3. ¿Qué es la seguridad en los sistemas de información?
Es asegurar los recursos del SI de una organización, el cual incluye programas,
equipos e información propiamente dicha; se resguarda de esta forma los datos
que se consideran importantes para que no sean vistos por cualquier persona
no autorizada o dañada por cualquier elemento malicioso.
5. SISTEMA: Conjunto de elementos interrelacionados entre si con el objeto de
lograr un fin común. El todo, es el resultado del funcionamiento armónico de las
partes, basta que una de las partes deje de funcionar o tenga alguna
interferencia, para que no se cumpla con el objetivo de un sistema.
DEFINICIONES DE SISTEMAS DE INFORMACION
Video HONDA:
6. Propósito u objetivo, todo sistema debe tener un propósito, los
elementos que se relacionen entre sí tratan de alcanzar un objetivo.
Globalismo o totalidad, la entidad o empresa es un todo orgánico
visto como sistema, reaccionará globalmente ante cualquier estímulo
producido en cualquier parte del sistema.
Entropía, los sistemas tienen la tendencia al desgaste, a la
desintegración, cuando aumenta la entropía, los sistemas
empresariales se vuelven obsoletos en el tiempo, los nuevos
paradigmas remplazan a los antiguos.
Homeostasis, es el equilibrio dinámico entre
las partes del sistema, ante cambios del entorno
empresarial, los sistemas tienden a adaptarse
y alcanzar un nuevo equilibrio interno.
CARACTERISTICAS DE LOS SISTEMAS
7. En cuanto a su constitución:
Sistemas Concretos o físicos, está compuesto por los activos fijos de
la empresa, los materiales, etc. tales como las máquinas, equipos, es
decir el Hardware.
Sistemas abstractos, está compuesto por planes, hipótesis, conceptos
e ideas, está inmerso en el pensamiento de los trabajadores, etc., es
decir es el software.
En cuanto a su naturaleza:
Sistemas cerrados, no tienen contacto con el medio ambiente que lo
rodea, son herméticos ante cualquier influencia ambiental.
Sistema abiertos, tienen contacto de intercambio con el ambiente en
materia y energía.
Sistema natural, (sistema solar, sistema circulatorio, etc)
Sistema artificial (la empresa)
TIPOS DE SISTEMA
8. En cuanto al comportamiento:
Sistema determinista: Sistema con un comportamiento previsible, las partes
interactúan de un modo perfectamente previsible, sin dejar lugar a dudas. A
partir del ultimo estado del sistema y el programa de información, se puede
prever, sin ningún riesgo o error, su próximo estado. Por ejemplo, al mover el
timón de un vehículo, se puede prever el movimiento de las ruedas, la palanca,
la polea, un programa de computadora.
Sistema probabilística: Sistema con un comportamiento no previsible, no se
puede hacer una previsión detallada. Si se estudia intensamente, se puede
prever probabilísticamente lo que sucederá en determinadas circunstancias. No
esta predeterminado. La previsión se encuadra en las limitaciones lógicas de la
probabilidad. Por ejemplo, la reacción de las aves, cuando se le pone alimento
en el parque, se podrán acercar, no hacerlo o alejarse, el clima, el sistema
económico mundial.
TIPOS DE SISTEMA
9. TIPOS DE SISTEMA
Sistemas flexibles, se adaptan a las modificaciones del medio ambiente, tales
como: Los sistemas económicos, políticos, sociales, culturales, legales, etc.
Sistemas Rígidos, su concepción y estructura varían muy poco, tales como el
sistema solar, sistema biológico del hombre, sistema de carretas, sistema
climatológico, etc.
10. input
feedback
outputprocesamiento
PARAMETRO DE LOS SISTEMAS
Todo sistema se caracteriza por determinados parámetros que son
constantes arbitrarias que caracterizan la dimensión y propiedades
de un sistema. Los parámetros de los sistemas son:
. Entrada o ingreso (Input)
. Procesamiento o transformación (Throughput)
. Salida o Resultado o producto (Output)
. Retroalimentación (Feedback)
. Ambiente interno y externo (environment)
11. 1. Comportamiento probabilístico de las organizaciones.
Toda organización es afectada por los cambios ambientales, las
variables desconocidas e incontrolables son los protagonistas para que
la gerencia reaccione al cambio del entorno, el comportamiento
humano no es totalmente previsible.
2. Las organizaciones es parte de la sociedad y está constituida por
partes menores.
3. Interdependencia de las partes, las unidades orgánicas se encuentran
interrelacionadas e interconectadas, un cambio en una de ellas, afecta
el comportamiento de las otras.
CARACTERISTICAS DE LAS ORG. COMO SISTEMAS ABIERTOS
12. 4. Homestasis o estado firme, esto se logra cuando las organizaciones
presentan: la unidireccionalidad y el progreso. La unidireccionalidad
se refiere a que la gerencia busca lograr los mismos resultados
ante los cambios del ambiente y el progreso se orienta hacia
el fin deseado.
5. Fronteras sin límites, es la línea que demarca lo que está dentro y
fuera del sistema.
6. Morfogénesis, todo sistema organizacional tiene la capacidad de
modificar su estructura básica para obtener mejores resultados del
sistema.
CARACTERISTICAS DE LAS ORG. COMO SISTEMAS ABIERTOS
13. Interactúa permanentemente con el entorno empresarial.
Las variables internas son:
- Los Dueños
- Los Directivos
Intervienen en el procesamiento, out put, in put y feedback:
- Los Trabajadores
- Los Recursos Físicos (insumos, máquinas y equipos, capital)
Las variables externas son: Las variables del micro – ambiente o del
micro sistema, estas son controlables por la gerencia.
- El cliente
- La competencia
- Los proveedores
- Las instituciones financieras
- Otras
LA EMPRESA ES UN SISTEMAS ABIERTOS
15. La empresa también puede analizarse como un conjunto de funciones
que interactúan entre sí en las diferentes áreas que es parte del
proceso administrativo, se puede sintetizar este sistema de la
siguiente manera:
LA EMPRESA ES UN SISTEMAS ABIERTOS
Organizar
Controlar
Dirigir
Planear
Empresa
Personal
Producción Marketing
Ventas
Finanzas
Insumos
Retroalimentación
logística
Productos
16. ETAPAS POR LOS QUE PASA LOS SI
ANALISIS DE SISTEMAS
El Análisis de Sistemas trata básicamente de determinar los objetivos y límites
del sistema objeto de análisis, caracterizar su estructura y funcionamiento,
marcar las directrices que permitan alcanzar los objetivos propuestos y evaluar
sus consecuencias. Dependiendo de los objetivos del análisis, podemos
encontrarnos ante dos problemáticas distintas:
-Análisis de un sistema ya existente para comprender, mejorar, ajustar
y/o predecir su comportamiento
- Análisis como paso previo al diseño de un nuevo sistema-producto
17. DISEÑO DE SISTEMAS
El Diseño de Sistemas se ocupa de desarrollar las directrices propuestas durante
el análisis en función de aquella configuración que tenga más posibilidades de
satisfacer los objetivos planteados tanto desde el punto de vista funcional como
del no funcional.
