HACKERCRAKERPHARMING

mpereyrape2001@yahoo.es

SISTEMA DE INFORMACIONVULNERABILIDADES

Qu es la seguridad en los sistemas de informacin?Es asegurar los recursos del SI de una organizacin, el cual incluye programas, equipos e informacin propiamente dicha; se resguarda de esta forma los datos que se consideran importantes para que no sean vistos por cualquier persona noautorizada o daada por cualquier elemento malicioso.

DEFINICIONES DE SISTEMAS DE INFORMACION

SISTEMA: Conjunto de elementos interrelacionados entre si con el objeto de lograr un fin comn. El todo, es el resultado del funcionamiento armnico de las partes, basta que una de las partes deje de funcionar o tenga alguna interferencia, para que no se cumpla con el objetivo de un sistema.

DEFINICIONES DE SISTEMAS DE INFORMACIONVideo HONDA:

Propsito u objetivo, todo sistema debe tener un propsito, los elementos que se relacionen entre s tratan de alcanzar un objetivo. Globalismo o totalidad, la entidad o empresa es un todo orgnico visto como sistema, reaccionar globalmente ante cualquier estmulo producido en cualquier parte del sistema. Entropa, los sistemas tienen la tendencia al desgaste, a la desintegracin, cuando aumenta la entropa, los sistemas empresariales se vuelven obsoletos en el tiempo, los nuevos paradigmas remplazan a los antiguos.

Homeostasis, es el equilibrio dinmico entre las partes del sistema, ante cambios del entorno empresarial, los sistemas tienden a adaptarse y alcanzar un nuevo equilibrio interno. CARACTERISTICAS DE LOS SISTEMAS

En cuanto a su constitucin:

Sistemas Concretos o fsicos, est compuesto por los activos fijos de la empresa, los materiales, etc. tales como las mquinas, equipos, es decir el Hardware. Sistemas abstractos, est compuesto por planes, hiptesis, conceptos e ideas, est inmerso en el pensamiento de los trabajadores, etc., es decir es el software.

En cuanto a su naturaleza: Sistemas cerrados, no tienen contacto con el medio ambiente que lo rodea, son hermticos ante cualquier influencia ambiental. Sistema abiertos, tienen contacto de intercambio con el ambiente en materia y energa.Sistema natural, (sistema solar, sistema circulatorio, etc)Sistema artificial (la empresa) TIPOS DE SISTEMA

En cuanto al comportamiento:

Sistema determinista: Sistema con un comportamiento previsible, las partes interactan de un modo perfectamente previsible, sin dejar lugar a dudas. A partir del ultimo estado del sistema y el programa de informacin, se puede prever, sin ningn riesgo o error, su prximo estado. Por ejemplo, al mover el timn de un vehculo, se puede prever el movimiento de las ruedas, la palanca, la polea, un programa de computadora.

Sistema probabilstica: Sistema con un comportamiento no previsible, no se puede hacer una previsin detallada. Si se estudia intensamente, se puede prever probabilsticamente lo que suceder en determinadas circunstancias. No esta predeterminado. La previsin se encuadra en las limitaciones lgicas de la probabilidad. Por ejemplo, la reaccin de las aves, cuando se le pone alimento en el parque, se podrn acercar, no hacerlo o alejarse, el clima, el sistema econmico mundial. TIPOS DE SISTEMA

TIPOS DE SISTEMASistemas flexibles, se adaptan a las modificaciones del medio ambiente, tales como: Los sistemas econmicos, polticos, sociales, culturales, legales, etc.

Sistemas Rgidos, su concepcin y estructura varan muy poco, tales como el sistema solar, sistema biolgico del hombre, sistema de carretas, sistema climatolgico, etc.

inputfeedbackoutputprocesamientoPARAMETRO DE LOS SISTEMASTodo sistema se caracteriza por determinados parmetros que son constantes arbitrarias que caracterizan la dimensin y propiedades de un sistema. Los parmetros de los sistemas son: . Entrada o ingreso (Input)

. Procesamiento o transformacin (Throughput)

. Salida o Resultado o producto (Output)

. Retroalimentacin (Feedback)

. Ambiente interno y externo (environment)

Comportamiento probabilstico de las organizaciones. Toda organizacin es afectada por los cambios ambientales, las variables desconocidas e incontrolables son los protagonistas para que la gerencia reaccione al cambio del entorno, el comportamiento humano no es totalmente previsible.

2. Las organizaciones es parte de la sociedad y est constituida por partes menores.

3. Interdependencia de las partes, las unidades orgnicas se encuentran interrelacionadas e interconectadas, un cambio en una de ellas, afecta el comportamiento de las otras.

CARACTERISTICAS DE LAS ORG. COMO SISTEMAS ABIERTOS

4. Homestasis o estado firme, esto se logra cuando las organizaciones presentan: la unidireccionalidad y el progreso. La unidireccionalidad se refiere a que la gerencia busca lograr los mismos resultados ante los cambios del ambiente y el progreso se orienta hacia el fin deseado. 5. Fronteras sin lmites, es la lnea que demarca lo que est dentro y fuera del sistema.

6. Morfognesis, todo sistema organizacional tiene la capacidad de modificar su estructura bsica para obtener mejores resultados del sistema.CARACTERISTICAS DE LAS ORG. COMO SISTEMAS ABIERTOS

Interacta permanentemente con el entorno empresarial. Las variables internas son: - Los Dueos - Los Directivos

Intervienen en el procesamiento, out put, in put y feedback: - Los Trabajadores - Los Recursos Fsicos (insumos, mquinas y equipos, capital)

Las variables externas son: Las variables del micro ambiente o del micro sistema, estas son controlables por la gerencia. - El cliente - La competencia - Los proveedores - Las instituciones financieras - Otras LA EMPRESA ES UN SISTEMAS ABIERTOS

ProveedoresCompetenciaInstitucionesFinancierasClienteVariablesSocio-culturalesVariables EconmicasVariablesPoltico-LegalesVariablestecnolgicasVariables demogrficasOtrosLA EMPRESA ES UN SISTEMAS ABIERTOS

La empresa tambin puede analizarse como un conjunto de funciones que interactan entre s en las diferentes reas que es parte del proceso administrativo, se puede sintetizar este sistema de la siguiente manera: LA EMPRESA ES UN SISTEMAS ABIERTOS

ETAPAS POR LOS QUE PASA LOS SIANALISIS DE SISTEMASEl Anlisis de Sistemas trata bsicamente de determinar los objetivos y lmites del sistema objeto de anlisis, caracterizar su estructura y funcionamiento, marcar las directrices que permitan alcanzar los objetivos propuestos y evaluar sus consecuencias. Dependiendo de los objetivos del anlisis, podemos encontrarnos ante dos problemticas distintas: Anlisis de un sistema ya existente para comprender, mejorar, ajustar y/o predecir su comportamiento - Anlisis como paso previo al diseo de un nuevo sistema-producto

DISEO DE SISTEMASEl Diseo de Sistemas se ocupa de desarrollar las directrices propuestas durante el anlisis en funcin deaquella configuracin que tenga ms posibilidades de satisfacer los objetivos planteados tanto desde el punto de vista funcional como del no funcional.

