAL 28 100%
Fuente: Encuesta a los Rectores, Vicerrectores, Secretarias, Coordinadores DCE
Elaboración Propia
Análisis e Interpretación: 79% de los encuestados dijeron que SI conocen la importancia
de la seguridad de su sistema académico, mientras que el 21% respondieron que NO.
SI79%
NO21%
Grafico Nº2
SI
NO
~ 49 ~
Pregunta nº3. ¿Considera seguro a su sistema académico?
PREGUNTA Nº3
ALTERNATIVAS FRECUENCIA PORCENTAJE
SI 8 29%
NO 20 71%
TOTAL 28 100%
Fuente: Encuesta a los Rectores, Vicerrectores, Secretarias, Coordinadores DCE
Elaboración Propia
Análisis e Interpretación: 71% de los encuestados dijeron que NO consideran seguro a
su sistema académico, mientras que el 29% respondieron que SI.
SI29%
NO71%
Grafico Nº3
SI
NO
~ 50 ~
Pregunta nº4. ¿Considera importante que su sistema sea seguro y confiable?
PREGUNTA Nº4
ALTERNATIVAS FRECUENCIA PORCENTAJE
SI 28 100%
NO 0 0%
TOTAL 28 100%
Fuente: Encuesta a los Rectores, Vicerrectores, Secretarias, Coordinadores DCE
Elaboración Propia
Análisis e Interpretación: 100% de los encuestados dijeron que SI consideran importante
que su sistema sea seguro y confiable.
SI100%
NO0%
Grafico Nº4
SI
NO
~ 51 ~
Pregunta nº5. ¿Conoce usted sobre los ataques informáticos?
PREGUNTA Nº5
ALTERNATIVAS FRECUENCIA PORCENTAJE
SI 12 43%
NO 16 57%
TOTAL 28 100%
Fuente: Encuesta a los Rectores, Vicerrectores, Secretarias, Coordinadores DCE
Elaboración Propia
Análisis e Interpretación: 57% de los encuestados dijeron que NO conoce sobre los
ataques informáticos, mientras que el 43% respondieron que SI.
SI43%NO
57%
Grafico Nº5
SI
NO
~ 52 ~
Pregunta nº6. ¿Qué medidas de seguridad considera necesarias en su sistema
académico?
PREGUNTA Nº6
ALTERNATIVAS FRECUENCIA PORCENTAJE
CORTAFUEGOS 4 14%
COPIAS DE SEGURIDAD 4 14%
CONTRASEÑAS SEGURAS 20 72%
NINGUN TIPO 0 0%
TOTAL 28 100%
Fuente: Encuesta a los Rectores, Vicerrectores, Secretarias, Coordinadores DCE
Elaboración Propia
Análisis e Interpretación: 72% de los encuestados dijeron que como medidas de
seguridad para su sistema consideran necesarias las contraseñas seguras, mientras un
14% considera a las copias de seguridad y otro 14% a los cortafuegos.
CORTAFUEGOS
14%COPIAS DE
SEGURIDAD
14%
CONTRASEÑAS
SEGURAS
72%
NINGUN TIPO
0%
Grafico Nº6
CORTAFUEGOS
COPIAS DE SEGURIDAD
CONTRASEÑAS SEGURAS
NINGUN TIPO
~ 53 ~
Pregunta nº7. ¿Con que frecuencia hace revisión de los sistemas?
PREGUNTA Nº7
ALTERNATIVAS FRECUENCIA PORCENTAJE
MUY FRECUENTE 4 14%
POCO FRECUENTE 4 14%
NADA FRECUENTE 20 72%
TOTAL 28 100%
Fuente: Encuesta a los Rectores, Vicerrectores, Secretarias, Coordinadores DCE
Elaboración Propia
Análisis e Interpretación: 72% de los encuestados dijeron que nunca revisan su sistema,
mientras un 14% dice poco frecuente revisa, y otro 14% dice frecuentemente revisar su
sistema.
MUY FRECUENTE
14%POCO
FRECUENTE
14%
NADA
FRECUENTE
72%
Grafico Nº7
MUY FRECUENTE
POCO FRECUENTE
NADA FRECUENTE
~ 54 ~
Pregunta nº8. ¿El acceso a su sistema académico está limitado por?
PREGUNTA Nº8
ALTERNATIVAS FRECUENCIA PORCENTAJE
USUARIOS 12 43%
DEPARTAMENTOS 0 0%
SIN LIMITACIONES 16 57%
TOTAL 28 100%
Fuente: Encuesta a los Rectores, Vicerrectores, Secretarias, Coordinadores DCE
Elaboración Propia
Análisis e Interpretación: 57% de los encuestados dijeron que el acceso a su sistema
académico esta sin limitaciones, mientras que el 43% respondieron controlar por usuarios,
y un 0% para limitación por departamentos.
USUARIOS
43%
DEPARTAMENTOS
0%
SIN
LIMITACIONES
57%
Grafico Nº8
USUARIOS
DEPARTAMENTOS
SIN LIMITACIONES
~ 55 ~
Pregunta nº9. ¿Qué métodos de seguridad tiene su sistema académico?
PREGUNTA Nº2
ALTERNATIVAS FRECUENCIA PORCENTAJE
IDENTIFICACIÓN Y AUTENTICACIÓN 8 29%
CONTROL DE ACCESO 4 14%
ENCRIPTACIÓN DE DATOS 0 0%
TODOS 0 0%
NINGUNO 16 57%
TOTAL 28 100%
Fuente: Encuesta a los Rectores, Vicerrectores, Secretarias, Coordinadores DCE
Elaboración Propia
Análisis e Interpretación: 57% de los encuestados dijeron no utilizar ningún método de
seguridad en su sistema académico, mientras que el 29% dijo utilizar la identificación y
autenticación, un 14% dijo utilizar el control de acceso, y que ninguno utiliza la encriptación
de datos.