18. GESTION DE SISTEMAS
La Gestión de Sistemas se ocupa de integrar, planificar y controlar los aspectos
técnicos, humanos, organizativos, comerciales y sociales del proceso completo
(desde el análisis y el diseño hasta la vida operativa del sistema). Los objetivos
principales de la Gestión de Sistemas suelen ser:
-Planificar y controlar el proceso completo de análisis, diseño y
operación del sistema dentro del presupuesto, plazo, calidad y restantes
condiciones convenidas.
- Controlar la validez de los criterios de diseño.
-Controlar la adecuación del producto del diseño a los requisitos
establecidos en el análisis.
- Planificar y desarrollar las necesidades de mantenimiento.
-Planificar y desarrollar las necesidades de formación del
personal que va a operar el sistema.
- Planificar la supervisión del funcionamiento del sistema.
19. La Ingeniería de Sistemas a menudo involucra la utilización de modelos
y la simulación de algunos aspectos del sistema propuesto para validar
hipótesis o explorar teorías.
Modelo: Es la representación en pequeño de algo, es la representación
simplificada de alguna parte de la realidad.
AMBITO DE LA ING. DE SISTEMAS
20. No siempre la construcción de modelos de sistemas extremadamente
complejos permite el isomorfismo (los sistemas son isomorfos
cuando su forma es semejante), en especial cuando no existe
la posibilidad de verificarlo.
El sistema debe ser representado por un modelo reducido y simplificado,
aprovechando el homomorfismo del sistema original (los sistemas son
homomórficos cuando conservan entre sí proporción, aunque no siempre
del mismo tamaño). Es el caso de las maquetas o planos de edificios, diagramas
de circuitos eléctricos o electrónicos, organigramas de empresas, flujogramas
de rutinas y procedimientos, modelos matemáticos de decisión, etc.
AMBITO DE LA ING. DE SISTEMAS
21. AMBITO DE LA ING. DE SISTEMAS
Los modelos también pueden clasificarse en:
a.- A escala, simulacros de objetos materiales (sean reales o
imaginarios), que conservan sus proporciones relativas, aunque
el tamaño es diferente del original. Se basan en la semejanza de
algunas de sus propiedades con las del sistema original.
b.-Analógicos, implican cambios del medio y deben reproducir la
estructura del original, es decir, que sean isomorfos (los sistemas
son isomorfos cuando su forma es semejante) con éste.
22. c.- Matemáticos, que buscan la aplicación de funciones y ecuaciones matemáticas para
representar el problema original mediante una transformación homomórfica (que ocurre
cuando los sistemas conservan entre proporción en sus formas, aunque no sean siempre
del mismo tamaño).
AMBITO DE LA ING. DE SISTEMAS
24. INGENIERÍA DE SISTEMAS
Modo de enfoqueModo de enfoque
interdisciplinario queinterdisciplinario que
permite estudiar ypermite estudiar y
comprender la realidad,comprender la realidad,
con el propósito decon el propósito de
implementar u optimizarimplementar u optimizar
sistemas complejos.sistemas complejos.
INGENIERÍA DE SISTEMAS
25. “Ingeniería es el arte de utilizar los instrumentos que nos provee
la ciencia para que a través del ingenio se generen soluciones
que proporcionan bienestar y progreso”
Ing. Raúl Delgado Sayán
INGENIERÍA DE SISTEMAS
26. INGENIERÍA DE SISTEMAS
INGENIERIA
La ingeniería es la profesión que aplica conocimientos y
experiencias para que mediante diseños, modelos y
técnicas se resuelvan problemas que afectan a la
humanidad a través del desarrollo de la tecnología.
SISTEMA
L. von Bertalanffy (1968):
"Un sistema es un conjunto de unidades en
interrelación".
Conjunto organizado de cosas o partes interactuantes e
interdependientes, que se relacionan formando un todo
unitario y complejo.
INGENIERÍA DE SISTEMAS
27. ¿Cómo te imaginas que es un ingeniero?
Experto en
matemáticas, física y
química y estudioso,
muuuuy
estudioso …
INGENIERÍA DE SISTEMAS
28. Ingeniero, ra.
(De ingenio, máquina o artificio).
Hombre que discurre con ingenio las
trazas y modos de conseguir o ejecutar
algo.
Diccionario de la lengua española (http://www.rae.es/)
¿Qué es un ingeniero?
INGENIERÍA DE SISTEMAS
29. Un ingeniero es …
Sergei Brin, Larry Page, fundadores de
Google en 1998. Ambos ingenieros
informáticos: Page por la Universidad dee
Michigan y Brin por la Universidad de
Maryland. La compañía vale ahora 60 mil
milones de dólares.
William Hewlett (1913-2001), David Packard (1912-1996), ambos
ingenieros de la universidad de Stanford, formaron su empresa en 1939,
en un pequeño garaje y con un capital de US$ 538.
INGENIERÍA DE SISTEMAS
30. INGENIERÍA DE SISTEMASMark Elliot Zuckerberg
(14 de mayo de 1984, White Plains, USA),
más conocido como Mark Zuckerberg,
es un programador y empresario
estadounidense conocido por ser el creador
de Facebook.
Para desarrollar la red, Zuckerberg contó
con el apoyo de sus compañeros de Harvard.
Actualmente es el personaje más joven
que aparece en la lista anual de millonarios
de la revista Forbes con una fortuna valorada
en más de 13.500 millones de dólares.
Fue nombrado como Persona del Año en 2010
por la revista estadounidense Time Magazine.
31. ¿Qué hace un ingeniero?
Busca soluciones, con ingenio, a los problemas de la vida
(muchos ámbitos) y hace más fácil la vida de los demás. Se
pregunta cosas y se interesa por las respuestas.
INGENIERÍA DE SISTEMAS
32. La ingeniería nos rodea
Es una profesión que te puede llevar desde la profundidad del
océano hasta lo más lejano del espacio exterior, desde dentro de la
estructura microscópica de la célula humana hasta la cima del más
alto rascacielos. Sea un teléfono celular, cámara digital, DVD, o un
dispositivo de reconocimiento facial capaz de detectar a un
terrorista en un abarrotado estadio de fútbol, los ingenieros están
detrás de casi toda la emocionante tecnología de hoy.