GESTION DE SISTEMASLa Gestin de Sistemas se ocupa de integrar, planificar y controlar los aspectos tcnicos, humanos, organizativos, comerciales y sociales del proceso completo (desde el anlisis y el diseo hasta la vida operativa del sistema). Los objetivos principales de la Gestin de Sistemas suelen ser: Planificar y controlar el proceso completo de anlisis, diseo y operacin del sistema dentro del presupuesto, plazo, calidad y restantes condiciones convenidas. - Controlar la validez de los criterios de diseo. Controlar la adecuacin del producto del diseo a los requisitos establecidos en el anlisis. - Planificar y desarrollar las necesidades de mantenimiento. Planificar y desarrollar las necesidades de formacin del personal que va a operar el sistema. - Planificar la supervisin del funcionamiento del sistema.

La Ingeniera de Sistemas a menudo involucra la utilizacin de modelos y la simulacin de algunos aspectos del sistema propuesto para validar hiptesis o explorar teoras.

Modelo: Es la representacin en pequeo de algo, es la representacin simplificada de alguna parte de la realidad.

AMBITO DE LA ING. DE SISTEMAS

No siempre la construccin de modelos de sistemas extremadamente complejos permite el isomorfismo (los sistemas son isomorfos cuando su forma es semejante), en especial cuando no existe la posibilidad de verificarlo.

El sistema debe ser representado por un modelo reducido y simplificado, aprovechando el homomorfismo del sistema original (los sistemas son homomrficos cuando conservan entre s proporcin, aunque no siempre del mismo tamao). Es el caso de las maquetas o planos de edificios, diagramas de circuitos elctricos o electrnicos, organigramas de empresas, flujogramas de rutinas y procedimientos, modelos matemticos de decisin, etc.

AMBITO DE LA ING. DE SISTEMAS

AMBITO DE LA ING. DE SISTEMASLos modelos tambin pueden clasificarse en:

a.- A escala, simulacros de objetos materiales (sean reales o imaginarios), que conservan sus proporciones relativas, aunque el tamao es diferente del original. Se basan en la semejanza de algunas de sus propiedades con las del sistema original.

b.-Analgicos, implican cambios del medio y deben reproducir la estructura del original, es decir, que sean isomorfos (los sistemas son isomorfos cuando su forma es semejante) con ste.

c.- Matemticos, que buscan la aplicacin de funciones y ecuaciones matemticas para representar el problema original mediante una transformacin homomrfica (que ocurre cuando los sistemas conservan entre proporcin en sus formas, aunque no sean siempre del mismo tamao). AMBITO DE LA ING. DE SISTEMAS

INGENIERIA DE SISTEMAS

INGENIERA DE SISTEMASModo de enfoque interdisciplinario que permite estudiar y comprender la realidad, con el propsito de implementar u optimizar sistemas complejos. INGENIERA DE SISTEMAS

Ingeniera es el arte de utilizar los instrumentos que nos provee la ciencia para que a travs del ingenio se generen soluciones que proporcionan bienestar y progreso

Ing. Ral Delgado SaynINGENIERA DE SISTEMAS

INGENIERA DE SISTEMASINGENIERIALa ingeniera es la profesin que aplica conocimientos y experiencias para que mediante diseos, modelos y tcnicas se resuelvan problemas que afectan a la humanidad a travs del desarrollo de la tecnologa.

SISTEMA

L. von Bertalanffy (1968): "Un sistema es un conjunto de unidades en interrelacin".

Conjunto organizado de cosas o partes interactuantes e interdependientes, que se relacionan formando un todo unitario y complejo.INGENIERA DE SISTEMAS

Cmo te imaginas que es un ingeniero?Experto en matemticas, fsica y qumica y estudioso, muuuuy estudioso INGENIERA DE SISTEMAS

Ingeniero, ra. (De ingenio, mquina o artificio).Hombre que discurre con ingenio las trazas y modos de conseguir o ejecutar algo.

Diccionario de la lengua espaola (http://www.rae.es/)Qu es un ingeniero?INGENIERA DE SISTEMAS

Un ingeniero es INGENIERA DE SISTEMAS

INGENIERA DE SISTEMASMark Elliot Zuckerberg (14 de mayo de 1984, White Plains, USA), ms conocido como Mark Zuckerberg, es un programador y empresario estadounidense conocido por ser el creador de Facebook.

Para desarrollar la red, Zuckerberg cont con el apoyo de sus compaeros de Harvard.

Actualmente es el personaje ms joven que aparece en la lista anual de millonarios de la revista Forbes con una fortuna valorada en ms de 13.500 millones de dlares.

Fue nombrado como Persona del Ao en 2010 por la revista estadounidense Time Magazine.

Qu hace un ingeniero? Busca soluciones, con ingenio, a los problemas de la vida (muchos mbitos) y hace ms fcil la vida de los dems. Se pregunta cosas y se interesa por las respuestas.INGENIERA DE SISTEMAS

La ingeniera nos rodeaEs una profesin que te puede llevar desde la profundidad del ocano hasta lo ms lejano del espacio exterior, desde dentro de la estructura microscpica de la clula humana hasta la cima del ms alto rascacielos. Sea un telfono celular, cmara digital, DVD, o un dispositivo de reconocimiento facial capaz de detectar a un terrorista en un abarrotado estadio de ftbol, los ingenieros estn detrs de casi toda la emocionante tecnologa de hoy.INGENIERA DE SISTEMAS

Ciencia, Ingeniera y TecnologaCmo se relacionan?CienciaSolucionesIngenieraTecnologaINGENIERA DE SISTEMAS

Encuesta elaborada por la Universidad de Lima sobre la demanda de profesionales en 250 de las 4.000 empresas de mayor facturacin en el Per y publicada en El Comercio el 13/11/2007.INGENIERA DE SISTEMASINGENIERA DE SISTEMAS

El Comercio - Noviembre 2007Demanda de profesionales en las empresasINGENIERA DE SISTEMASINGENIERA DE SISTEMAS

El Comercio - Noviembre 2007Carreras que ms necesita el pasINGENIERA DE SISTEMASINGENIERA DE SISTEMAS

El Comercio - Noviembre 2007Profesionales que tendrn ms demanda en 10 aosINGENIERA DE SISTEMASINGENIERA DE SISTEMAS

Diario Peru21, Mircoles 25 de mayo del 2011

Qu es un Ingeniero de Sistemas?

Un Ingeniero de Sistemas es el profesional capaz de analizar, disear,investigar, desarrollar y administrar cualquier tipo de sistema, aplicandolas ciencias bsicas, las tecnologas de informacin y comunicaciones,y la Teora General de Sistemas.

