ACTIVIDAD 1 SESION 8 UNIDAD 3
INVESTIGACIÓN
DOCUMENTAL Y DE CAMPO INFORME FINAL
ETHICAL
HACKING
|
Nombre del aspirante:
|
Oscar Lozada Valdez.
|
|
Nombre del monitor Académico:
|
Martha Patricia Ramírez Cortes.
|
|
Dirección del blog:
|
|
|
Fecha de entrega:
|
28 de Mayo de 2019.
|
Índice.
|
INTRODUCCIÓN.
|
3
|
|
OBJETIVO.
|
4
|
|
METODOLOGÍA.
|
5
|
|
PLAN DE TRABAJO.
|
6
|
|
RESULTADOS.
|
7
|
|
BITÁCORA DE INVESTIGACIÓN.
|
7
|
|
ENTREVISTA.
|
9
|
|
PROBLEMÁTICA DE ENTREVISTA.
|
10
|
|
ENCUESTA Y GRAFICAS.
|
10
|
|
CONCLUSIONES Y RECOMENDACIONES.
|
15
|
|
FUENTES DE CONSULTA.
|
16
|
El informe contiene una investigación sobre el
Ethical Hacking y lo indispensable que es en la actualidad contar con medidas
de seguridad ya que hoy en día diferentes actividades cotidianas se llevan a
cabo por medio de sistemas informáticos y cada vez son más frecuentes por la
constante evolución de métodos del manejo de la información.
Debido a
que estos sistemas se alimentan con datos personales de cada usuario estos
quedan expuestos si no se tiene contemplado un plan o método de seguridad para
la integridad de los sistemas.
Es por eso que es de vital importancia realizar
este tipo de actividades ya que al formarse de Sistemas de Información, Redes
de Computadoras, Aplicaciones Web, Bases de Datos y Servidores estos están
expuestos a algún tipo de intrusión o ataque informático.
Estar preparados para ataques informáticos con
el fin de tener protegida la información para evitar que agentes externos
pudieran borrar, modificar o extraer información sin la debida autorización.
Objetivos generales:
Conocer si estos sistemas y redes de
datos están protegidos de cualquier tipo de intrusiones.
Objetivos específicos:
Explotar las vulnerabilidades existentes en el sistema de
"interés" valiéndose de test de intrusión, que verifican y evalúan la
seguridad física y lógica de:
- Sistemas
de Información.
- Redes
de Computadoras.
- Aplicaciones
Web.
- Bases
de Datos.
- Servidores.
Esta investigación se llevo a cavo con forme a
los lineamientos estudiados y analizados que la pagina de esta Universidad
Abierta y a Distancia de México nos proporciono en el aula virtual.
Los cuales sirvieron de apoyo y guía para esta
investigación, formatos que nos fueron guiando con los siguientes pasos:
1.
Los tipos de investigación.
2.
Formas de realizar encuestas
3.
Diario de campo
4.
Fuentes confiables
|
ACTIVIDAD.
|
MAYO.
|
||||||
|
4 a
7
|
8 a
11
|
12
a 14
|
14
a 16
|
16
a 17
|
20
a 24
|
25
a 29
|
|
|
Delimitación
del
Tema.
|
|
|
|
|
|
|
|
|
Selección
y Recopilación de Información.
|
|
|
|
|
|
|
|
|
Análisis
de información.
|
|
|
|
|
|
|
|
|
Bitácora
de información.
|
|
|
|
|
|
|
|
|
Planeación
y Aplicación.
|
|
|
|
|
|
|
|
|
Análisis
de datos recabados.
|
|
|
|
|
|
|
|
|
Aplicación
de encuesta y análisis de resultados.
|
|
|
|
|
|
|
|
|
Integración
y redacción del informe final
|
|
|
|
|
|
|
|
|
Presentación
multimedia exposición de resultados.
|
|
|
|
|
|
|
|
Como resultado de esta actividad, obtuvimos una
bitácora de investigación, entrevista y encuesta a personas afines al tema.
LUGAR: Hospital Central Militar.
13 de Mayo de 2019.
14:00 HRS.
Me dirijo a las instalaciones del Hospital Central Militar, que se
encuentra ubicado en Boulevard Manuel Ávila Camacho S/N Lomas de Sotelo Av.
Industria Militar y General Cabral, Miguel Hidalgo. C.P. 11200.
16:00 HRS. a 17:00
En la puerta me encontré con un militar el
cual pidió me identificara, le explique que tenía el deseo de realizar una
investigación le hice saber los motivos y causas después de tramites
protocolarios propios de militares me llevo a una área llamada enseñanza.
1730 HRS.
Estando ahí con otro militar encargado del el área de enseñanza le
comente ser estudiante y de mi intención
de realizar una investigación solicitando el apoyo de ese nosocomio para
llevarla a cabo, posterior mente me asignaron a una persona para que me
mostrara las instalaciones. Este hospital es enorme cuenta con una area de
consulta externa, una de urgencias una de hospitalización (con más de 35 salas
las cuales cada una atiende diferentes especialidades), área de quirófanos,
banco de sangre, radiología, laboratorio de muestras, archivo clínico,
dirección, área de academias y comedor, durante el recorrido me platico que
recientemente empezaron a implementar un sistema informático hay en las
instalaciones del hospital lo cual despertó aun mas mi interés ya que mi
investigación podría estar dirigida hacia ese sistema.
21:30 HRS.
Concluimos el
recorrido por la hora, pero le pedí de al día siguiente continuáramos pero que
me llevara con los que llevaban el sistema.