INGENIERÍA DE SISTEMAS
33. Ciencia, Ingeniería y Tecnología
¿Cómo se relacionan?
CienciaCiencia
SolucionesSoluciones
IngenieríaIngeniería TecnologíaTecnología
INGENIERÍA DE SISTEMAS
34. Encuesta elaborada por la Universidad de Lima sobre la demanda de profesionales en 250 de las 4.000 empresas
de mayor facturación en el Perú y publicada en El Comercio el 13/11/2007.
INGENIERÍA DE SISTEMAS
INGENIERÍA DE SISTEMAS
35. El Comercio - Noviembre 2007
Ingeniero
46.8%
Administrador
17.6%
Contador
12.0%
Abogado
3.2%
Otro
20.4%
Demanda de profesionales en las empresas
INGENIERÍA DE SISTEMAS
INGENIERÍA DE SISTEMAS
36. El Comercio - Noviembre 2007
Carreras que más necesita el país
Ingeniería
33.2%
Negocios
internacionales
15.6%
Administración
12.4%
Economía
6.4%
Educación
6.0%
Medicina
4.0%
Otras
19.6%
No contesta
2.8%
INGENIERÍA DE SISTEMAS
INGENIERÍA DE SISTEMAS
37. El Comercio - Noviembre 2007
Profesionales que tendrán más demanda en 10 años
Ingeniero
42.8%
Administrador
16.0%
Contador
8.8%
Marketing
5.6%
Negocios
internacionales
4.8%
Otro
22.0%
INGENIERÍA DE SISTEMAS
INGENIERÍA DE SISTEMAS
39. ¿Qué es un Ingeniero de Sistemas?
Un Ingeniero de Sistemas es el profesional capaz de analizar, diseñar,
investigar, desarrollar y administrar cualquier tipo de sistema, aplicando
las ciencias básicas, las tecnologías de información y comunicaciones,
y la Teoría General de Sistemas.
Fundamentalmente, es capaz de integrar y optimizar los recursos
organizacionales para la adecuada toma de decisiones, además de
especificar y desarrollar software base y de aplicación
generando tecnología nacional.
INGENIERÍA DE SISTEMAS
INGENIERÍA DE SISTEMAS
40. Investigación : Busca nuevos conocimientos y técnicas.
Desarrollo : Emplea nuevos conocimientos y técnicas.
Diseño : Especificar soluciones.
Producción : Transformación de materias primas en productos.
Construcción : Llevar a la realidad la solución de diseño.
Operación : Proceso de manutención y administración para
optimizar productividad.
Ventas : Ofrecer servicios, herramientas y productos.
Administración : Participar en solución de problemas.
Gestión y enseñanza.
FUNCIONES DEL INGENIERO
INGENIERÍA DE SISTEMAS
42. INTRODUCCIÓN
APLICACIONES DE LA ING. DE SISTEMAS
RECONOCIMIENTO DE VOZ
El software de reconocimiento del lenguaje hablado
que trae incorporado Windows Vista, el nuevo sistema
operativo de Microsoft; El programa permite
al usuario la ejecución de tareas normales
sin necesidad de usar el teclado, incluyendo
la redacción de emails.
Vista entra a competir con otros programas de reconocimiento de voz
especializados ya existentes en el mercado, de los cuales
los más populares son Via Voice de IBM, Dragon Naturally Speaking 9
de Nuance o Voice Pro 11 de Linguatec. Dragon ofrece reconocimiento
de 44 idiomas, incluyendo español, latinoamericano, colombiano y
argentino, además de portugués de Portugal y Brasil, y catalán y vasco.
43. INTRODUCCIÓN
RECONOCIMIENTO DE IMÁGENES
Los sistemas de computadoras son cada vez más potentes y menos
costosos, lo que permite crear nuevas formas de arte que antes
no eran posibles, y algunas otras formas de arte antiguas pueden ahora
verse beneficiadas con novedosas técnicas asistidas por computadora.
El reconocimiento de imágenes ha evolucionado a medida que mejora la
tecnología. Puede encontrarse en numerosos campos.
APLICACIONES DE LA ING. DE SISTEMAS
44. INTRODUCCIÓN
a.- Reconocimiento de caracteres
El reconocimiento óptico de caracteres, conocido también como OCR
(Optical Character Recognition), es un proceso por el cual
en una imagen digital se reconocen los caracteres con la finalidad
de poder editarla como texto. Este tipo de aplicaciones son utilizadas
como complemento en escáneres y otros dispositivos de captura
de imágenes digitales.
b.- Identificación de personas para investigaciones policíacas.
Muchas veces en investigaciones de crímenes un testigo puede describir
con mucho detalle el rostro de un criminal. Un dibujante profesional
convierte la descripción verbal del testigo en un dibujo sobre papel.
El trabajo de la computadora consiste en buscar el rostro del criminal
en una base de datos de imágenes. En las investigaciones policíacas
también se utiliza la búsqueda de huellas dactilares en una base de datos.
APLICACIONES DE LA ING. DE SISTEMAS
45. INTRODUCCIÓN
c.- Biometría
La biometría es el reconocimiento del cuerpo humano a través de ciertas
características físicas, como el tamaño de los dedos de la mano,
las huellas dactilares o los patrones en las retinas de los ojos.
Los sistemas de computadoras actuales permiten tener mejores niveles
de seguridad utilizando la biometría. Por ejemplo, Control de ingreso
y salida a la UCSUR.
APLICACIONES DE LA ING. DE SISTEMAS
46. INTRODUCCIÓN
Sistema de reconocimiento facial
Aplicación dirigida por ordenador para identificar automáticamente
a una persona en una imagen digital, mediante la comparación de
determinadas características faciales a partir de una imagen digital
o un fotograma de una fuente de vídeo y una base de datos.
Es utilizado principalmente en Sistemas de Seguridad para
el reconocimiento de los usuarios. Consiste en un lector que define
las características del rostro, y al solicitar acceso se verifica que coincidan
las características del usuario con la BD.
Es poco confiable ya que las características de nuestro rostro al paso
de tiempo tienden a cambiar.
Se suelen utilizar en los sistemas de seguridad y puede ser comparado
a otros biometría como huella digital o los sistema de reconocimiento
usando escaneo del iris.
APLICACIONES DE LA ING. DE SISTEMAS
47. INTRODUCCIÓN
PROCESAMIENTO DE IMÁGENES MEDICAS
El objetivo fundamental del procesamiento de imágenes apunta a una
mejora en la obtención de información médica, lo que supone una mejora
de las diagnosis y por tanto de su fiabilidad. Pero todas estas metas
pasan por un estudio de las imágenes partiendo de cero. Es preciso
realizar la segmentación de las escenas; posteriormente desarrollar
técnicas más avanzadas, para finalizar con la reconstrucción
tridimensional.