Fundamentalmente, es capaz de integrar y optimizar los recursos organizacionales para la adecuada toma de decisiones, adems de especificar y desarrollar software base y de aplicacin generando tecnologa nacional.INGENIERA DE SISTEMASINGENIERA DE SISTEMAS

Investigacin: Busca nuevos conocimientos y tcnicas. Desarrollo: Emplea nuevos conocimientos y tcnicas. Diseo: Especificar soluciones. Produccin: Transformacin de materias primas en productos. Construccin: Llevar a la realidad la solucin de diseo. Operacin: Proceso de manutencin y administracin para optimizar productividad. Ventas: Ofrecer servicios, herramientas y productos. Administracin: Participar en solucin de problemas.Gestin y enseanza. FUNCIONES DEL INGENIEROINGENIERA DE SISTEMAS

INTRODUCCINAPLICACIONES DE LA INGENIERIA DE SISTEMAS

INTRODUCCINAPLICACIONES DE LA ING. DE SISTEMASRECONOCIMIENTO DE VOZ

El software de reconocimiento del lenguaje hablado que trae incorporado Windows Vista, el nuevo sistema operativo de Microsoft; El programa permite al usuario la ejecucin de tareas normales sin necesidad de usar el teclado, incluyendo la redaccin de emails.

Vista entra a competir con otros programas de reconocimiento de voz especializados ya existentes en el mercado, de los cuales los ms populares son Via Voice de IBM, Dragon Naturally Speaking 9 de Nuance o Voice Pro 11 de Linguatec. Dragon ofrece reconocimiento de 44 idiomas, incluyendo espaol, latinoamericano, colombiano y argentino, adems de portugus de Portugal y Brasil, y cataln y vasco.

INTRODUCCINRECONOCIMIENTO DE IMGENES

Los sistemas de computadoras son cada vez ms potentes y menoscostosos, lo que permite crear nuevas formas de arte que antes no eran posibles, y algunas otras formas de arte antiguas pueden ahora verse beneficiadas con novedosas tcnicas asistidas por computadora.

El reconocimiento de imgenes ha evolucionado a medida que mejora latecnologa. Puede encontrarse en numerosos campos.

APLICACIONES DE LA ING. DE SISTEMAS

INTRODUCCINa.- Reconocimiento de caracteresEl reconocimiento ptico de caracteres, conocido tambin como OCR(Optical Character Recognition), es un proceso por el cual en una imagen digital se reconocen los caracteres con la finalidad de poder editarla como texto. Este tipo de aplicaciones son utilizadas como complemento en escneres y otros dispositivos de captura de imgenes digitales.b.- Identificacin de personas para investigaciones policacas.Muchas veces en investigaciones de crmenes un testigo puede describir con mucho detalle el rostro de un criminal. Un dibujante profesional convierte la descripcin verbal del testigo en un dibujo sobre papel. El trabajo de la computadora consiste en buscar el rostro del criminal en una base de datos de imgenes. En las investigaciones policacas tambin se utiliza la bsqueda de huellas dactilares en una base de datos.

APLICACIONES DE LA ING. DE SISTEMAS

INTRODUCCINc.- BiometraLa biometra es el reconocimiento del cuerpo humano a travs de ciertascaractersticas fsicas, como el tamao de los dedos de la mano, las huellas dactilares o los patrones en las retinas de los ojos.

Los sistemas de computadoras actuales permiten tener mejores niveles de seguridad utilizando la biometra. Por ejemplo, Control de ingreso y salida a la UCSUR.

APLICACIONES DE LA ING. DE SISTEMAS

INTRODUCCINSistema de reconocimiento facial Aplicacin dirigida por ordenador para identificar automticamente a una persona en una imagen digital, mediante la comparacin de determinadas caractersticas faciales a partir de una imagen digital o un fotograma de una fuente de vdeo y una base de datos.

Es utilizado principalmente en Sistemas de Seguridad para el reconocimiento de los usuarios. Consiste en un lector que define las caractersticas del rostro, y al solicitar acceso se verifica que coincidan las caractersticas del usuario con la BD.Es poco confiable ya que las caractersticas de nuestro rostro al paso de tiempo tienden a cambiar.Se suelen utilizar en los sistemas de seguridad y puede ser comparado a otros biometra como huella digital o los sistema de reconocimiento usando escaneo del iris.APLICACIONES DE LA ING. DE SISTEMAS

INTRODUCCINPROCESAMIENTO DE IMGENES MEDICASEl objetivo fundamental del procesamiento de imgenes apunta a una mejora en la obtencin de informacin mdica, lo que supone una mejora de las diagnosis y por tanto de su fiabilidad. Pero todas estas metas pasan por un estudio de las imgenes partiendo de cero. Es preciso realizar la segmentacin de las escenas; posteriormente desarrollar tcnicas ms avanzadas, para finalizar con la reconstruccin tridimensional.APLICACIONES DE LA ING. DE SISTEMAS

INTRODUCCINESTEGANOGRAFA Disciplina en la que se estudian y aplican tcnicas que permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. Es una mezcla de artes y tcnicas que se combinan para conformar la prctica de ocultar y enviar informacin sensible en un portador que pueda pasar desapercibido.

INTRODUCCINReconocimiento de Huellas Digitales Simulacin de Trafico Vehicular, areo, uso de guitarra, etc. Generacin de Animaciones Entre Otros.

APLICACIONES DE LA ING. DE SISTEMASVideo Nokia y Tele presenciaAo 2005

Informacin. Es el principal componente de todo sistema y su razn de ser, debe ser adaptable a las personas que lo utilizan y al equipo disponible, de acuerdo a los procedimientos de trabajo para que las tareas se lleven a cabo de forma eficaz.

Qu es informacin?

INTRODUCCIN

INTRODUCCINDato Vs. InformacinDatos son componentes bsicos a partir de los cuales la informacin es creada.Informacin son datos insertados en un contexto.Contexto es la situacin que est siendo analizada.A partir de la informacin se obtiene conocimiento, el que permite tomar decisiones.Que cuando adecuadas, ayudan al negocio a alcanzar sus objetivos.

INTRODUCCINUna compaa puede capturar grandes cantidades de datos en su trabajo diario:Estos datos representan el estado actual del negocio.Es importante derivar informacin de estos datos.Examinando distintos contextos.Determinando las relaciones entre los hechos.Comprendiendo como se reflejan los objetivos de la empresa en los datos.

INTRODUCCINDe usuario para usuarioEjecutivosGerentesEjecutoresDe un escenario competitivo en relacin a otroEstacionalidadCambios en el mercadoNuevos competidoresY a menores ciclos de negocio, ms variacionesEn la prctica, hoy es imposible prever cmo los datos sern utilizados!Pero El Contexto Cambia...