IDENTIFICACIÓN Y
AUTENTICACIÓN
29%
CONTROL DE
ACCESO
14%
ENCRIPTACIÓN
DE DATOS
0%
TODOS
0%
NINGUNO57%
Grafico Nº9
IDENTIFICACIÓN YAUTENTICACIÓN
CONTROL DE ACCESO
ENCRIPTACIÓN DE DATOS
TODOS
NINGUNO
~ 56 ~
2.3 Propuesta del investigador.
La propuesta de solución al problema planteado en el presente trabajo investigativo
es la implementación de un Software de seguridad que permita la confidencialidad
de los datos del sistema de gestión y servicios académicos para planteles de
educación media (SIVISA), este sistema informático contará con características de
aplicación web. El mismo se ha desarrollado bajo los criterios establecidos en la
Ingeniería del software.
Con el estudio de los elementos básicos, modelos, sistemas y metodologías de la
investigación, se busca el modelo que mejor se adapte al diseño de la herramienta
propuesta y hacer así congruentes los criterios establecidos en el marco teórico y
metodológico, lo que dará como resultado el trabajo de investigación con criterio
sustentado.
CASOS DE USO
~ 57 ~
DIAGRAMAS DE SECUENCIA
Base De
Datos
Referencias
Página
web
Buscador Servidor
Web
Filtro de
página
Procesos
http
~ 58 ~
MODELO CONCEPTUAL DEL SISTEMA
Explica cuales son y cómo se relacionan los conceptos relevantes en la
descripción de la propuesta.
DICCIONARIO DE DATOS
TABLA CARGOS
Campo Tipo de datos Null Clave Privilegios
codcargo varchar(2) NO PRI seleccionar, insertar,
actualiza, referencias
cargo varchar(100) NO seleccionar, insertar,
actualiza, referencias
cargoestado varchar(8) NO seleccionar, insertar,
actualiza, referencias
TABLA DOCENTES
Campo Tipo de datos Null Clave Privilegios
coddocente varchar(3) NO PRI seleccionar, insertar,
actualizar, referencias
docentecedula varchar(10) NO seleccionar, insertar,
actualizar, referencias
login varchar(20) NO seleccionar, insertar,
actualizar, referencias
password varchar(256) NO seleccionar, insertar,
actualizar, referencias
docentetrato varchar(8) NO seleccionar, insertar,
actualizar, referencias
docente varchar(50) NO seleccionar, insertar,
actualizar, referencias
docentedomicilio varchar(50) NO seleccionar, insertar,
actualizar, referencias
~ 59 ~
docenteemail varchar(50) NO seleccionar, insertar,
actualizar, referencias
docentetelefono varchar(22) NO seleccionar, insertar,
actualizar, referencias
docentecargo varchar(20) NO seleccionar, insertar,
actualizar, referencias
docenteestado varchar(8) NO seleccionar, insertar,
actualizar, referencias
TABLA ENTIDAD
Campo Tipo de datos Null Clave Privilegios
entidad varchar(200) NO PRI seleccionar, insertar,
actualizar, referencias
titulo varchar(150) NO seleccionar, insertar,
actualizar, referencias
lema varchar(100) NO seleccionar, insertar,
actualizar, referencias
siglas varchar(15) NO seleccionar, insertar,
actualizar, referencias
direccion varchar(50) NO seleccionar, insertar,
actualizar, referencias
ciudad varchar(30) NO seleccionar, insertar,
actualizar, referencias
lugar varchar(50) NO seleccionar, insertar,
actualizar, referencias
web varchar(50) NO seleccionar, insertar,
actualizar, referencias
email varchar(50) NO seleccionar, insertar,
actualizar, referencias
telefono varchar(100) NO seleccionar, insertar,
actualizar, referencias
~ 60 ~
visitas varchar(10) NO seleccionar, insertar,
actualizar, referencias
TABLA ESTUDIANTES
Campo Tipo de datos Null Clave Privilegios
codestudiante varchar(6) NO PRI seleccionar, insertar,
actualizar, referencias
estudiante_cedula varchar(10) NO seleccionar, insertar,
actualizar, referencias
estudiante varchar(50) NO seleccionar, insertar,
actualizar, referencias
estudiante_fechanacimie
nto
varchar(10) NO seleccionar, insertar,
actualizar, referencias
estudiante_nacionalidad varchar(20) NO seleccionar, insertar,
actualizar, referencias
estudiante_lugarnacimien
to
varchar(30) NO seleccionar, insertar,
actualizar, referencias
estudiante_provincia_n varchar(30) NO seleccionar, insertar,
actualizar, referencias
estudiante_canton_n varchar(30) NO seleccionar, insertar,
actualizar, referencias
estudiante_parroquia_n varchar(30) NO seleccionar, insertar,
actualizar, referencias
estudiante_domicilio varchar(50) NO seleccionar, insertar,
actualizar, referencias
estudiante_provincia_d varchar(30) NO seleccionar, insertar,
actualizar, referencias
estudiante_canton_d varchar(30) NO seleccionar, insertar,
actualizar, referencias
estudiante_parroquia_d varchar(30) NO seleccionar, insertar,
actualizar, referencias
~ 61 ~
estudiante_genero varchar(9) NO seleccionar, insertar,
actualizar, referencias
estudiante_discapacidad varchar(2) NO seleccionar, insertar,
actualizar, referencias
estudiante_conae varchar(5) NO seleccionar, insertar,
actualizar, referencias
estudiante_etnia varchar(20) NO seleccionar, insertar,
actualizar, referencias
estudiante_plantel varchar(50) NO seleccionar, insertar,
actualizar, referencias
estudiante_correo varchar(50) NO seleccionar, insertar,
actualizar, referencias
estudiante_foto varchar(100) NO seleccionar, insertar,
actualizar, referencias
estudiante_estado varchar(15) NO seleccionar, insertar,
actualizar, referencias
TABLA MATRICULAS
Campo Tipo de datos Null Clave Privilegios
matriculacodestudiante varchar(6) NO MUL seleccionar, insertar,
actualizar, referencias
matriculanummatricula varchar(4) NO seleccionar, insertar,
actualizar, referencias
matriculacodperiodo varchar(2) NO MUL seleccionar, insertar,
actualizar, referencias
matriculacodcurso varchar(2) NO seleccionar, insertar,
actualizar, referencias
matriculacodespecializaci