APLICACIONES DE LA ING. DE SISTEMAS
48. INTRODUCCIÓN
ESTEGANOGRAFÍA
Disciplina en la que se estudian y aplican técnicas que permiten
el ocultamiento de mensajes u objetos, dentro de otros, llamados
portadores, de modo que no se perciba su existencia. Es una mezcla
de artes y técnicas que se combinan para conformar la práctica
de ocultar y enviar información sensible en un portador que pueda
pasar desapercibido.
49. INTRODUCCIÓN
Reconocimiento de Huellas Digitales
Simulación de Trafico Vehicular, aéreo, uso de guitarra, etc.
Generación de Animaciones
Entre Otros.
APLICACIONES DE LA ING. DE SISTEMAS
Video Nokia y Tele presencia
Año 2005
50. Información. Es el principal componente de todo sistema y su
razón de ser, debe ser adaptable a las personas que lo utilizan y
al equipo disponible, de acuerdo a los procedimientos de
trabajo para que las tareas se lleven a cabo de forma eficaz.
¿Qué es información?
52. INTRODUCCIÓN
Dato Vs. Información
Datos son componentes básicos a partir de los cuales la información es
creada.
Información son datos insertados en un contexto.
Contexto es la situación que está siendo analizada.
A partir de la información se obtiene conocimiento, el que permite
tomar decisiones.
Que cuando adecuadas, ayudan al negocio a alcanzar sus objetivos.
53. INTRODUCCIÓN
Una compañía puede capturar grandes cantidades de datos en su trabajo
diario:
Estos datos representan el estado actual del negocio.
Es importante derivar información de estos datos.
Examinando distintos contextos.
Determinando las relaciones entre los hechos.
Comprendiendo como se reflejan los objetivos de la empresa en
los datos.
54. INTRODUCCIÓN
De usuario para usuario
Ejecutivos
Gerentes
Ejecutores
De un escenario competitivo en relación a otro
Estacionalidad
Cambios en el mercado
Nuevos competidores
Y a menores ciclos de negocio, más variaciones
En la práctica, ¡hoy es imposible prever cómo los datos serán utilizados!
Pero El Contexto Cambia...
55. INTRODUCCIÓN
• Marketing
• Ventas
• Call Center
• Legal
• Clientes
• Socios
• Etc.
Aplicación
Aplicación
Aplicación
Aplicación
Aplicación
Necesidades de Acceso a Datos
56. INTRODUCCIÓN
¿Qué combinaciones¿Qué combinaciones
de productos estánde productos están
comprandocomprando
mis clientes?mis clientes?
Ventas semanalesVentas semanales
InventarioInventario
ClientesClientes
CompetenciaCompetencia
¿Cómo están las¿Cómo están las
ventas comparadasventas comparadas
con el pasado?con el pasado?
¿Cómo debo¿Cómo debo
responder a unaresponder a una
acción de unacción de un
competidor?competidor?
¿Cual es la tendencia¿Cual es la tendencia
del índice dedel índice de
satisfacción desatisfacción de
los clientes?los clientes?
¿Mi conjunto¿Mi conjunto
de productos estáde productos está
adecuado aladecuado al
mercado?mercado?
Muchos Datos, Poca Información
Productos, clientes, mercado, riesgo, fraude, tendencias,
comportamiento
57. Datos
JERARQUÍA DE LA INFORMACIÓN
Valores discretos; deben ser correctos
y precisos; se requieren en forma masiva;
aislados suelen tener poco valor.
JERARQUÍA DE LA INFORMACIÓN
58. • Información
• Datos
Conjuntos de datos puestos en
relación entre sí, adquieren nuevo
significado y valor operativo en la realidad
JERARQUÍA DE LA INFORMACIÓNJERARQUÍA DE LA INFORMACIÓN
59. • Conocimiento
• Información
• Datos
Experiencia que
surge del análisis y
síntesis de la información
JERARQUÍA DE LA INFORMACIÓN
JERARQUÍA DE LA INFORMACIÓN
61. Se puede clasificar de muchas formas diferentes pero para
una empresa la importancia que tiene es respecto a quien
va dirigida y para quien es útil.
CATEGORIAS DE LA INFORMACION
62. 1. Estratégica
• Información estratégica es un instrumento de cambio.
• Enfocada a la planeación a largo plazo
• Orientada a la alta administración.
2. Táctica
• Información de control administrativo
• Es un tipo de información compartida.
• Tiene una utilidad a corto plazo.
3. Operacional
• Información rutinaria.
• Muestra la operación diaria.
• Tiene una utilidad a muy corto plazo.
CATEGORIAS DE LA INFORMACION
63. DEFINICIÓN DE SEGURIDAD
Seguridad: Característica de cualquier sistema informático que nos indica que
este se encuentra libre de peligro, daño o riesgo.
•Se entiende como peligro o daño todo aquello que pueda afectar su
funcionamiento directo a nivel de hardware y software, la información
almacenada y los resultados obtenidos.
•Para alcanzar la seguridad se utiliza objetos, dispositivos, medidas, normas, etc.,
que contribuyen a hacer más seguro el funcionamiento o el uso del sistema.
64. Riesgo: Proximidad o posibilidad de producirse un daño, peligro, etc.
Cada uno de los imprevistos, hechos desafortunados, etc.
Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.
Vulnerabilidad: Exposición latente a un riesgo.
existen varios riesgos tales como: ataque de virus, códigos maliciosos,
gusanos, caballos de troya y hackers; no obstante, con la adopción de
Internet como instrumento de comunicación y colaboración, los riesgos
han evolucionado.
65. Aspectos fundamentales de la seguridadAspectos fundamentales de la seguridad
• Confidencialidad
• Integridad
• Disponibilidad
(*) El nivel de importancia que se le otorga a los
aspectos de seguridad en una aplicación dependen
del tipo de sistema informático: Militar, Comercial,
Bancario, Gubernamental, Académico, etc.
66.
67. Confidencialidad
La información almacenada en un sistema no
pueda estar disponible o ser descubierta por o
para personas, entidades o procesos no
autorizados.
El diseño de un sistema informático debe
considerar la posibilidad de intentos de
acceso no autorizado en el sistema o en
alguno de sus componentes.
68. INTEGRIDAD
• La información almacenada en un sistema
informático debe mantenerse integra para
que sea confiable para la toma de decisiones.
La información del sistema debe ser creada,
modificada o eliminada sólo por las personas
autorizadas.