INTRODUCCINMarketingVentasCall CenterLegalClientesSociosEtc.AplicacinAplicacinAplicacinAplicacinAplicacinNecesidades de Acceso a Datos

INTRODUCCINMuchos Datos, Poca InformacinProductos, clientes, mercado, riesgo, fraude, tendencias, comportamiento

DatosJERARQUA DE LA INFORMACINValores discretos; deben ser correctos y precisos; se requieren en forma masiva; aislados suelen tener poco valor.JERARQUA DE LA INFORMACIN

Informacin DatosConjuntos de datos puestos en relacin entre s, adquieren nuevo significado y valor operativo en la realidadJERARQUA DE LA INFORMACINJERARQUA DE LA INFORMACIN

Conocimiento Informacin DatosExperiencia que surge del anlisis y sntesis de la informacinJERARQUA DE LA INFORMACINJERARQUA DE LA INFORMACIN

Sabidura Conocimiento Informacin DatosCnitJERARQUA DE LA INFORMACINJERARQUA DE LA INFORMACIN

Se puede clasificar de muchas formas diferentes pero para una empresa la importancia que tiene es respecto a quien va dirigida y para quien es til.

CATEGORIAS DE LA INFORMACION

1. Estratgica Informacin estratgica es un instrumento de cambio. Enfocada a la planeacin a largo plazo Orientada a la alta administracin. 2. Tctica Informacin de control administrativo Es un tipo de informacin compartida. Tiene una utilidad a corto plazo.3. Operacional Informacin rutinaria. Muestra la operacin diaria. Tiene una utilidad a muy corto plazo.

CATEGORIAS DE LA INFORMACION

DEFINICIN DE SEGURIDADSeguridad: Caracterstica de cualquier sistema informtico que nos indica que este se encuentra libre de peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que pueda afectar su funcionamiento directo a nivel de hardware y software, la informacin almacenada y los resultados obtenidos.

Para alcanzar la seguridad se utiliza objetos, dispositivos, medidas, normas, etc., que contribuyen a hacer ms seguro el funcionamiento o el uso del sistema.

Riesgo: Proximidad o posibilidad de producirse un dao, peligro, etc.Cada uno de los imprevistos, hechos desafortunados, etc.Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro.

Vulnerabilidad: Exposicin latente a un riesgo. existen varios riesgos tales como: ataque de virus, cdigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopcin de Internet como instrumento de comunicacin y colaboracin, los riesgos han evolucionado.

Aspectos fundamentales de la seguridadConfidencialidadIntegridadDisponibilidad

(*) El nivel de importancia que se le otorga a los aspectos de seguridad en una aplicacin dependen del tipo de sistema informtico: Militar, Comercial, Bancario, Gubernamental, Acadmico, etc.

ConfidencialidadLa informacin almacenada en un sistema no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados.

El diseo de un sistema informtico debe considerar la posibilidad de intentos de acceso no autorizado en el sistema o en alguno de sus componentes.

INTEGRIDADLa informacin almacenada en un sistema informtico debe mantenerse integra para que sea confiable para la toma de decisiones.La informacin del sistema debe ser creada, modificada o eliminada slo por las personas autorizadas.

DISPONIBILIDADDisponibilidad significa que el sistema informtico, tanto HW como SW, se mantienen funcionando eficientemente y son capaces de recuperarse rpidamente en caso de fallo.Un sistema vulnerable de ataques no garantiza estar disponible a sus usuarios en el momento que ellos lo soliciten.

OTROS ASPECTOS RELACIONADOS A LA SEGURIDADAutenticidadImposibilidad de rechazo (no-repudio)ConsistenciaAislamientoAuditora

AUTENTICIDADPermite asegurar el origen de la informacin. La identidad del emisor puede ser validada, de modo que se puede demostrar que es quien dice ser. Se debe tratar de evitar que un usuario enve o consulte informacin del sistema hacindose pasar por otro.

La forma mas comn de autentificar un usuario es a travs de una clave de acceso o contrasea.

IMPOSIBILIDAD DE RECHAZO (NO REPUDIO)Cualquier entidad que enva o recibe informacin, no puede alegar ante terceros que no la envi o la recibi.

Esta propiedad y la anterior son especialmente importantes en el entorno bancario y en el uso del comercio electrnico.

CONSISTENCIAAsegura que el sistema se comporta como se supone que debe hacerlo regularmente con los usuarios autorizados. Si el software o el hardware de repente comienzan a comportarse de manera diferente a la esperada, puede originarse un desastre que deber ser alertado y recuperado.

AISLAMIENTORegula el acceso al sistema, impidiendo que personas no autorizadas entren en l. Este aspecto est relacionado directamente con la confidencialidad, aunque se centra ms en el acceso al sistema que a la informacin que contiene.

AUDITORACapacidad de determinar qu acciones o procesos se han llevado a cabo en el sistema, y quin y cundo las han llevado a cabo.La nica forma de lograr este objetivo es mantener un registro de las actividades del sistema, y que este registro est altamente protegido contra modificacin.

TRANSMISIN DE DATOSLa transmisin de datos es el intercambio de datos entre dos dispositivos a travs de algn medio de transmisin.En una comunicacin existe un flujo de informacin desde un origen hacia un destino.

Mayor detalle: Sesin 11-Seguridad de Red y Telecomunicaciones

Tendencia humana a que todas las actividades se digitalicen.ATAQUES

Un ataque es un evento, exitoso o no, que atenta sobre el buen funcionamiento de un sistema informtico.

Ataque de SoftwareSu objetivo es atacar una aplicacin, un sistema operativo, o un protocolo, con el fin de ganar acceso a un sistema o red. Los distintos tipos son usados por separado o en combinacin con otros.

Ataque de Hardware

Su objetivo es atacar el hardware de la victima, a travs de penetraciones fsicas.

Los ataques se pueden clasificar en:- Interrupcin- Intercepcin- Modificacin- Fabricacin

InterrupcinLa informacin del sistema es destruida o llega a ser inutilizable. Este ataque atenta contra la disponibilidad.Ejem: Destruccin de una pieza de HW, cortarlos medios de comunicacin o deshabilitar los sistemas.

INTERRUPCIN

INTERCEPCINEs cuando una entidad no autorizada consigue acceso a un recurso de nuestro sistema informtico. Refiere una participacin sin autorizacin por parte de una persona, computadora o programa en una comunicacin.Este ataque atenta contra la confidencialidad.

INTERCEPCIN

MODIFICACINUna entidad no autorizada no slo consigue acceder a un recurso, sino que es capaz de manipularlo y alterarlo.Este es un ataque contra la integridad.

MODIFICACINNuevo_Presupuesto.xls

FABRICACINUna entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad.

FABRICACIN

DISPOSITIVOS PARA ACCEDER A INTERNET*PDA PERSONAL DIGITAL ASSISTANT TELFONOS CELULARESCOMPUTADORA PERSONAL

PROBLEMTICA ACTUAL

Problemtica actualIntercepcin de informacin.Suplantacin de identidad.Envo de emails falsos.Phishing.Troyanos.Exploits.Corrupcin Accesos a sitios con contenidos prohibitivos.

