martes, 28 de mayo de 2019

ACTIVIDAD 1 SESION 8 UNIDAD 3



INVESTIGACIÓN DOCUMENTAL Y DE CAMPO INFORME FINAL

ETHICAL HACKING


Nombre del aspirante:
Oscar Lozada Valdez.

Nombre del monitor Académico:
Martha Patricia Ramírez Cortes.

Dirección del blog:

Fecha de entrega:
28 de Mayo de 2019.













Índice.

INTRODUCCIÓN.

3
OBJETIVO.

4
METODOLOGÍA.

5
PLAN DE TRABAJO.

6
RESULTADOS.

7
BITÁCORA DE INVESTIGACIÓN.

7
ENTREVISTA.

9
PROBLEMÁTICA DE ENTREVISTA.

10
ENCUESTA Y GRAFICAS.

10
CONCLUSIONES Y RECOMENDACIONES.

15
FUENTES DE CONSULTA.

16













Introducción.

El informe contiene una investigación sobre el Ethical Hacking y lo indispensable que es en la actualidad contar con medidas de seguridad ya que hoy en día diferentes actividades cotidianas se llevan a cabo por medio de sistemas informáticos y cada vez son más frecuentes por la constante evolución de métodos del manejo de la información.
 Debido a que estos sistemas se alimentan con datos personales de cada usuario estos quedan expuestos si no se tiene contemplado un plan o método de seguridad para la integridad de los sistemas.
Es por eso que es de vital importancia realizar este tipo de actividades ya que al formarse de Sistemas de Información, Redes de Computadoras, Aplicaciones Web, Bases de Datos y Servidores estos están expuestos a algún tipo de intrusión o ataque informático.
 








Objetivo.

Estar preparados para ataques informáticos con el fin de tener protegida la información para evitar que agentes externos pudieran borrar, modificar o extraer información sin la debida autorización.



Objetivos generales:
Conocer si estos sistemas y redes de datos están protegidos de cualquier tipo de intrusiones.

Objetivos específicos:
Explotar las vulnerabilidades existentes en el sistema de "interés" valiéndose de test de intrusión, que verifican y evalúan la seguridad física y lógica de:
  •       Sistemas de Información.
  •         Redes de Computadoras.
  •         Aplicaciones Web.
  •         Bases de Datos.
  •         Servidores.










Metodología.


Esta investigación se llevo a cavo con forme a los lineamientos estudiados y analizados que la pagina de esta Universidad Abierta y a Distancia de México nos proporciono en el aula virtual.
Los cuales sirvieron de apoyo y guía para esta investigación, formatos que nos fueron guiando con los siguientes pasos:
1.     Los tipos de investigación.
2.     Formas de realizar encuestas
3.     Diario de campo
4.     Fuentes confiables






Plan de trabajo.


ACTIVIDAD.
MAYO.
4 a 7
8 a 11
12 a 14
14 a 16
16 a 17
20 a 24
25 a 29
Delimitación del
Tema.







Selección y Recopilación de Información.







Análisis de información.







Bitácora de información.







Planeación y Aplicación.







Análisis de datos recabados.







Aplicación de encuesta y análisis de resultados.







Integración y redacción del informe final







Presentación multimedia exposición de resultados.














Resultados.

Como resultado de esta actividad, obtuvimos una bitácora de investigación, entrevista y encuesta a personas afines al tema.

Bitácora de investigación.

LUGAR: Hospital Central Militar.
13 de Mayo de 2019.

14:00 HRS.
            Me dirijo a las instalaciones del Hospital Central Militar, que se encuentra ubicado en Boulevard Manuel Ávila Camacho S/N Lomas de Sotelo Av. Industria Militar y General Cabral, Miguel Hidalgo. C.P. 11200.
16:00 HRS. a 17:00
            En la puerta me encontré con un militar el cual pidió me identificara, le explique que tenía el deseo de realizar una investigación le hice saber los motivos y causas después de tramites protocolarios propios de militares me llevo a una área llamada enseñanza.
1730 HRS.
            Estando ahí con otro militar encargado del el área de enseñanza le comente ser estudiante y de  mi intención de realizar una investigación solicitando el apoyo de ese nosocomio para llevarla a cabo, posterior mente me asignaron a una persona para que me mostrara las instalaciones. Este hospital es enorme cuenta con una area de consulta externa, una de urgencias una de hospitalización (con más de 35 salas las cuales cada una atiende diferentes especialidades), área de quirófanos, banco de sangre, radiología, laboratorio de muestras, archivo clínico, dirección, área de academias y comedor, durante el recorrido me platico que recientemente empezaron a implementar un sistema informático hay en las instalaciones del hospital lo cual despertó aun mas mi interés ya que mi investigación podría estar dirigida hacia ese sistema. 

21:30 HRS.
Concluimos el recorrido por la hora, pero le pedí de al día siguiente continuáramos pero que me llevara con los que llevaban el sistema.
14 de Mayo de 2019.