69. DISPONIBILIDAD
• Disponibilidad significa que el sistema
informático, tanto HW como SW, se mantienen
funcionando eficientemente y son capaces de
recuperarse rápidamente en caso de fallo.
Un sistema vulnerable de ataques no garantiza
estar disponible a sus usuarios en el momento
que ellos lo soliciten.
70. OTROS ASPECTOS RELACIONADOS A LA
SEGURIDAD
• Autenticidad
• Imposibilidad de rechazo (no-repudio)
• Consistencia
• Aislamiento
• Auditoría
71. AUTENTICIDAD
Permite asegurar el origen de la información. La
identidad del emisor puede ser validada, de modo
que se puede demostrar que es quien dice ser. Se
debe tratar de evitar que un usuario envíe o
consulte información del sistema haciéndose
pasar por otro.
La forma mas común de autentificar
un usuario es a través de una
clave de acceso o contraseña.
72. IMPOSIBILIDAD DE RECHAZO (NO REPUDIO)
• Cualquier entidad que envía o recibe
información, no puede alegar ante terceros
que no la envió o la recibió.
• Esta propiedad y la anterior son
especialmente importantes en el entorno
bancario y en el uso del comercio electrónico.
73. CONSISTENCIA
• Asegura que el sistema se comporta como se
supone que debe hacerlo regularmente con
los usuarios autorizados.
• Si el software o el hardware de repente
comienzan a comportarse de manera diferente
a la esperada, puede originarse un desastre que
deberá ser alertado y recuperado.
74. AISLAMIENTO
• Regula el acceso al sistema, impidiendo que
personas no autorizadas entren en él.
Este aspecto está relacionado directamente
con la confidencialidad, aunque se centra más
en el acceso al sistema que a la información
que contiene.
75. AUDITORÍA
• Capacidad de determinar qué acciones o
procesos se han llevado a cabo en el sistema,
y quién y cuándo las han llevado a cabo.
• La única forma de lograr este objetivo es
mantener un registro de las actividades del
sistema, y que este registro esté altamente
protegido contra modificación.
76. TRANSMISIÓN DE DATOS
La transmisión de datos es el intercambio de
datos entre dos dispositivos a través de algún
medio de transmisión.
En una comunicación existe un flujo de
información desde un origen hacia un destino.
Mayor detalle: Sesión 11-Seguridad de Red y Telecomunicaciones
77. Tendencia humana a que todas las actividades seTendencia humana a que todas las actividades se
digitalicen.digitalicen.
ATAQUES
Un ataque es un evento, exitoso o no, que atenta sobre el buen funcionamiento
de un sistema informático.
78. Ataque de SoftwareAtaque de Software
Su objetivo es atacar una aplicación, un sistemaSu objetivo es atacar una aplicación, un sistema
operativo, o un protocolo, con el fin de ganar accesooperativo, o un protocolo, con el fin de ganar acceso
a un sistema o red. Los distintos tipos son usados pora un sistema o red. Los distintos tipos son usados por
separado o en combinación con otros.separado o en combinación con otros.
79. Ataque de HardwareAtaque de Hardware
Su objetivo es atacar el hardware de laSu objetivo es atacar el hardware de la
victima, a través de penetraciones físicas.victima, a través de penetraciones físicas.
80. • Los ataques se pueden clasificar en:
- Interrupción
- Intercepción
- Modificación
- Fabricación
81. Interrupción
• La información del sistema es destruida o llega a ser inutilizable.
• Este ataque atenta contra la disponibilidad.
Ejem: Destrucción de una pieza de HW, cortar
los medios de comunicación o deshabilitar los
sistemas.
83. INTERCEPCIÓN
• Es cuando una entidad no autorizada
consigue acceso a un recurso de nuestro
sistema informático.
• Refiere una participación sin autorización por
parte de una persona, computadora o
programa en una comunicación.
• Este ataque atenta contra la confidencialidad.
85. MODIFICACIÓN
• Una entidad no autorizada no sólo consigue
acceder a un recurso, sino que es capaz de
manipularlo y alterarlo.
• Este es un ataque contra la integridad.
91. Problemática actual
• Intercepción de información.
• Suplantación de identidad.
• Envío de emails falsos.
• Phishing.
• Troyanos.
• Exploits.
• Corrupción – Accesos a sitios con contenidos
prohibitivos.
92. INTERCEPCIÓN DE INFORMACIÓN
Haciendo uso de un software llamado sniffer, el atacante
copia a su computadora la información que es enviada a
través de la red por los diferentes dispositivos.
Un packet sniffer es un programa de captura de las
tramas de red. Generalmente se usa para monitorizar y
analizar el tráfico en una red de computadoras,
detectando los cuellos de botella y problemas que existan,
aunque también es utilizado para interceptar, lícitamente
o no, los datos que son transmitidos en la red.
Destacan por su importancia los siguientes sniffers:
TCPDUMP , DARKSTAT Y TRAFFIC-VIS, NGREP, SNORT,
NWATCH, ETHEREAL, ETTERCAP y KISMET
93. SUPLANTACIÓN DE IDENTIDAD
• Consiste en acceder a un sistema informático
de manera regular, pero haciéndose pasar por
otro usuario autorizado.
• Usualmente se emplea para obtener
información confidencial del usuario o del
sistema. Es difícil de detectar si es que no se
realizan modificaciones importantes en la data,
que sean fácilmente identificables.
94. ENVÍO DE E-MAILS FALSOS
• El atacante envía correos electrónicos
haciéndose pasar por diferentes personas. Se
trata de suplantar la identidad del remitente
para lograr algún fin específico.
95. PHISHING (PESCANDO)
Adquirir información confidencial de forma
fraudulenta, como puede ser una contraseña o
información detallada sobre datos personales,
tarjetas de crédito, contraseñas, u otra
información bancaria.
El estafador, mejor conocido como phisher, se
hace pasar por una persona o empresa de
confianza en una aparente comunicación oficial
electrónica, por lo común un correo electrónico o
algún sistema de mensajería instantánea.
96. TIPOS DE PHISHING
BASADO EN EMAILS:
1. Correo enviado al cliente simulando ser el negocio legítimo.
2. El correo aparenta ser un correo oficial de la organización a la
cual se hace referencia en el email.
3. El mensaje induce al cliente a digitar sus datos personales
mediante una supuesta actualización o ejecución de una
transacción.
4. El link lleva al cliente a un sitio Web falso diseñado para
parecer el sitio original.
5. La información registrada en ese sitio es transmitida
directamente al estafador.
6. El estafador ingresa al sitio Web verdadero para hacer
transacciones con los datos del cliente.
97.
98. POR TELÉFONO:
1. El estafador llama a un cliente fingiendo
pertenecer a una entidad financiera.