INTERCEPCIN DE INFORMACINHaciendo uso de un software llamado sniffer, el atacante copia a su computadora la informacin que es enviada a travs de la red por los diferentes dispositivos.Un packet sniffer es un programa de captura de las tramas de red. Generalmente se usa para monitorizar y analizar el trfico en una red de computadoras, detectando los cuellos de botella y problemas que existan, aunque tambin es utilizado para interceptar, lcitamente o no, los datos que son transmitidos en la red. Destacan por su importancia los siguientes sniffers: TCPDUMP , DARKSTAT Y TRAFFIC-VIS, NGREP, SNORT, NWATCH, ETHEREAL, ETTERCAP y KISMET

SUPLANTACIN DE IDENTIDADConsiste en acceder a un sistema informtico de manera regular, pero hacindose pasar por otro usuario autorizado. Usualmente se emplea para obtener informacin confidencial del usuario o del sistema. Es difcil de detectar si es que no se realizan modificaciones importantes en la data, que sean fcilmente identificables.

ENVO DE E-MAILS FALSOSEl atacante enva correos electrnicos hacindose pasar por diferentes personas. Se trata de suplantar la identidad del remitente para lograr algn fin especfico.

PHISHING (PESCANDO)Adquirir informacin confidencial de forma fraudulenta, como puede ser una contrasea o informacin detallada sobre datos personales, tarjetas de crdito, contraseas, u otra informacin bancaria. El estafador, mejor conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicacin oficial electrnica, por lo comn un correo electrnico o algn sistema de mensajera instantnea.

TIPOS DE PHISHINGBASADO EN EMAILS:Correo enviado al cliente simulando ser el negocio legtimo. El correo aparenta ser un correo oficial de la organizacin a la cual se hace referencia en el email.El mensaje induce al cliente a digitar sus datos personales mediante una supuesta actualizacin o ejecucin de una transaccin. El link lleva al cliente a un sitio Web falso diseado para parecer el sitio original. La informacin registrada en ese sitio es transmitida directamente al estafador. El estafador ingresa al sitio Web verdadero para hacer transacciones con los datos del cliente.

POR TELFONO:El estafador llama a un cliente fingiendo pertenecer a una entidad financiera. Se le indica al cliente que su cuenta sera cerrada por problemas tcnicos a menos que colabore proporcionando: Nmero de Cuenta, DNI, contrasea y otros datos valiosos. El estafador luego de tomar los datos, ingresa al sitio Web verdadero para hacer las transacciones con los datos capturados, hacindose pasar por el cliente.

PHISHINGMODALIDAD DE HURTO AGRAVADO, CONSISTE EN EL ENVIO MASIVO DE CORREOS ELECTONICOS, SUPUESTAMENTE REMITIDOS POR LAS ENTIDADES BANCARIAS, EN DONDE APARECEN SUS PAGINAS WEB, CON UN MENSAJE PARA SUS CLIENTES, COMO QUE ESTAN ACTUALIZANDO LOS DATOS PORQUE SU SISTEMA INFORMATICO HA TENIDO ALGUNAS AVERIAS O FALLAS, O QUE HAN GANADO UN PREMIO, ETC.

CON ESTA INFORMACION SE REALIZAN LAS TRANSFERENCIAS, PAGOS DE SERVICIOS, COMPRAS Y RECARGAS VIRTUALES, A TRAVES DE LA INTERNET.

PHISHING - CASOS

PHISHING

PHISHING El link de este correo falso te llevaba a la siguiente pgina falsa que se haca pasar por nuestra pgina de Operaciones en lnea:

PHISHING

Euro Millions Lottery.Hoge Wei 28, 2011 Zaventem,Belgium.Euro Millions are Affiliate of Belgium National (BNL).

Sir/Madam, CONGRATULATIONS: YOU WON 1,000,000.00 EUROS.We are pleased to inform you of the result of Euro Millions, which was heldon the 27th, July 2006. Your e-mail address attached to e-ticket number:05-32-44-45-50 (01-07), with Prize Number (match 3): 106000007 drew a prizeof 1,000,000.00 (One Million Euros). This lucky draw came first in the 2nd Category of the Sweepstake.

Bank: Laagste Heypotheekofferte Bank. N.L. Attention: Dirk Garvin.Karspeldreef 6A, 1101 CJ, Amsterdam, Netherlands.E-mail: laagstbankernlin@aim.comTelephone: +31617 636 209. Fax : (+3184) 735-9610.

Furnish them with the following:(i). your name(s),(ii) Your telephone and fax numbers(iii) Your contact address(iv) Your winning information (including amount won). Congratulations. Yours Faithfully Vjertis Von Adrian (Ms.) CPA. Coordinator: Euro Millions. Ganador de la Lotera

FROM DENNIS LONGMANAUDITINGMANAGERINTERBANK SERVICES LONDONUNITED KINGDOMDEAR PARTNERI

DR DENNIS LONGMAN, THE AUDITING MANAGER INTERBANK SERVICES LONDON,I AM WRITING THIS LETTER TO ASK FOR YOUR SUPPORT AND COOPERATION TO CARRY OUT THIS BUSINESS OPPORTUNITY IN MY DEPARTMENT.WE DISCOVERED AN ABANDONED SUM OF (FIFTEEN MILLION UNITED STATES DOLLARS ONLY) IN AN ACCOUNT THAT BELONGS TO ONE OF OUR FOREIGN CUSTOMERS WHO DIED ALONG WITH HIS ENTIRE IN AIR CRASH, ALASKA AIRLINE FLIGHT 261 IN 2000.SINCE WE HEARD OF THISDEATH,NOBODY HAS COME FOR ANY CLAIMS AS NOBODY KNEW OF THE ACCOUNT.THE NAME OF OUR LATE CUSTOMER IS MORRIS THOMPSON, HIS WIFE'S NAME THELMAN THOMPSON, DAUGHTER'S NAME SHERYL THOMPSON,THE OWNER OF DOYON LTD, IN ALASKA.http://www.cnn.com/2000/US/02/01/alaska.airlines.list/http://www.nativefederation.org/history/people/mThompson.htmWE HAVE BEEN EXPECTING HIS NEXT OF KIN TO COME OVER AND FILE FOR CLAIMS FOR HIS MONEY AS THE HEIR, BECAUSE WE CANNOT RELEASE THE FUNDS FROM HIS ACCOUNT UNLESS SOMEONE APPLIES FOR CLAIM AS THE NEXT OF KIN TO THE DECEASED AS INDICATED IN OUR BANKING GUIDELINES AND THAT IS THE REASON WHY I HAVE CONTARTED YOU TO ACT AS THE NEXT OF KINTO COMMENCE THIS TRANSACTION, WE REQUIRE YOU TO IMMEDIATELY INDICATE YOUR INTEREST BY A RETURN E-MAIL AND ENCLOSE YOUR PRIVATE CONTACT TELEPHONE NUMBER, FAX NUMBER FULL NAME AND ADDRESS AND YOUR DESIGNATEDBANK COORDINATES TO ENABLE US FILE LETTER OF CLAIM TO THE APPROPRIATE DEPARTMENT FOR NECCESSARY APPROVALS BEFORE THE TRANSFER CAN BE MADE.I LOOK FORWARD TO RECEIVING YOUR PROMPT RESPONSE.REGARDSDR DENNIS LONGMAN---- Msg sent via email-me.cc - http://www.email-me.ccDinero Abandonado

Dear Western Union Client :

We are encountered some tehnical errors in our database, Please update your profile .