on
varchar(2) NO seleccionar, insertar,
actualizar, referencias
matriculaseccion varchar(15) NO seleccionar, insertar,
actualizar, referencias
~ 62 ~
matriculaparalelo varchar(1) NO seleccionar, insertar,
actualizar, referencias
matriculausuario varchar(2) NO seleccionar, insertar,
actualizar, referencias
matriculaclave varchar(4) NO seleccionar, insertar,
actualizar, referencias
matriculatipo varchar(14) NO seleccionar, insertar,
actualizar, referencias
matriculaobservacion varchar(250) NO seleccionar, insertar,
actualizar, referencias
matriculaestado varchar(14) NO seleccionar, insertar,
actualizar, referencias
TABLA MENU
Campo Tipo de datos Null Clave Privilegios
codmenu varchar(2) NO PRI seleccionar, insertar,
actualizar, referencias
menu varchar(100) NO seleccionar, insertar,
actualizar, referencias
menuancho varchar(3) NO seleccionar, insertar,
actualizar, referencias
menualto varchar(4) NO seleccionar, insertar,
actualizar, referencias
menuurl varchar(50) NO seleccionar, insertar,
actualizar, referencias
menuestado varchar(8) NO seleccionar, insertar,
actualizar, referencias
~ 63 ~
TABLA MODULOS
Campo Tipo de datos Null Clave Privilegios
codmodulo varchar(2) NO PRI seleccionar, insertar,
actualizar, referencias
modulo varchar(100) NO seleccionar, insertar,
actualizar, referencias
modulourl varchar(256) YES seleccionar, insertar,
actualizar, referencias
moduloico varchar(100) NO seleccionar, insertar,
actualizar, referencias
modulotexto varchar(150) NO seleccionar, insertar,
actualizar, referencias
moduloestado varchar(8) NO seleccionar, insertar,
actualizar, referencias
TABLA PERIODOS
Campo Tipo de datos Null Clave Privilegios
codperiodo varchar(2) NO PRI seleccionar, insertar,
actualizar, referencias
periodo varchar(15) NO seleccionar, insertar,
actualizar, referencias
periodoestado varchar(8) NO seleccionar, insertar,
actualizar, referencias
TABLA SUBMENUS
Campo Tipo de datos Null Clave Privilegios
codsubmenu varchar(2) NO PRI seleccionar, insertar,
actualizar, referencias
submenucodmenu varchar(2) NO MUL seleccionar, insertar,
actualizar, referencias
~ 64 ~
submenu varchar(100) NO seleccionar, insertar,
actualizar, referencias
submenualto varchar(4) NO seleccionar, insertar,
actualizar, referencias
submenuurl varchar(50) NO seleccionar, insertar,
actualizar, referencias
submenuestado varchar(8) NO seleccionar, insertar,
actualizar, referencias
TABLA USUARIOS
Campo Tipo de datos Null Clave Privilegios
codusuario varchar(2) NO PRI seleccionar, insertar,
actualizar, referencias
usuariocodcargo varchar(2) NO MUL seleccionar, insertar,
actualizar, referencias
login varchar(20) NO seleccionar, insertar,
actualizar, referencias
password varchar(256) NO seleccionar, insertar,
actualizar, referencias
usuariotrato varchar(8) NO seleccionar, insertar,
actualizar, referencias
usuario varchar(50) NO seleccionar, insertar,
actualizar, referencias
usuarioiniciales varchar(5) NO seleccionar, insertar,
actualizar, referencias
usuarioestado varchar(8) NO seleccionar, insertar,
actualizar, referencias
~ 65 ~
MODELO FISICO – MODELO RELACIONAL
~ 66 ~
2.4 Conclusiones parciales del capítulo.
De la investigación realizada se han obtenido las siguientes conclusiones:
Aunque el sistema académico que se utiliza no cuenta con ningún tipo de
seguridad informática, es de vital importancia que se considere la seguridad
de su sistema académico, para que éste sea seguro y confiable.
Todavía no se conoce sobre los ataques informáticos, de los que podrían ser
vulnerables las herramientas web.
Los encuestados consideran las contraseñas seguras como medidas de
seguridad para su sistema, además de las copias de seguridad y los
cortafuegos.
Tomando como referencia las respuestas de los encuestados que dijeron no
utilizar ningún método de seguridad en su sistema académico, es importante
la realización de un software de seguridad que maneje la identificación y
autenticación, el control de acceso, y la encriptación de datos.
~ 67 ~
CAPITULO III
VALIDACION DE RESULTADOS DE APLICACIÓN.
3.1 Procedimiento de aplicación de resultados.
Pantalla de Inicio: Pantalla de inicio principal donde se muestran los diferentes menús e
información general.
Menú ACADÉMICO: En esta opción se muestra los niveles de ingreso por usuario.
Niveles Ingreso
por Usuario
Menú
ACADÈMICO
~ 68 ~
Pantalla de Login (Inicio de Sesión) Secretaría, estudiantes, docentes,
administradores: Permite el Ingreso a secretarias, docentes, estudiantes y
administradores respectivamente.
Mensaje Usuario o Clave errónea: Error mostrado cuando los datos de inicio de sesión
no son los correctos.
Usuario Password
Error
~ 69 ~
Pantalla de Menú de opciones: Diferentes Opciones según el usuario una vez iniciada la
sesión.
Menú de opciones del administrador: El administrador posee un menú el cual le permite
gestionar información de la entidad que maneja el sistema, además de crear nuevos
usuarios.
Menú según el
Usuario
Menú
Administrador
~ 70 ~
Opción cambio de clave: Permite cambiar clave de usuario.
Opción Ayuda: Muestra la versión del sistema y el desarrollador.
Opción cambio
de clave
Opción Ayuda
~ 71 ~
Opción Cerrar Sesión: Permite cerrar el inicio de sesión.
Cerrar Sesión
~ 72 ~
Opción olvido su contraseña: Permite recuperar la clave en caso de haberla olvidado.
Pantalla recuperación clave: la recuperación de la clave se da mediante envió de correo
electrónica con el cual se registró al usuario, por lo tanto es necesario ingresar el correo
del usuario registrado.