2. Se le indica al cliente que su cuenta sería
cerrada por problemas técnicos a menos que
colabore proporcionando: Número de Cuenta,
DNI, contraseña y otros datos valiosos.
3. El estafador luego de tomar los datos, ingresa al
sitio Web verdadero para hacer las transacciones
con los datos capturados, haciéndose pasar por
el cliente.
99. ““PHISHING”PHISHING”
MODALIDAD DE HURTO AGRAVADO, CONSISTE EN
EL ENVIO MASIVO DE CORREOS ELECTONICOS,
SUPUESTAMENTE REMITIDOS POR LAS ENTIDADES
BANCARIAS, EN DONDE APARECEN SUS PAGINAS
WEB, CON UN “MENSAJE” PARA SUS CLIENTES,
COMO QUE ESTAN ACTUALIZANDO LOS DATOS
PORQUE SU SISTEMA INFORMATICO HA TENIDO
ALGUNAS AVERIAS O FALLAS, O QUE HAN GANADO
UN PREMIO, ETC.
CON ESTA INFORMACION SE REALIZAN LAS
TRANSFERENCIAS, PAGOS DE SERVICIOS,
COMPRAS Y RECARGAS VIRTUALES, A TRAVES DE
LA INTERNET.
102. ““PHISHING”PHISHING”
El link de este correo falso te llevaba a la siguiente página falsa que se hacía pasar por
nuestra página de Operaciones en línea:
104. Euro Millions Lottery.
Hoge Wei 28, 2011 Zaventem,
Belgium.
Euro Millions are Affiliate of Belgium National (BNL).
Sir/Madam,
CONGRATULATIONS: YOU WON 1,000,000.00 EUROS.
We are pleased to inform you of the result of Euro Millions, which was held
on the 27th, July 2006. Your e-mail address attached to e-ticket number:
05-32-44-45-50 (01-07), with Prize Number (match 3): 106000007 drew a prize
of 1,000,000.00 (One Million Euros).
This lucky draw came first in the 2nd Category of the Sweepstake.
Bank: Laagste Heypotheekofferte Bank. N.L.
Attention: Dirk Garvin.
Karspeldreef 6A, 1101 CJ, Amsterdam, Netherlands.
E-mail: laagstbankernlin@aim.com
Telephone: +31617 636 209.
Fax : (+3184) 735-9610.
Furnish them with the following:
(i). your name(s),
(ii) Your telephone and fax numbers
(iii) Your contact address
(iv) Your winning information (including amount won).
Congratulations. Yours Faithfully
Vjertis Von Adrian (Ms.) CPA.
Coordinator: Euro Millions.
Ganador de la Lotería
105. FROM DENNIS LONGMANAUDITING
MANAGERINTERBANK SERVICES
LONDON
UNITED KINGDOM
DEAR PARTNERI
DR DENNIS LONGMAN, THE AUDITING MANAGER INTERBANK SERVICES LONDON,I AM
WRITING THIS LETTER TO ASK FOR YOUR SUPPORT AND COOPERATION TO CARRY OUT THIS
BUSINESS OPPORTUNITY IN MY DEPARTMENT.WE DISCOVERED AN ABANDONED SUM OF
(FIFTEEN MILLION UNITED STATES DOLLARS ONLY) IN AN ACCOUNT THAT BELONGS TO ONE
OF OUR FOREIGN CUSTOMERS WHO DIED ALONG WITH HIS ENTIRE IN AIR CRASH, ALASKA
AIRLINE FLIGHT 261 IN 2000.SINCE WE HEARD OF THISDEATH,NOBODY HAS COME FOR ANY
CLAIMS AS NOBODY KNEW OF THE ACCOUNT.THE NAME OF OUR LATE CUSTOMER IS
MORRIS THOMPSON, HIS WIFE'S NAME THELMAN THOMPSON, DAUGHTER'S NAME SHERYL
THOMPSON,THE OWNER OF DOYON LTD, IN ALASKA.
http://www.cnn.com/2000/US/02/01/alaska.airlines.list/
http://www.nativefederation.org/history/people/mThompson.htmWE HAVE BEEN
EXPECTING HIS NEXT OF KIN TO COME OVER AND FILE FOR CLAIMS FOR HIS MONEY AS THE
HEIR, BECAUSE WE CANNOT RELEASE THE FUNDS FROM HIS ACCOUNT UNLESS SOMEONE
APPLIES FOR CLAIM AS THE NEXT OF KIN TO THE DECEASED AS INDICATED IN OUR BANKING
GUIDELINES AND THAT IS THE REASON WHY I HAVE CONTARTED YOU TO ACT AS THE NEXT
OF KINTO COMMENCE THIS TRANSACTION, WE REQUIRE YOU TO IMMEDIATELY INDICATE
YOUR INTEREST BY A RETURN E-MAIL AND ENCLOSE YOUR PRIVATE CONTACT TELEPHONE
NUMBER, FAX NUMBER FULL NAME AND ADDRESS AND YOUR DESIGNATEDBANK
COORDINATES TO ENABLE US FILE LETTER OF CLAIM TO THE APPROPRIATE DEPARTMENT
FOR NECCESSARY APPROVALS BEFORE THE TRANSFER CAN BE MADE.I LOOK FORWARD TO
RECEIVING YOUR PROMPT RESPONSE.REGARDSDR DENNIS LONGMAN---- Msg sent via
email-me.cc - http://www.email-me.cc
Dinero Abandonado
106. Dear Western Union Client :
We are encountered some tehnical errors in our database, Please update your profile .
You can access your profile at https://wumt.westernunion.com/asp/regLogin.asp/.
This process is mandatory, and if not completed within the nearest time your account
may be subject for temporary suspension.
For help please contact Western Union Customer Service immediately by
email at customerservice@westernunion.com or call us at 1-877-989-3268 .
Thank you for using westernunio
Cuenta en
Western Union
107. Dear Bank of America Client :
We are encountered some tehnical errors in our database, Please update your profile .
You can access your profile at https://www.bankofamerica.com
This process is mandatory, and if not completed within the nearest time your account
may be subject for temporary suspension.
For help please contact Bank of America Customer Service immediately by
email at customerservice@bankofamerica.com or call us at 1-800-552-7302 .
Thank you for using bankofamerica.com!
-----------------------------------------------------------------------------
Cuenta Bancaria
108. MEDIDAS DE SEGURIDAD CONTRA EL
PHISHING:
Verificar la fuente de la información.
Escribir la dirección en su navegador de Internet.
Reforzar su seguridad (descarga de actualizaciones de
seguridad del fabricante de su Sistema Operativo).
Comprobar que la página web en la que ha entrado es
una dirección segura.