You can access your profile at https://wumt.westernunion.com/asp/regLogin.asp/.

This process is mandatory, and if not completed within the nearest time your account

may be subject for temporary suspension.

For help please contact Western Union Customer Service immediately by

email at customerservice@westernunion.com or call us at 1-877-989-3268 .

Thank you for using westernunioCuenta en Western Union

Dear Bank of America Client :

We are encountered some tehnical errors in our database, Please update your profile .

You can access your profile at https://www.bankofamerica.com

This process is mandatory, and if not completed within the nearest time your account

may be subject for temporary suspension.

For help please contact Bank of America Customer Service immediately by

email at customerservice@bankofamerica.com or call us at 1-800-552-7302 .

Thank you for using bankofamerica.com!-----------------------------------------------------------------------------Cuenta Bancaria

MEDIDAS DE SEGURIDAD CONTRA EL PHISHING:Verificar la fuente de la informacin. Escribir la direccin en su navegador de Internet. Reforzar su seguridad (descarga de actualizaciones de seguridad del fabricante de su Sistema Operativo). Comprobar que la pgina web en la que ha entrado es una direccin segura. Hacer doble clic sobre el candado de Zona Segura para tener acceso al certificado digital que confirma que la web corresponde a la que est visitando. Revisar peridicamente sus cuentas y cambiar las contraseas.

HURTO AGRAVADOMODALIDADES

A TRAVES DEL INTERNET

* PHISHING* PHARMING O TROYANO

CLONACION DE TARJETAS BANCARIAS

CAMBIAZO

USO INDEBIDO DE TARJETAS BANCARIAS

Malware (del ingls malicious software), tambin llamado badware, cdigo maligno, software malicioso o software malintencionado, tipo de sw que tiene como objetivo infiltrarse o daar una pc sin el consentimiento de su propietario.

El trmino es muy utilizado por profesionales de la informtica para referirse a una variedad de software hostil, intrusivo o molesto.

El sw se considera malware en funcin de los efectos que, pensados por el creador, provoque en un computador. El trmino malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables.Malware

Los Malware son mas complejosVariantes ms rpidasDiseados para atacar vulnerabilidades en:S.O. especficosProgramas especficosRedes especificasAtaques dirigidosGanancia FinancieraMalware

Malware Inicialmente- Diversin Demostrar capacidades tcnicas Notoriedad Fama

Hoy - GANANCIAS

Como hacen dinero?SpywareSPAMPhishingRobando informacin financieraRobando datos sensitivosSirviendo como hosts de phishingCentros de control BotAtaques distribuidos Malware

El siglo que vivimos peligrosamente2000: Love2001: Klez2001: Code Red2003: SQL Slammer2003: Blaster2004: Sasser2004: Netsky-A, Netsky-B, . Netsky-*2005: Kamasutra2007: Incontables..................2008 y 2009 .Malware

Malware

Spam: Es un fin: VentaEs un medio:Para infectar mquinas con troyanos adjuntosPara inducir a visitar pginas de ataqueTroyanos:Es un fin: Controlar la mquinaEs un medio: Para hacer phishingPara enviar ms spamPara reclutar zombies para botnets Malware

Soluciones AntivirusMalware

Soluciones - Defensa en profundidadPolticas de seguridadProteccin en el permetroProteccin en los servidoresProteccin en los desktopsMnimo privilegio posibleMnimo punto de exposicinMalware

El malware de hoy en da necesita de una solucin integrada:Soluciones - Defensa en profundidadMalware

Cdigos Maliciosos:Los atacantes infectan las computadoras de los clientes con un cdigo malicioso (troyano o Key Logger). Estos programas se instalan automticamente, sin que el cliente lo sepa, al ingresar a determinados sitios Web o luego de haber hecho click en el adjunto de un e-mail que contiene este programa. Cuando el cliente visita el sitio Web de la organizacin, el cdigo se activa y almacena la informacin digitada por el cliente en el servidor (es) del hacker. El estafador ingresa al sitio Web verdadero para hacer transacciones con los datos capturados del cliente.

Pharming:Entra dentro de la categora de cdigos maliciosos. Se diferencia de los dems por que cuando se activa redirige al usuario hacia el sitio Web falso del hacker a pesar de digitarse la direccin de la pgina en el browser. Si una empresa que accede a Internet a travs de un mismo servidor (proxy) tiene una mquina infectada puede dirigir masivamente a todos sus usuarios a sitios web falsos.

PHARMING O TROYANO

ENVO DE CORREO MASIVO, INVITANDO A LOS USUARIOS DE CORREO, DESCARGAR UN ARCHIVO EN SU COMPUTADORA, EL MISMO QUE LE VA A PERMITIR ACELERAR SU NAVEGADOR; TAMBIEN SUPUESTAMENTE LOS MEDIOS DE COMUNICACION DE PRESTIGIO LE ENVIAN NOTICIAS, PRIMICIAS O ALGUNA INFORMACION QUE LLAME MUCHO LA ATENCION.

ESTE ARCHIVO QUE CONTIENE OCULTO UN TROYANO VA A MODIFICAR EL ARCHIVO HOST, O VA A CREAR CARPETAS QUE CONTIENEN ARCHIVOS CON LAS PAGINAS WEB CLONADAS DE LOS BANCOS, PARA QUE CUANDO LA VCTIMA ESCRIBA EN LA BARRA DE DIRECCIONES DEL EXPLORADOR LA DIRECCIN WEB DE SU BANCO, ESTE AUTOMTICAMENTE ES REDIRECCIONADO A DICHA PGINA WEB CLONADA.-

PHARMING O TROYANOEN ESTA PGINA WEB FALSA SE SOLICITA A LOS USUARIOS INGRESAR SU INFORMACIN CONFIDENCIAL LA CUAL VA A PARAR A UN CORREO, B.D. O SERVIDOR VIRTUAL.

ES CON ESTA INFORMACION QUE SE PRODUCEN LAS TRANSFERENCIAS, COMPRAS, RECARGAS VIRTUALES O PAGO DE SERVICIOS, A TRAVES DE LA INTERNET.

POR CONSIGUIENTE AFECTAN LAS CUENTAS BANCARIAS DE LOS CLIENTES DE LOS DIFERENTES BANCOS, NO SOLAMENTE DEL PAIS SINO TAMBIEN DEL EXTRANJERO.