Olvido
Contraseña
Ingrese correo
electrónico
~ 73 ~
Mensaje de Confirmación de envió de clave: Mensaje de confirmación de envío de clave
al correo electrónico.
Correo electrónico Recibido: Correo electrónico con la clave solicitada.
Envió Clave
~ 74 ~
Error correo incorrecto: Mensaje de cuando el correo ingresado no es igual al de registro.
Menú CONTÁCTANOS: En esta opción se muestra un formulario de contacto con el
administrador del sistema.
MENU
CONTÁCTANOS
CO
Error correo
electrónico no existe
~ 75 ~
3.2 Análisis de los resultados finales de la investigación.
Se somete a la valoración por parte de profesionales del área informática. Las
pruebas permanentes durante el desarrollo del módulo de seguridad del sistema
realmente constituyen un factor importante de mejora continua, el software
elaborado ha sido sometido a dos tipos de pruebas que son:
Caja Negra: Esta prueba esencialmente permitió verificar la idoneidad de los
resultados, se aplicó para validar los datos de entrada, y que se cumplan fielmente
los principios de seguridad informática: Confidencialidad, integridad y
disponibilidad. Luego de los ingresos realizados, se ingresó los datos de las claves
de acceso para administradores, docentes y secretarias, se hicieron las
validaciones respectivas y se verifico los resultados.
Caja Blanca: Esta prueba permitió verificar la ejecución de los procesos desde el
punto de vista lógico, se pudo seguir la secuencia de ejecución para validar la
idoneidad de la automatización y obviamente con la correcta emisión de resultados.
La validación de la propuesta se la estableció desde el punto de vista técnico y
operativo:
Validación técnica: Esta parte ha sido realizada por los profesionales, quienes han
realizado las pruebas pertinentes, se verificó el funcionamiento correcto de los
diferentes procesos que establece la seguridad del sistema de gestión académica
(SIVISA).
Validación operativa: En este proceso de validación con relación a la facilidad de
manejo y sobre todo a la real concordancia de los datos del personal con los datos
que se han registrado para el ingreso correcto al sistema, considerando la fiabilidad
y disponibilidad de la información, dejando de lado con la herramienta, los procesos
manuales que se llevan a cargo en la Institución.
~ 76 ~
CERTIFICADO DE VALIDACIÓN
Babahoyo, 19 de Septiembre del 2014
Por medio del presente certificado:
Yo, OTTO HAVIT GARZOZI LAAZ con cedula de identidad Nº 1202501944, de
profesión ingeniero en sistemas, doy fe de que he revisado la propuesta de
“Software de seguridad que permita la confidencialidad de los datos del
sistema de gestión y servicios académicos para planteles de educación media
(SiViSA)”, presentado por el Sr. ALEXIS EDUARDO VERDESOTO ARGUELLO
portador de la C.I. Nº 1207250356, para obtener el título de Ingeniería en Sistemas
e Informática, el mismo que es altamente adaptable al medio donde se espera
aplicar.
Por este motivo valido la propuesta diseñada por el Sr. ALEXIS EDUARDO
VERDESOTO ARGUELLO y lo autorizo a presentar este documento como ella
disponga.
Lo certifico,
Ing. OTTO HAVIT GARZOZI LAAZ
C.I, 1202501944
~ 77 ~
CERTIFICADO DE VALIDACIÓN
Babahoyo, 19 de Septiembre del 2014
Por medio del presente certificado:
Yo, CARLOS AMIN CALDERON GARZOZI con cedula de identidad Nº
1202501308, de profesión ingeniero en sistemas, doy fe de que he revisado la
propuesta de “Software de seguridad que permita la confidencialidad de los
datos del sistema de gestión y servicios académicos para planteles de
educación media (SiViSA)”, presentado por el Sr. ALEXIS EDUARDO
VERDESOTO ARGUELLO portador de la C.I. Nº 1207250356, para obtener el
título de Ingeniería en Sistemas e Informática, el mismo que es altamente adaptable
al medio donde se espera aplicar.
Por este motivo valido la propuesta diseñada por el Sr. ALEXIS EDUARDO
VERDESOTO ARGUELLO y lo autorizo a presentar este documento como ella
disponga.
Lo certifico,
Ing. CARLOS AMIN CALDERON GARZOZI
C.I, 1202501308
~ 78 ~
3.3 Conclusiones parciales del capítulo.
En cuanto a las conclusiones parciales que se han obtenido del desarrollo del
presente capitulo tenemos:
Las pantallas del sistema con una breve descripción de la función que cumple cada
una, así como también el resultado obtenido de la propuesta evidenciado por medio
de capturas de pantallas, la metodología del desarrollo de la programación que se
utilizó para el desarrollo del software su interfaz sus opciones y relación con el
usuario.
~ 79 ~
CONCLUSIONES GENERALES.
Con el software de seguridad que permite la confidencialidad de los datos del
sistema (SiViSA), se permite a los usuarios trabajar en un ambiente seguro al
momento de utilizarlo.
Se logra de manera eficaz el control de ingreso al sistema según el usuario.
Al momento del acceder a los datos se logra controlar los permisos
necesarios de acuerdo al usuario que utiliza el sistema en ese momento.
En caso de olvidar la clave se logra recuperar de manera segura.
El administrador puede gestionar los usuarios y la información general del
sistema.
~ 80 ~
RECOMENDACIONES.
Es recomendable capacitar a todas las personas que utilizaran el sistema.
Capacitar en temas de seguridad informática a todos los usuarios.
No compartir las claves de seguridad con otros usuarios, ya que de nada
serviría aplicar seguridad a un sistema si las claves van a ser divulgadas.
En caso de inconvenientes o sugerencias nuevas del sistema ponerse en
contacto con el desarrollador.
BIBLIOGRAFIA.
Uniandes, (2012), Manual de Investigación, Editorial Mendieta, Ambato
COSTAS, Santos Jesús, (2011), Seguridad Informática, 1ra edición, Editorial
RA-MA, Bogotá.
ANDERSON, James P, (1980), Computer Security Threat Monitoring and
Surveillance, Washington.