Hacer doble clic sobre el candado de Zona Segura
para tener acceso al certificado digital que confirma
que la web corresponde a la que está visitando.
Revisar periódicamente sus cuentas y cambiar las
contraseñas.
109. HURTO AGRAVADOHURTO AGRAVADO
MODALIDADES
-A TRAVES DEL INTERNET
* PHISHING
* PHARMING O TROYANO
-“CLONACION” DE TARJETAS BANCARIAS
-“CAMBIAZO”
-USO INDEBIDO DE TARJETAS BANCARIAS
110. Malware (del inglés malicious software), también llamado badware,
código maligno, software malicioso o software malintencionado,
tipo de sw que tiene como objetivo infiltrarse o dañar una pc sin el
consentimiento de su propietario.
El término es muy utilizado por profesionales de la informática
para referirse a una variedad de software hostil, intrusivo o molesto.
El sw se considera malware en función de los efectos que, pensados
por el creador, provoque en un computador. El término malware incluye
virus, gusanos, troyanos, la mayor parte de los rootkits, scareware,
spyware, adware intrusivo, crimeware y otros softwares maliciosos
e indeseables.
Malware
113. Como hacen dinero?
• Spyware
• SPAM
• Phishing
• Robando información financiera
• Robando datos sensitivos
• Sirviendo como hosts de phishing
• Centros de control Bot
• Ataques distribuidos
Malware
114. El siglo que vivimos peligrosamente
• 2000: Love
• 2001: Klez
• 2001: Code Red
• 2003: SQL Slammer
• 2003: Blaster
• 2004: Sasser
• 2004: Netsky-A, Netsky-B, …. Netsky-*
• 2005: Kamasutra
• 2007: Incontables..................
• 2008 y 2009 …….
Malware
116. • Spam:
– Es un fin: Venta
– Es un medio:
• Para infectar máquinas con troyanos adjuntos
• Para inducir a visitar páginas de ataque
• Troyanos:
– Es un fin: Controlar la máquina
– Es un medio:
• Para hacer phishing
• Para enviar más spam
• Para reclutar zombies para botnets
Malware
118. Soluciones - Defensa en profundidad
• Políticas de seguridad
• Protección en el perímetro
• Protección en los servidores
• Protección en los desktops
• Mínimo privilegio posible
• Mínimo punto de exposición
Malware
120. Códigos Maliciosos:
1. Los atacantes infectan las computadoras de los clientes con
un código malicioso (troyano o Key Logger).
2. Estos programas se instalan automáticamente, sin que el
cliente lo sepa, al ingresar a determinados sitios Web o
luego de haber hecho click en el adjunto de un e-mail que
contiene este programa.
3. Cuando el cliente visita el sitio Web de la organización, el
código se activa y almacena la información digitada por el
cliente en el servidor (es) del hacker.
4. El estafador ingresa al sitio Web verdadero para hacer
transacciones con los datos capturados del cliente.
121. Pharming:
1. Entra dentro de la categoría de códigos maliciosos.
2. Se diferencia de los demás por que cuando se activa
redirige al usuario hacia el sitio Web falso del
hacker a pesar de digitarse la dirección de la
página en el browser.
3. Si una empresa que accede a Internet a través de
un mismo servidor (proxy) tiene una máquina
infectada puede dirigir masivamente a todos sus
usuarios a sitios web falsos.
122.
123. ““PHARMING O TROYANO”PHARMING O TROYANO”
•ENVÍO DE CORREO MASIVO, INVITANDO A LOS USUARIOS DE CORREO,
DESCARGAR UN ARCHIVO EN SU COMPUTADORA, EL MISMO QUE LE VA A
PERMITIR ACELERAR SU NAVEGADOR; TAMBIEN SUPUESTAMENTE LOS
MEDIOS DE COMUNICACION DE PRESTIGIO LE ENVIAN NOTICIAS,
PRIMICIAS O ALGUNA INFORMACION QUE LLAME MUCHO LA ATENCION.
•ESTE ARCHIVO QUE CONTIENE OCULTO UN “TROYANO” VA A MODIFICAR
EL ARCHIVO HOST, O VA A CREAR CARPETAS QUE CONTIENEN ARCHIVOS
CON LAS PAGINAS WEB CLONADAS DE LOS BANCOS, PARA QUE CUANDO
LA VÍCTIMA ESCRIBA EN LA BARRA DE DIRECCIONES DEL EXPLORADOR LA
DIRECCIÓN WEB DE SU BANCO, ESTE AUTOMÁTICAMENTE ES
REDIRECCIONADO A DICHA PÁGINA WEB CLONADA.-
124. ““PHARMING O TROYANO”PHARMING O TROYANO”
•EN ESTA PÁGINA WEB FALSA SE SOLICITA A LOS USUARIOS INGRESAR SU
INFORMACIÓN CONFIDENCIAL LA CUAL VA A PARAR A UN CORREO, B.D. O
SERVIDOR VIRTUAL.
•ES CON ESTA INFORMACION QUE SE PRODUCEN LAS TRANSFERENCIAS,
COMPRAS, RECARGAS VIRTUALES O PAGO DE SERVICIOS, A TRAVES DE LA
INTERNET.
•POR CONSIGUIENTE AFECTAN LAS CUENTAS BANCARIAS DE LOS CLIENTES
DE LOS DIFERENTES BANCOS, NO SOLAMENTE DEL PAIS SINO TAMBIEN DEL
EXTRANJERO.
125. "LA CANTANTE SHAKIRA, AL BORDE DE LA MUERTE"
"URGENTE: IMPLEMENTE SU SEGURIDAD, EVITE SER ESTAFADO"
"ABSOLVIERON A ALBERTO FUJIMORI"
"PRIMERA DAMA SUFRE INFARTO CEREBRAL"
"SHAKIRA Y CARLOS VIVES ALBOROTAN LETICIA"
"RISAS Y MIRADAS (VIDEO DEL EX PRESIDENTE ALBERTO FUJIMORI Y
VLADIMIRO MONTESINOS"
"RICKY MARTIN SE SUICIDA"
"FALLECIÓ FAMOSO CANTANTE GIANMARCO"
"VIDEO INDRID BETACOURT"
“CHILE DECLARA LA GUERRA AL PERU”
“MAGALY MEDINA SUFRE ATENTADO EN CARCEL”
“TONGO EN ESTADO DE COMA”
“SE SUICIDA EL PUMA CARRANZA Y MATA A UNA DE SUS HIJAS”
“FOQUITA FARFAN AL BORDE DE LA MUERTE”
““PHARMING O TROYANO - CASOS”PHARMING O TROYANO - CASOS”
130. TROYANOS
Se denomina troyano (Caballo de Troya o Troyan
Horse) a un programa malicioso capaz de alojarse
en un computador o dispositivo y permitir el
acceso a usuarios externos, a través de una red
local o de Internet, con el fin de recabar
información o controlar remotamente a la
máquina anfitriona.