"LA CANTANTE SHAKIRA, AL BORDE DE LA MUERTE" "URGENTE: IMPLEMENTE SU SEGURIDAD, EVITE SER ESTAFADO" "ABSOLVIERON A ALBERTO FUJIMORI" "PRIMERA DAMA SUFRE INFARTO CEREBRAL" "SHAKIRA Y CARLOS VIVES ALBOROTAN LETICIA" "RISAS Y MIRADAS (VIDEO DEL EX PRESIDENTE ALBERTO FUJIMORI Y VLADIMIRO MONTESINOS" "RICKY MARTIN SE SUICIDA" "FALLECI FAMOSO CANTANTE GIANMARCO" "VIDEO INDRID BETACOURT" CHILE DECLARA LA GUERRA AL PERUMAGALY MEDINA SUFRE ATENTADO EN CARCELTONGO EN ESTADO DE COMASE SUICIDA EL PUMA CARRANZA Y MATA A UNA DE SUS HIJASFOQUITA FARFAN AL BORDE DE LA MUERTE

PHARMING O TROYANO - CASOS

COMANDANTE PNP Andrs ASTETE VARGAS

COMANDANTE PNP Andrs ASTETE VARGAS

TROYANOSSe denomina troyano (Caballo de Troya o Troyan Horse) a un programa malicioso capaz de alojarse en un computador o dispositivo y permitir el acceso a usuarios externos, a travs de una red local o de Internet, con el fin de recabar informacin o controlar remotamente a la mquina anfitriona.Un troyano no es en s un virus, an cuando tericamente pueda ser distribuido y funcionar como tal.

La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" solo tiene que acceder y controlar la mquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un husped destructivo, el troyano no necesariamente provoca daos porque no es su objetivo.

Suele ser un programa alojado dentro de una aplicacin, una imagen, un archivo de msica u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una funcin til (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti troyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos.*

Habitualmente se utiliza para espiar, usando la tcnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legtimo de la computadora hace (en este caso el troyano es un spyware o programa espa) y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseas (cuando un troyano hace esto se le cataloga de keylogger) u otra informacin sensible.

La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado; es recomendable tambin instalar algn software anti troyano.

Otra solucin bastante eficaz contra los troyanos es tener instalado un firewall. Otra manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en busca de elementos extraos, vigilar accesos a disco innecesarios, etc.

Lo peor de todo es que ltimamente los troyanos estn siendo diseados de tal manera que, es imposible poder detectarlos excepto por programas que a su vez contienen otro tipo de troyano.Inclusive existen troyanos dentro de los programas comerciales, para poder saber cual es el tipo de uso que se les da y poder sacar mejores herramientas al mercado llamados tambin "troyanos sociales"

EXPLOITSExploit (del ingls to exploit: explotar o aprovechar) es un programa informtico malicioso, o parte de un programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa (llamados bugs). El fin puede ser la destruccin o inhabilitacin del sistema atacado, aunque normalmente se trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros.Un "exploit" es usado normalmente para explotar una vulnerabilidad en un sistema y acceder a l, lo que es llamado como "rootear". Tambin lo llaman oportunista.

Es el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas matemticas que hagan posible el intercambio de mensajes de manera que slo puedan ser ledos por las personas a quienes van dirigidos.

Criptografa

Certificado digitalUn Certificado Digital es un documento digital emitido por una Autoridad de Certificacin o Autoridad Certificante (AC o CA por sus siglas en ingls Certification Authority) que garantiza la vinculacin entre la identidad de un sujeto o entidad.

http://www.verisign.com/http://www.thawte.com/http://www.positivessl.com/http://www.digicert.com/

Cmo identifico un sitio seguro?

https://mi.ing.udep.edu.pe

Cmo identifico un sitio seguro?

Cmo identifico un sitio seguro?

Cmo identifico un certificado no vlido?

Certificados invlidos

SEGURIDAD DE AUTENTIFICACINLa autentificacin consiste en identificarse como un usuario autorizado de una aplicacin, demostrando que la persona que est accediendo al sistema es quien dice ser.La manera ms comn de autentificarse en una aplicacin Web consiste en ingresar un nombre de usuario y una contrasea privada y secreta.

Ahora ya no se trata de determinar solamente que el usuario es quien dice ser, sino que adems se trata de una persona (un ser humano), y no de una aplicacin maliciosa que intenta acceder a nuestro sistema.Una forma para garantizar que quin accede a nuestra aplicacin es una persona real, consiste en incluir en las ventanas de acceso, elementos que slo podrn ser identificados por una persona, a travs de sus sentidos.

Proteccin contra accesos no autorizadosLo mas importante con respecto al control de accesos es concientizar a los usuarios de la importancia de mantener en estricta reserva los nombres de usuario y las contraseas utilizadas para acceder a una aplicacin Web. Nunca deben revelarse las contraseas a otra persona, a travs de otra aplicacin Web, o respondiendo un correo electrnico. Por seguridad, ninguna aplicacin Web real solicita ingresar la contrasea personal en una ventana distinta a la de acceso al sistema.

Contraseas - SolucionesTicket de ingreso: Consiste en proveer un ticket a cada inicio de sesin, de modo que el usuario deber ingresar el cdigo de ticket (letras y/o nmeros) luego de or o leer su contenido. De esta manera, se evita que un programa malicioso suplante la identidad de un usuario y enve repetitivamente los parmetros solicitados (nombre de usuario y contrasea), generando contraseas aleatoriamente, intentando iniciar una sesin de manera fraudulenta.La forma comn de mostrar un ticket es generando una cadena random de caracteres y luego transformarla en una imagen, la cual ser mostrada en el formulario de ingreso al sistema.

El usuario visualiza o escucha el contenido de la imagen mostrada e ingresa este cdigo en el campo solicitado en el formulario de registro.Antes de validar el nombre de usuario y la contrasea, la aplicacin verificar que el cdigo ingresado coincide con el cdigo que mostr en el formulario.Debido a que hay algoritmos que realizan la terea contraria, generando la cadena de caracteres a partir de una imagen, la manera mas usual de presentar estas imgenes en los formularios es distorsionndolas para que sea ms difcil descifrarlas por alguna aplicacin.

Formulario con ticket en imagen regularFormulario con ticket en imagen distorsionada y opcin para escuchar el contenido del ticket

Formulario de inicio de sesin en una cuenta de gmail con muchos intentos de acceso no exitosos. La aplicacin lleva un contador de los intentos fallidos sucesivos para una misma cuenta. En un inicio no aparece la imagen del ticket.Recin la presenta en el formulario cuando se supera el nmero lmite de accesos fallidos.

Otra manera de cuidar la seguridad en una aplicacin web es indicndole al usuario el nivel de seguridad de la contrasea elegida.Las maneras mas utilizadas para restablecer una contrasea requieren una cuenta de correo electrnico secundaria, a la cual enviarn la nueva contrasea; o el registro de una pregunta y una respuesta secreta.

La manera mas segura para evitar los troyanos y los keyloggers es insertando un teclado numrico dinmico en el formulario para que no se conozcan las teclas pulsadas.Al hacer que los nmeros cambien de posicin se evita que se pueda deducir una clave en funcin a la zona de la pantalla en la que se hace click.

Cuando se acceda a una aplicacin web desde un computador inseguro, debern revisar que no tenga un programa keylogger ejecutndose.Teclear las contraseas con el teclado en pantalla que nos presentan como opcin los sistemas operativos es la mejor manera de evitar que conozcan nuestras contraseas.