14 de Mayo de 2019.
13:00 HRS.
Acudí otra vez a las instalaciones del hospital e ingrese bajo las
mismas circunstancias del día anterior.
13:30
HRS.
Me recibió la misma persona del día anterior y
me llevo al departamento de informática que se compone de barias áreas como
mantenimiento, redes y soporte técnico. Este último se encarga de la
implementación y capacitación en el uso del sistema informático el cual lo
llaman Sistema Digital de Sanidad (SDS.), hay me presentaron al encargado de
esta área el oficial Saúl con el cual estuve platicando y le explique sobre mi
investigación lo cual le pareció interesante.
14 de Mayo de 2019.
12:00 HRS.
La oficial Lorena me comento que este sistema se
componía de doce módulos que cubrían las diversas actividades del hospital y
cada uno de estos contaba con un encargado y me presento con ellos les comento
acerca de mi investigación sobre el Hethical hacking y les pareció muy
interesante, aparte de que les parecía buena idea ya que en el sistema se
manejaban datos confidenciales de los pacientes y me mencionaron a grandes
rasgos las áreas sensibles.
Lic. En Matemáticas
Aplicadas y Computación Ana Patricia Velasco Bautista:
1.- ¿Cual es su función
con respecto al sistema que se implementa en este hospital?
Dar
soporte técnico y apoyo en el manejo del Sistema Digital de Sanidad, así como
detectar y solucionar fallas para su pronta corrección.
2.- ¿Sobre qué lenguaje
de programación esta desarrollado el sistema?
Genexus.
3.- ¿Cuál es el
objetivo principal de la aplicación del sistema en este hospital?
Es
llevar un control exacto del costo paciente, tener un amplio control en el
surtimiento y manejo de la caducidad de los medicamentos e insumos además de se
busca contar con un único expediente por paciente a nivel republica.
4.- ¿Con qué medidas de
seguridad cuenta este sistema?
Esta
desarrollada en una red local por medio de intranet, Cada usuario cuanta con su
propia clave de acceso y contraseña además de que firman un acta responsiva
para contar con un sustento legal, cada página cuanta con un tiempo limitado de
sesión (al no detectar actividad del usuario la sesión se cierra en
automático), así mismo cada equipo de computo cuenta con su antivirus y
firewall el cual se actualiza semanalmente.
5.- ¿Cree usted que
esas medidas de seguridad son suficientes?
No,
ya que la información no se encripta y alguien pudiera accesar al esta
información con la herramienta y conocimientos necesarios.
6.- ¿Cuales son las
áreas de más vulnerabilidad en el sistema?
Pues
principalmente las áreas que tiene acceso al expediente del paciente y como en
todo sistemas el usuario.
7.- Mi proyecto de investigación habla del Ethical
Hacking ¿cree usted que sería necesario aplicar
una practica de este tipo para su sistema?
No necesario mas bien indispensable para asi
detectar los puntos mas vulnerables y tratar de reforzarlos para evitar fugas
de información.
Problemática de la entrevista.
La problemática se dio debido a que la persona relacionada con el tema
no contaban con tiempo disponible sus horarios coincidían con los míos así que cuando
yo llegaba al lugar ella ya estaba a punto de salir entonces no contaba con
tiempo suficiente.
Encuesta.
La encuesta se realizo a los 12 responsables de cada modulo de los
cuales se compone el sistema informático de ese hospital.
Los datos recabados de la encuesta se representan con las siguientes
gráficas.
2.- ¿Consideras
que el sistema informático del hospital resguarda adecuadamente la información
del paciente?
3.- ¿Si
tu fueras el paciente confiarías en la manera en que el sistema almacena tu
información personal?
4.- ¿Crees
tú que las medidas de seguridad del SDS son eficientes?
5.- ¿Considerarías
la probabilidad de que existiera un
ataque informático al SDS?
6. ¿SI
de ti dependiera implementarías otras medidas de seguridad?
7.- ¿Conoces
las practicas del Ethical Hacking en los sistemas informáticos?
8.- ¿Conoces
algún sistema que haya implementado el Ethical Hacking como medida preventiva?
9.- ¿Considerarías
aplicar el Ethical hacking al SDS?
10.- ¿En
tu opinión crees tú que beneficiaria la práctica del Ethical Hacking al sistema?
Conclusiones y recomendaciones.
Como resultado obtuvimos que es prioritario que se aplique este tipo de
practicas a los sistemas realizando pruebas de penetración como:
·
Pruebas de penetración con objetivo:
se buscan las vulnerabilidades en partes específicas de los sistemas
informáticos críticos de la organización.
·
Pruebas de penetración sin objetivo:
consisten en examinar la totalidad de los componentes de los sistemas
informáticos pertenecientes a la organización. Este tipo de pruebas suelen ser
las más laboriosas.
·
Pruebas de penetración a ciegas: en
estas pruebas sólo se emplea la información pública disponible sobre la
organización.
·
Pruebas de penetración informadas:
aquí se utiliza la información privada, otorgada por la organización acerca de
sus sistemas informáticos. En este tipo de pruebas se trata de simular ataques
realizados por individuos internos de la organización que tienen determinado
acceso a información privilegiada.
·
Pruebas de penetración externas: son
realizas desde lugares externos a las instalaciones de la organización. Su
objetivo es evaluar los mecanismos perimetrales de seguridad informática de la
organización.
·
Pruebas de penetración internas: son
realizadas dentro de las instalaciones de la organización con el objetivo de
evaluar las políticas y mecanismos internos de seguridad de la organización.