GÓMEZ, Melissa; RAVE, Michael, (2008), Elementos Del Sistema De
Gestión En Control y Seguridad.
http://gaebasc.blogspot.com/2008/10/elementos-del-sistema-de-gestin-
en.html
CACERES, A, et al. (2009), Diseño de un Sistema de Gestión en Control y
Seguridad Industrial para el Área de Producción y Almacenamiento de una
Empresa.
http://www.dspace.espol.edu.ec/bitstream/123456789/8115/1/Dise%C3%B
1o%20de%20un%20Sistema%20de%20Gesti%C3%B3n%20en%20Control
%20y%20Seguridad%20Industrial.pdf
CHOIZE-CARGO-S.A.C, Sistema de Gestión en Control y Seguridad –
BASC, Callao-Perú.
http://www.choice-cargo.com.pe/CartillaBascChoice.pdf
CABROL, Carina Isabel; CABROL, Silvina Lorena, (2011), Importancia del
control de riesgos en entidades públicas.
http://www.segu-info.com.ar/tesis/Importancia del control de riesgos en
entidades públicas.
.
BORGHELLO, Cristian F. (2000), Seguridad de la Información.
www.segu-info.com.ar.
BORGHELLO, Cristian F. (2000), acceso interno
http://www.segu-info.com.ar/logica/accesointerno.htm
PONICKE, Alejandro, (2007), Seguridad informática un poco de historia.
http://blogs.technet.com/b/ponicke/archive/2007/04/19/seguridad-
informatica-un-poco-de-historia.aspx
http://www.univo.edu.sv:8081/tesis/014203/014203_Cap1.pdf
http://www.implementacionsig.com/index.php/23-noticiac/28-que-es-un-
sistema-de-gestion
HERMOSO, Ramon.et al. (2000), Seguridad Informática.
http://www.ia.urjc.es/cms/sites/default/files/userfiles/file/SEG-
I/2011/introduccion.pdf
MONDRAGÓN, Martin, (2006), Seguridad informática. Capítulo 4 Control de
acceso.
http://mygnet.net/articulos/seguridad/seguridad_informatica_dot_capitulo_4
_control_de_acceso.763.
ECURED, (2013), Control de Acceso, Cuba.
http://www.ecured.cu/index.php/Control_de_acceso
MONDRAGÓN, Martin, (2006), Seguridad informática. Capítulo 4 Control de
acceso.
http://www.ia.urjc.es/cms/sites/default/files/userfiles/file/SEG-
I/2011/control_acceso.pdf
CHIAPPETTA, Marco, (2013), Smart response, Revista PC-World edición
ecuador, 359, 35.
http://blogs.technet.com/b/ponicke/archive/2007/04/19/seguridad-informatica-un-poco-de-historia.aspx
HERNANDEZ, Enrique (2011), Seguridad y privacidad en los sistemas
informáticos.
http://www.disca.upv.es/enheror/pdf/ACTASeguridad.PDF
COBO, Ángel, 2005, PHP y MySQL: tecnologías para el desarrollo de
aplicaciones web, Ediciones Díaz de Santos
TORRICELLA, Raúl, 2008, Infotecnología: la cultura informacional para el
trabajo en la Web, Editorial Universitaria, Cuba
RUIZ, Alberto, 2010, Servidoreswamp.
http://recursostic.educacion.es/observatorio/web/es/software/servidores/80
0-monografico-servidores-wamp
FONTELA, Carlos, 2011, UML: Modelado de software para profesionales,
Alfaomega, Argentina.
ANEXOS
ANEXO 1
Encuestas a Rectores, Vicerrectores, Secretarias, Coordinadores
DCE.
Cuestionario
Lea detenidamente cada pregunta, cada pregunta tiene varias
opciones, marque con una X solo una alternativa.
Pregunta nº1. ¿Su sistema académico cuenta con algún tipo de seguridad
informática?
□ SI
□ NO
Pregunta nº2. ¿Conoce usted la importancia de la seguridad de su sistema
académico?
□ SI
□ NO
Pregunta nº3. ¿Considera seguro a su sistema académico?
□ SI
□ NO
Pregunta nº4. ¿Considera importante que su sistema sea seguro y confiable?
□ SI
□ NO
Pregunta nº5. ¿Conoce usted sobre los ataques informáticos?
□ SI
□ NO
Pregunta nº6. ¿Qué medidas de seguridad considera necesarias en su sistema
académico?
□ CORTAFUEGOS
□ COPIAS DE SEGURIDAD
□ CONTRASEÑAS SEGURAS
□ NINGÚN TIPO
Pregunta nº7. ¿Con que frecuencia hace revisión de los sistemas?
□ MUY FRECUENTE
□ POCO FRECUENTE
□ NADA FRECUENTE
Pregunta nº8. ¿El acceso a su sistema académico está limitado por?
□ USUARIOS
□ DEPARTAMENTO
□ SIN LIMITACIONES
Pregunta nº9. ¿Qué métodos de seguridad tiene su sistema académico?