Es por la existencia de un nmero importante de amenazas y riesgos, que la infraestructura de red y recursos informticos de una organizacin deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administracin del riesgo.

Para ello, resulta importante establecer polticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realizacin del respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de proteccin de los recursos.

Identificar y seleccionar lo que se debe proteger (informacin sensible).

Establecer niveles de prioridad e importancia sobre esta informacin.

Conocer las consecuencias que traera a la compaa, en lo que se refiere a costos y productividad, la prdida de datos sensibles .

Identificar las amenazas, as como los niveles de vulnerabilidad de la red. Realizar un anlisis de costos en la prevencin y recuperacin de la informacin, en caso de sufrir un ataque y perderla.

Implementar respuesta a incidentes y recuperacin para disminuir el impacto. Pasos de las polticas de seguridad:

SEGURIDAD DE LA INFORMACIONImportancia de la informacinCuando se habla de la funcin informtica generalmente se tiende a hablar de tecnologa nueva, de nuevas aplicaciones, nuevos dispositivos de hardware, nuevas formas de elaborar informacin ms consistente, etc.Sin embargo se suele pasar por alto o se tiene muy implcita la base que hace posible la existencia de los anteriores elementos. Esta base es la informacin.Es muy importante conocer su significado dentro la funcin informtica, de forma esencial cuando su manejo esta basado en tecnologa moderna, para esto se debe conocer que la informacin: Esta almacenada y procesada en computadoras. Puede ser confidencial para algunas personas o a escala institucional. Puede ser mal utilizada o divulgada. Puede estar sujeta a robos, sabotaje o fraudes.Los primeros puntos nos muestran que la informacin esta centralizada y que puede tener un alto valor y los ltimos puntos nos muestran que se puede provocar la destruccin total o parcial de la informacin, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo.

Pensemos por un momento que pasara si se sufre un accidente en el centro de computo o el lugar donde se almacena la informacin.

Ahora preguntmonos: Cunto tiempo pasara para que la organizacin este nuevamente en operacin?Es necesario tener presente que el lugar donde se centraliza la informacin con frecuencia el centro de cmputo puede ser el activo ms valioso y al mismo tiempo el ms vulnerable.

Delitos accidentales e incidentalesLos delitos cometidos utilizando la computadora han crecido en tamao, forma y variedad.En la actualidad los delitos cometidos tienen la peculiaridad de ser descubiertos en un95% de forma casual. Podemos citar a los principales delitos hechos por computadorao por medio de computadoras estos son: Fraudes. Falsificacin. Venta de informacin.Entre los hechos criminales ms famosos en los E.E.U.U. estn:

El caso del Banco Wells Fargo donde se evidencio que la proteccin de archivos era inadecuada, cuyo error costo US 21.3 millones. El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales. El caso de un muchacho de 15 aos que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos. Tambin se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgndose una identificacin como un usuario de alta prioridad, y tomo el control de una embotelladora de Canad. Tambin el caso del empleado que vendi la lista de clientes de una compaa de venta de libros, lo que causo una perdida de US 3 millones.

El activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a los datos y slo permiten acceder a ellos a las personas autorizadas para hacerlo.Los objetivos para conseguirlo son:Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisin minuciosa). Asegurar que se utilicen los datos, archivos y programas correctos con el procedimiento elegido. Asegurar que la informacin transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisin entre diferentes puntos. Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o softwares empleados.

Es muy importante que se conozca los paradigmas que existen en las organizaciones sobre la seguridad, para no encontrarse con un contrincante desconocido. Generalmente se tiene la idea que los procedimientos de auditora es responsabilidad del personal del centro de computo, pero se debe cambiar este paradigma y conocer que estas son responsabilidades del usuario y del departamento de auditora interna. Tambin muchas compaas cuentan con dispositivos de seguridad fsica para los computadores y se tiene la idea que los sistemas no pueden ser violados si no se ingresa al centro de computo, ya que no se considera el uso de terminales ni sistemas remotos. Se piensa tambin que los casos de seguridad que tratan de seguridad de incendio o robo que "eso no me puede suceder a m" o "es poco probable que suceda". Tambin se cree que los computadores y los programas son tan complejos que nadie fuera de su organizacin los va a entender y no les van a servir, ignorando las personas que puedan captar y usarla para otros fines.

Paradigmas sobre la seguridad

Los sistemas de seguridad generalmente no consideran la posibilidad de fraude interno que es cometido por el mismo personal en el desarrollo de sus funciones. Generalmente se piensa que la seguridad por clave de acceso es inviolable pero no se considera a los delincuentes sofisticados. Se suele suponer que los defectos y errores son inevitables. Tambin se cree que se hallan fallas porque nada es perfecto. Y la creencia que la seguridad se aumenta solo con la inspeccin.

Consideraciones inmediatas para la Seguridad de la Informacin

Uso de la ComputadoraSe debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: tiempo de mquina para uso ajeno, copia de programas de la organizacin para fines de comercializacin (copia pirata), acceso directo o telefnico a bases de datos con fines fraudulentos.

Sistema de AccesoPara evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: nivel de seguridad de acceso, empleo de las claves de acceso, evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de acceso mayor costo.

Cantidad y Tipo de InformacinEl tipo y la cantidad de informacin que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podran producir que:la informacin este en manos de algunas personas, la alta dependencia en caso de perdida de datos.

Control de ProgramacinSe debe tener conocimiento que el delito ms comn est presente en el momento de la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:los programas no contengan bombas lgicas, los programas deben contar con fuentes y sus ultimas actualizaciones, los programas deben contar con documentacin tcnica, operativa y de emergencia.

PersonalSe debe observar este punto con mucho cuidado, ya que hablamos de las personas que estn ligadas al sistema de informacin de forma directa y se deber contemplar principalmente:la dependencia del sistema a nivel operativo y tcnico, evaluacin del grado de capacitacin operativa y tcnica, contemplar la cantidad de personas con acceso operativo y administrativo, conocer la capacitacin del personal en situaciones de emergencia.Medios de ControlSe debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema.Tambin se debe observar con detalle el sistema ya que podra generar indicadoresque pueden actuar como elementos de auditora inmediata, aunque esta no sea una especificacin del sistema.

TEMA: ANALISIS DE SEGURIDAD DE SISTEMAS DE INFORMACION

OBJETIVO DEL TRABAJO: Conocer de cerca y experimentar el anlisis de Seguridad en los Sistemas de Informacin de la empresa donde labora o la institucin donde usteddesee evaluar.

ESQUEMA A SEGUIR:Datos Generales de la Organizacin (Resea histrica, misin, visin, valores, objetivos Estratgicos, organigrama, Informacin del Personal, equipos de TI, Infraestructura, entre otros).Anlisis de vulnerabilidades de la organizacin.Conclusiones.Recomendaciones.

FORMA DE PRESENTACION:Trabajo impreso en wordExposicin en Power Point

**************************************************************************