13:00 HRS.
            Acudí otra vez a las instalaciones del hospital e ingrese bajo las mismas circunstancias del día anterior.
13:30 HRS.
Me recibió la misma persona del día anterior y me llevo al departamento de informática que se compone de barias áreas como mantenimiento, redes y soporte técnico. Este último se encarga de la implementación y capacitación en el uso del sistema informático el cual lo llaman Sistema Digital de Sanidad (SDS.), hay me presentaron al encargado de esta área el oficial Saúl con el cual estuve platicando y le explique sobre mi investigación lo cual le pareció interesante.
14 de Mayo de 2019.

12:00 HRS.
La oficial Lorena me comento que este sistema se componía de doce módulos que cubrían las diversas actividades del hospital y cada uno de estos contaba con un encargado y me presento con ellos les comento acerca de mi investigación sobre el Hethical hacking y les pareció muy interesante, aparte de que les parecía buena idea ya que en el sistema se manejaban datos confidenciales de los pacientes y me mencionaron a grandes rasgos las áreas sensibles.




Entrevista.

Lic. En Matemáticas Aplicadas y Computación Ana Patricia Velasco Bautista:

1.- ¿Cual es su función con respecto al sistema que se implementa en este hospital?
Dar soporte técnico y apoyo en el manejo del Sistema Digital de Sanidad, así como detectar y solucionar fallas para su pronta corrección.
2.- ¿Sobre qué lenguaje de programación esta desarrollado el sistema?
Genexus.
3.- ¿Cuál es el objetivo principal de la aplicación del sistema en este hospital?
Es llevar un control exacto del costo paciente, tener un amplio control en el surtimiento y manejo de la caducidad de los medicamentos e insumos además de se busca contar con un único expediente por paciente a nivel republica.
4.- ¿Con qué medidas de seguridad cuenta este sistema?
Esta desarrollada en una red local por medio de intranet, Cada usuario cuanta con su propia clave de acceso y contraseña además de que firman un acta responsiva para contar con un sustento legal, cada página cuanta con un tiempo limitado de sesión (al no detectar actividad del usuario la sesión se cierra en automático), así mismo cada equipo de computo cuenta con su antivirus y firewall el cual se actualiza semanalmente.
5.- ¿Cree usted que esas medidas de seguridad son suficientes?
No, ya que la información no se encripta y alguien pudiera accesar al esta información con la herramienta y conocimientos necesarios.
6.- ¿Cuales son las áreas de más vulnerabilidad en el sistema?
Pues principalmente las áreas que tiene acceso al expediente del paciente y como en todo sistemas el usuario.
7.- Mi proyecto de investigación habla del Ethical Hacking ¿cree usted que sería necesario aplicar una practica de este tipo para su sistema?
No necesario mas bien indispensable para asi detectar los puntos mas vulnerables y tratar de reforzarlos para evitar fugas de información.

Problemática de la entrevista.

La problemática se dio debido a que la persona relacionada con el tema no contaban con tiempo disponible sus horarios coincidían con los míos así que cuando yo llegaba al lugar ella ya estaba a punto de salir entonces no contaba con tiempo suficiente.

Encuesta.


La encuesta se realizo a los 12 responsables de cada modulo de los cuales se compone el sistema informático de ese hospital.
Los datos recabados de la encuesta se representan con las siguientes gráficas.

Gráficas.

1.-        ¿Crees tú que la información del paciente debe ser privada?

2.-        ¿Consideras que el sistema informático del hospital resguarda adecuadamente la información del paciente?

3.-        ¿Si tu fueras el paciente confiarías en la manera en que el sistema almacena tu información personal?


4.-        ¿Crees tú que las medidas de seguridad del SDS son eficientes?



5.-        ¿Considerarías la probabilidad  de que existiera un ataque informático al SDS?


6.         ¿SI de ti dependiera implementarías otras medidas de seguridad?


7.-        ¿Conoces las practicas del Ethical Hacking en los sistemas informáticos?

8.-        ¿Conoces algún sistema que haya implementado el Ethical Hacking como medida preventiva?


9.-        ¿Considerarías aplicar el Ethical hacking al SDS?

10.-      ¿En tu opinión crees tú que beneficiaria la práctica del Ethical Hacking al sistema?


Conclusiones y recomendaciones.

Como resultado obtuvimos que es prioritario que se aplique este tipo de practicas a los sistemas realizando pruebas de penetración como:
·         Pruebas de penetración con objetivo: se buscan las vulnerabilidades en partes específicas de los sistemas informáticos críticos de la organización.
·         Pruebas de penetración sin objetivo: consisten en examinar la totalidad de los componentes de los sistemas informáticos pertenecientes a la organización. Este tipo de pruebas suelen ser las más laboriosas.
·         Pruebas de penetración a ciegas: en estas pruebas sólo se emplea la información pública disponible sobre la organización.
·         Pruebas de penetración informadas: aquí se utiliza la información privada, otorgada por la organización acerca de sus sistemas informáticos. En este tipo de pruebas se trata de simular ataques realizados por individuos internos de la organización que tienen determinado acceso a información privilegiada.
·         Pruebas de penetración externas: son realizas desde lugares externos a las instalaciones de la organización. Su objetivo es evaluar los mecanismos perimetrales de seguridad informática de la organización.
·         Pruebas de penetración internas: son realizadas dentro de las instalaciones de la organización con el objetivo de evaluar las políticas y mecanismos internos de seguridad de la organización.
Fuentes de consulta.