□ IDENTIFICACIÓN Y AUTENTICACIÓN
□ CONTROL DE ACCESO
□ ENCRIPTACIÓN DE DATOS
□ TODOS
□ NINGUNO
ANEXO 2
SCRIPT DE LA BASE DE DATOS
/*
SQLyog Ultimate v8.32
MySQL - 5.5.24-log : Database - multiser_alex
*********************************************************************
*/
/*!40101 SET NAMES utf8 */;
/*!40101 SET SQL_MODE=''*/;
/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS,
UNIQUE_CHECKS=0 */;
/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS,
FOREIGN_KEY_CHECKS=0 */;
/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE,
SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */;
/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */;
CREATE DATABASE /*!32312 IF NOT EXISTS*/`multiser_alex` /*!40100 DEFAULT
CHARACTER SET latin1 */;
USE `multiser_alex`;
/*Table structure for table `cargos` */
DROP TABLE IF EXISTS `cargos`;
CREATE TABLE `cargos` (
`codcargo` varchar(2) NOT NULL,
`cargo` varchar(100) NOT NULL,
`cargoestado` varchar(8) NOT NULL,
PRIMARY KEY (`codcargo`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*Data for the table `cargos` */
insert into `cargos`(`codcargo`,`cargo`,`cargoestado`) values
('01','WebMaster','Activo'),('02','Administrador','Activo'),('03','Rector','Activo'),('04','Secretar
ia','Activo'),('05','Docente','Activo'),('06','Tecnico','Activo'),('07','Ayudante
Secr.','Activo'),('08','Colector/a','Activo'),('09','Vicerector/a','Activo');
/*Table structure for table `docentes` */
DROP TABLE IF EXISTS `docentes`;
CREATE TABLE `docentes` (
`coddocente` varchar(3) NOT NULL,
`docentecedula` varchar(10) NOT NULL,
`login` varchar(20) NOT NULL,
`password` varchar(256) NOT NULL,
`docentetrato` varchar(8) NOT NULL,
`docente` varchar(50) NOT NULL,
`docentedomicilio` varchar(50) NOT NULL,
`docenteemail` varchar(50) NOT NULL,
`docentetelefono` varchar(22) NOT NULL,
`docentecargo` varchar(20) NOT NULL,
`docenteestado` varchar(8) NOT NULL,
PRIMARY KEY (`coddocente`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*Data for the table `docentes` */
insert into
`docentes`(`coddocente`,`docentecedula`,`login`,`password`,`docentetrato`,`docente`,`doc
entedomicilio`,`docenteemail`,`docentetelefono`,`docentecargo`,`docenteestado`) values
('001','1207250351','docente','ac99fecf6fcb8c25d18788d14a5384ee','Sr.','DOCENTE
PRUEBA','URBANIZACION SAN
SEBASTIAN','[email protected]','0986562151','Docente','Activo');
/*Table structure for table `entidad` */
DROP TABLE IF EXISTS `entidad`;
CREATE TABLE `entidad` (
`entidad` varchar(200) NOT NULL,
`titulo` varchar(150) NOT NULL,
`lema` varchar(100) NOT NULL,
`siglas` varchar(15) NOT NULL,
`direccion` varchar(50) NOT NULL,
`ciudad` varchar(30) NOT NULL,
`lugar` varchar(50) NOT NULL,
`web` varchar(50) NOT NULL,
`email` varchar(50) NOT NULL,
`telefono` varchar(100) NOT NULL,
`visitas` varchar(10) NOT NULL,
PRIMARY KEY (`entidad`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*Data for the table `entidad` */
insert into
`entidad`(`entidad`,`titulo`,`lema`,`siglas`,`direccion`,`ciudad`,`lugar`,`web`,`email`,`telefon
o`,`visitas`) values ('Sistema Virtual de Servicios
Académicos','\"SiViSA\"','','SiViSA','Babahoyo','Babahoyo','Babahoyo -Los Rios -
Ec','www.sivisa.com.ec','[email protected]','(05)732-281 ','6235');
/*Table structure for table `estudiantes` */
DROP TABLE IF EXISTS `estudiantes`;
CREATE TABLE `estudiantes` (
`codestudiante` varchar(6) NOT NULL,
`estudiante_cedula` varchar(10) NOT NULL,
`estudiante` varchar(50) NOT NULL,
`estudiante_fechanacimiento` varchar(10) NOT NULL,
`estudiante_nacionalidad` varchar(20) NOT NULL,
`estudiante_lugarnacimiento` varchar(30) NOT NULL,
`estudiante_provincia_n` varchar(30) NOT NULL,
`estudiante_canton_n` varchar(30) NOT NULL,
`estudiante_parroquia_n` varchar(30) NOT NULL,
`estudiante_domicilio` varchar(50) NOT NULL,
`estudiante_provincia_d` varchar(30) NOT NULL,
`estudiante_canton_d` varchar(30) NOT NULL,
`estudiante_parroquia_d` varchar(30) NOT NULL,
`estudiante_genero` varchar(9) NOT NULL,
`estudiante_discapacidad` varchar(2) NOT NULL,
`estudiante_conae` varchar(5) NOT NULL,
`estudiante_etnia` varchar(20) NOT NULL,
`estudiante_plantel` varchar(50) NOT NULL,
`estudiante_correo` varchar(50) NOT NULL,
`estudiante_foto` varchar(100) NOT NULL,
`estudiante_estado` varchar(15) NOT NULL,
PRIMARY KEY (`codestudiante`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*Data for the table `estudiantes` */
insert into
`estudiantes`(`codestudiante`,`estudiante_cedula`,`estudiante`,`estudiante_fechanacimien
to`,`estudiante_nacionalidad`,`estudiante_lugarnacimiento`,`estudiante_provincia_n`,`estu
diante_canton_n`,`estudiante_parroquia_n`,`estudiante_domicilio`,`estudiante_provincia_
d`,`estudiante_canton_d`,`estudiante_parroquia_d`,`estudiante_genero`,`estudiante_disca
pacidad`,`estudiante_conae`,`estudiante_etnia`,`estudiante_plantel`,`estudiante_correo`,`
estudiante_foto`,`estudiante_estado`) values ('000001','','MENDOZA BRIONES CARLOS
JAVIER','05/01/2002','Ecuatoriana','BABAHOYO','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA EL MAMEY','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA EUGENIO
ESPEJO','','','N'),('000002','','LOOR MENDOZA JULIETH
MONSERRATE','25/10/2001','Ecuatoriana','MONTALVO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','CDLA EL PIREO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','Femenino','','','','UNIDAD EDUCATIVA
MONTERREY','','','N'),('000003','','ROBLES ROLDAN JERSON
ARIEL','23/10/2001','Ecuatoriana','SAN JUAN','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA EL PARAISO','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA
MONTERREY','','','N'),('000004','','PARRAGA ROLDAN JEAN
PIERRE','12/05/2001','Ecuatoriana','BABA','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA EL CHOFER','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA
MONTERREY','','','N'),('000005','','VERA PINARGOTE JENNIFER
STEFANIA','27/04/2000','Ecuatoriana','VINCES','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA UNIVERSITARIA','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Femenino','','','','UNIDAD EDUCATIVA
MONTERREY','','','S'),('000006','','TUAREZ MACIAS MARIA
DANIELA','14/05/2001','Ecuatoriana','PUEBLO VIEJO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','FLORES Y 10 DE AGOSTO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','Femenino','','','','UNIDAD EDUCATIVA
MONTERREY','','','N'),('000007','','HOLGUIN ARAY GINYER
ELIZABETH','23/12/2000','Ecuatoriana','VENTANAS','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','5 DE JUNIO Y OLMEDO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','Femenino','','','','UNIDAD EDUCATIVA
ANEXO','','','N'),('000008','','CARREÑO AVILA TANIA
ELISETH','14/07/1999','Ecuatoriana','VINCES','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','PEDRO CARBO Y JUAN X MARCOS','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','Femenino','','','','UNIDAD EDUCATIVA
ANEXO','','','N'),('000009','','OSTAIZA MENDOZA JOSEPHY
VICENTE','11/05/2001','Ecuatoriana','BABAHOYO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','ROLDOS Y AV 25 DE JULIO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA
ANEXO','','','N'),('000010','','MOLINA LOOR ANGEL
ANDRES','27/01/2001','Ecuatoriana','BABAHOYO','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA EL MAMEY','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA
MONTERREY','','','N'),('000011','','GARCIA MEZA WILLINGTON
DANIEL','26/01/2000','Ecuatoriana','BABAHOYO','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA LA VENTURA','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA CLEMENTE
BAQUERIZO','','','N'),('000012','','GARCIA MENDOZA MARIA
JOSE','16/03/2001','Ecuatoriana','BABAHOYO','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA LA VENTURA','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Femenino','','','','UNIDAD EDUCATIVA EUGENIO
ESPEJO','','','N'),('000013','','INTRIAGO GARCIA DAYANNA
LUCERO','01/08/2001','Ecuatoriana','BABAHOYO','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA EL PIREO','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Femenino','','','','UNIDAD EDUCATIVA EUGENIO
ESPEJO','','','N'),('000014','','PARRAGA MOLINA JORGE
JACINTO','29/12/2000','Ecuatoriana','BABAHOYO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','CDLA 4 DE MAYO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA
EUGENIO ESPEJO','','','N'),('000015','','PALMA OSTAIZA ANTHONY
JOAN','03/07/2001','Ecuatoriana','BABAHOYO','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA EL CHOFER','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA EUGENIO
ESPEJO','','','N'),('000016','','GARCIA VELEZ ERWIN
JOSUE','20/03/2001','Ecuatoriana','BABAHOYO','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA EL PIREO 2','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA CLEMENTE
BAQUERIZO','','','N'),('000017','','PARRAGA MOLINA JESUS
ARIOSTO','15/07/2001','Ecuatoriana','BABAHOYO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','CDLA EL MAMEY','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA
CLEMENTE BAQUERIZO','','','N'),('000018','','CANTOS MEZA RENY
JESUS','29/09/2000','Ecuatoriana','BABAHOYO','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','CDLA UNIVERSITARIA','LOS RIOS','BABAHOYO','CLEMENTE
BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA CLEMENTE
BAQUERIZO','','','N'),('000019','','PARRAGA NAVARRETE KLEVER
HORACIO','05/08/2001','Ecuatoriana','BABAHOYO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','CDLA PUERTA NEGRA','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA
CLEMENTE BAQUERIZO','','','N'),('000020','','PARRAGA MOLINA JEFFERSON
VICENTE','21/04/2001','Ecuatoriana','BABAHOYO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','SUCRE Y GARCIA MORENO','LOS
RIOS','BABAHOYO','CLEMENTE BAQUERIZO','Masculino','','','','UNIDAD EDUCATIVA
ANEXO','','','N');
/*Table structure for table `matriculas` */
DROP TABLE IF EXISTS `matriculas`;
CREATE TABLE `matriculas` (
`matriculacodestudiante` varchar(6) NOT NULL,
`matriculanummatricula` varchar(4) NOT NULL,
`matriculacodperiodo` varchar(2) NOT NULL,
`matriculacodcurso` varchar(2) NOT NULL,
`matriculacodespecializacion` varchar(2) NOT NULL,
`matriculaseccion` varchar(15) NOT NULL,
`matriculaparalelo` varchar(1) NOT NULL,
`matriculausuario` varchar(2) NOT NULL,
`matriculaclave` varchar(4) NOT NULL,
`matriculatipo` varchar(14) NOT NULL,
`matriculaobservacion` varchar(250) NOT NULL,
`matriculaestado` varchar(14) NOT NULL,
KEY `FK_matriculas` (`matriculacodperiodo`),
KEY `matriculacodestudiante` (`matriculacodestudiante`),
CONSTRAINT `FK_matriculas` FOREIGN KEY (`matriculacodestudiante`)
REFERENCES `estudiantes` (`codestudiante`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*Data for the table `matriculas` */
insert into
`matriculas`(`matriculacodestudiante`,`matriculanummatricula`,`matriculacodperiodo`,`mat
riculacodcurso`,`matriculacodespecializacion`,`matriculaseccion`,`matriculaparalelo`,`matr
iculausuario`,`matriculaclave`,`matriculatipo`,`matriculaobservacion`,`matriculaestado`)
values
('000001','0001','01','01','01','Matutino','A','MS','','Ordinaria','','Activo'),('000002','0002','01','
01','01','Matutino','A','MS','','Ordinaria','','Activo'),('000003','0003','01','01','01','Matutino','A','
MS','','Ordinaria','','Activo'),('000004','0004','01','01','01','Matutino','A','MS','','Ordinaria','','Ac
tivo'),('000005','0005','01','01','01','Matutino','A','MS','','Ordinaria','','Activo'),('000006','0006',
'01','01','01','Matutino','A','MS','','Ordinaria','','Activo'),('000007','0007','01','01','01','Matutino'
,'A','MS','','Ordinaria','','Activo'),('000008','0008','01','01','01','Matutino','A','MS','','Ordinaria',''
,'Activo'),('000009','0009','01','01','01','Matutino','A','MS','','Ordinaria','','Activo'),('000010','0
010','01','01','01','Matutino','E','MS','','Ordinaria','','Activo'),('000011','0011','01','01','01','Mat
utino','E','MS','','Ordinaria','','Activo'),('000012','0012','01','01','01','Matutino','E','MS','','Ordin
aria','','Activo'),('000013','0013','01','01','01','Matutino','E','MS','','Ordinaria','','Activo'),('0000
14','0014','01','01','01','Matutino','E','MS','','Ordinaria','','Activo'),('000015','0015','01','01','01'
,'Matutino','E','MS','','Ordinaria','','Activo'),('000016','0016','01','01','01','Matutino','E','MS','','
Ordinaria','','Activo'),('000017','0017','01','01','01','Matutino','E','MS','','Ordinaria','','Activo'),('
000018','0018','01','01','01','Matutino','E','MS','','Ordinaria','','Activo'),('000019','0019','01','0
1','01','Matutino','E','MS','','Ordinaria','','Activo'),('000020','0020','01','01','01','Matutino','B','
MS','','Ordinaria','','Activo');
/*Table structure for table `menu` */
DROP TABLE IF EXISTS `menu`;
CREATE TABLE `menu` (
`codmenu` varchar(2) NOT NULL,
`menu` varchar(100) NOT NULL,
`menuancho` varchar(3) NOT NULL,
`menualto` varchar(4) NOT NULL,
`menuurl` varchar(50) NOT NULL,
`menuestado` varchar(8) NOT NULL,
PRIMARY KEY (`codmenu`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*Data for the table `menu` */
insert into `menu`(`codmenu`,`menu`,`menuancho`,`menualto`,`menuurl`,`menuestado`)
values
('01','INICIO','80','5','contenido.html','Activo'),('03','ACADÉMICO','100','360','index_resultad
os.php','Activo'),('05','CONTÁCTANOS','125','400','index_contactenos.php','Activo');
/*Table structure for table `modulos` */
DROP TABLE IF EXISTS `modulos`;
CREATE TABLE `modulos` (
`codmodulo` varchar(2) NOT NULL,
`modulo` varchar(100) NOT NULL,
`modulourl` varchar(256) DEFAULT NULL,
`moduloico` varchar(100) NOT NULL,
`modulotexto` varchar(150) NOT NULL,
`moduloestado` varchar(8) NOT NULL,
PRIMARY KEY (`codmodulo`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*Data for the table `modulos` */
insert into
`modulos`(`codmodulo`,`modulo`,`modulourl`,`moduloico`,`modulotexto`,`moduloestado`)
values ('01','SECRETARÍA','secretaria_login.php','img/ico_secretaria.png','Modulo de
Secretaria','Activo'),('02','DOCENTES','docentes_ingreso.php','img/ico_docentes.png','Mo
dulo de
Docentes','Activo'),('03','ESTUDIANTES','estudiantes_ingreso.php','img/ico_estudiantes.p
ng','Modulo de
Estudiantes','Activo'),('04','ADMINISTRADOR','usuario_login.php','user.png','Administrado
res','Activo');
/*Table structure for table `periodos` */
DROP TABLE IF EXISTS `periodos`;
CREATE TABLE `periodos` (
`codperiodo` varchar(2) NOT NULL,
`periodo` varchar(15) NOT NULL,
`periodoestado` varchar(8) NOT NULL,
PRIMARY KEY (`codperiodo`),
CONSTRAINT `FK_periodos` FOREIGN KEY (`codperiodo`) REFERENCES
`matriculas` (`matriculacodperiodo`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*Data for the table `periodos` */
insert into `periodos`(`codperiodo`,`periodo`,`periodoestado`) values ('01','2013 -
2014','Activo');
/*Table structure for table `submenus` */
DROP TABLE IF EXISTS `submenus`;
CREATE TABLE `submenus` (
`codsubmenu` varchar(2) NOT NULL,
`submenucodmenu` varchar(2) NOT NULL,
`submenu` varchar(100) NOT NULL,
`submenualto` varchar(4) NOT NULL,
`submenuurl` varchar(50) NOT NULL,
`submenuestado` varchar(8) NOT NULL,
PRIMARY KEY (`codsubmenu`),
KEY `FK_submenus` (`submenucodmenu`),
CONSTRAINT `FK_submenus` FOREIGN KEY (`submenucodmenu`) REFERENCES
`menu` (`codmenu`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*Data for the table `submenus` */
insert into
`submenus`(`codsubmenu`,`submenucodmenu`,`submenu`,`submenualto`,`submenuurl`,`
submenuestado`) values ('04','01','Misión y
Visión','1000','index_mision_vision.php','Activo'),('07','03','Para Ingresar Seleccione una
Categoria','360','index_resultados.php','Activo');
/*Table structure for table `usuarios` */
DROP TABLE IF EXISTS `usuarios`;
CREATE TABLE `usuarios` (
`codusuario` varchar(2) NOT NULL,
`usuariocodcargo` varchar(2) NOT NULL,
`login` varchar(20) NOT NULL,
`password` varchar(256) NOT NULL,
`usuariotrato` varchar(8) NOT NULL,
`usuario` varchar(50) NOT NULL,
`usuarioiniciales` varchar(5) NOT NULL,
`usuarioestado` varchar(8) NOT NULL,
PRIMARY KEY (`codusuario`),
KEY `FK_usuarios` (`usuariocodcargo`),
CONSTRAINT `FK_usuarios` FOREIGN KEY (`usuariocodcargo`) REFERENCES
`cargos` (`codcargo`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*Data for the table `usuarios` */
insert into
`usuarios`(`codusuario`,`usuariocodcargo`,`login`,`password`,`usuariotrato`,`usuario`,`usu
arioiniciales`,`usuarioestado`) values
('01','01','admin','21232f297a57a5a743894a0e4a801fc3','Adm.','Alexis
Verdesoto','ADM','Activo'),('02','04','secretaria','fd09accffacf03d7393c2a23a9601b43','Sra.'
,'Secretaria Prueba','SCR','Activo');
/*!40101 SET SQL_MODE=@OLD_SQL_MODE */;
/*!40014 SET FOREIGN_KEY_CHECKS=@OLD_FOREIGN_KEY_CHECKS */;
/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */;
/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */;