Un troyano no es en sí un virus, aún cuando
teóricamente pueda ser distribuido y funcionar
como tal.
131. La diferencia fundamental entre un troyano y un
virus consiste en su finalidad. Para que un programa
sea un "troyano" solo tiene que acceder y controlar
la máquina anfitriona sin ser advertido,
normalmente bajo una apariencia inocua.
Al contrario que un virus, que es un huésped
destructivo, el troyano no necesariamente provoca
daños porque no es su objetivo.
132. Suele ser un programa alojado dentro de una
aplicación, una imagen, un archivo de música u
otro elemento de apariencia inocente, que se
instala en el sistema al ejecutar el archivo que lo
contiene.
Una vez instalado parece realizar una función útil
(aunque cierto tipo de troyanos permanecen ocultos
y por tal motivo los antivirus o anti troyanos no los
eliminan) pero internamente realiza otras tareas de
las que el usuario no es consciente, de igual forma
que el Caballo de Troya que los griegos regalaron a
los troyanos.
132
133. • Habitualmente se utiliza para espiar, usando la técnica para instalar un
software de acceso remoto que permite monitorizar lo que el usuario legítimo
de la computadora hace (en este caso el troyano es un spyware o programa
espía) y, por ejemplo, capturar las pulsaciones del teclado con el fin de
obtener contraseñas (cuando un troyano hace esto se le cataloga de
keylogger) u otra información sensible.
• La mejor defensa contra los troyanos es no ejecutar nada de lo cual se
desconozca el origen y mantener software antivirus actualizado; es
recomendable también instalar algún software anti troyano.
• Otra solución bastante eficaz contra los troyanos es tener instalado un
firewall. Otra manera de detectarlos es inspeccionando frecuentemente la
lista de procesos activos en memoria en busca de elementos extraños, vigilar
accesos a disco innecesarios, etc.
134. Lo peor de todo es que últimamente los troyanos están siendo
diseñados de tal manera que, es imposible poder detectarlos
excepto por programas que a su vez contienen otro tipo de
troyano.
Inclusive existen troyanos dentro de los programas
comerciales, para poder saber cual es el tipo de uso que se les
da y poder sacar mejores herramientas al mercado llamados
también "troyanos sociales"
135. EXPLOITS
Exploit (del inglés to exploit: explotar o aprovechar) es un
programa informático malicioso, o parte de un programa,
que trata de forzar alguna deficiencia o vulnerabilidad de
otro programa (llamados bugs).
El fin puede ser la destrucción o inhabilitación del
sistema atacado, aunque normalmente se trata de violar
las medidas de seguridad para poder acceder al mismo de
forma no autorizada y emplearlo en beneficio propio o
como origen de otros ataques a terceros.
Un "exploit" es usado normalmente para explotar una
vulnerabilidad en un sistema y acceder a él, lo que es
llamado como "rootear". También lo llaman oportunista.
136. Es el arte o ciencia de cifrar y descifrar información
utilizando técnicas matemáticas que hagan posible
el intercambio de mensajes de manera que sólo
puedan ser leídos por las personas a quienes van
dirigidos.
CriptografíaCriptografía
137. Certificado digitalCertificado digital
Un Certificado Digital es un documento digital
emitido por una Autoridad de Certificación o
Autoridad Certificante (AC o CA por sus siglas en
inglés Certification Authority) que garantiza la
vinculación entre la identidad de un sujeto o
entidad.
http://www.verisign.com/
http://www.thawte.com/
http://www.positivessl.com/
http://www.digicert.com/
143. SEGURIDAD DE AUTENTIFICACIÓN
La autentificación consiste en identificarse como
un usuario autorizado de una aplicación,
demostrando que la persona que está accediendo
al sistema es quien dice seres quien dice ser.
La manera más común de autentificarse en una
aplicación Web consiste en ingresar un nombreingresar un nombre
de usuario y una contraseñade usuario y una contraseña privada y secreta.
144. Ahora ya no se trata de determinar solamente que
el usuario es quien dice ser, sino que además sese
trata de una personatrata de una persona (un ser humano), y no de
una aplicación maliciosaaplicación maliciosa que intenta acceder a
nuestro sistema.
Una forma para garantizar que quién accede a
nuestra aplicación es una persona real, consiste
en incluir en las ventanas de acceso, elementosincluir en las ventanas de acceso, elementos
que sólo podrán ser identificados por unaque sólo podrán ser identificados por una
persona, a través de sus sentidospersona, a través de sus sentidos.
145. Protección contra accesos no autorizadosProtección contra accesos no autorizados
Lo mas importante con respecto al control de
accesos es concientizar a los usuarios de laconcientizar a los usuarios de la
importancia de mantener en estricta reserva losimportancia de mantener en estricta reserva los
nombres de usuario y las contraseñasnombres de usuario y las contraseñas utilizadas
para acceder a una aplicación Web.
Nunca deben revelarse las contraseñasNunca deben revelarse las contraseñas a otra
persona, a través de otra aplicación Web, o
respondiendo un correo electrónico.
Por seguridad, ninguna aplicación Web realninguna aplicación Web real
solicita ingresar la contraseña personalsolicita ingresar la contraseña personal en una
ventana distinta a la de acceso al sistema.
146. Contraseñas - SolucionesContraseñas - Soluciones
1. Ticket de ingreso: Consiste en proveer un ticket a cada
inicio de sesión, de modo que el usuario deberá ingresar
el código de ticket (letras y/o números) luego de oír o
leer su contenido.
De esta manera, se evita que un programa malicioso
suplante la identidad de un usuario y envíe
repetitivamente los parámetros solicitados (nombre de
usuario y contraseña), generando contraseñas
aleatoriamente, intentando iniciar una sesión de manera
fraudulenta.
La forma común de mostrar un ticket es generando una
cadena random de caracteres y luego transformarla en
una imagen, la cual será mostrada en el formulario de
ingreso al sistema.
147. El usuario visualiza o escucha el contenido de la
imagen mostrada e ingresa este código en el
campo solicitado en el formulario de registro.
Antes de validar el nombre de usuario y la
contraseña, la aplicación verificará que el código
ingresado coincide con el código que mostró en
el formulario.
Debido a que hay algoritmos que realizan la terea
contraria, generando la cadena de caracteres a
partir de una imagen, la manera mas usual de
presentar estas imágenes en los formularios es
distorsionándolas para que sea más difícil
descifrarlas por alguna aplicación.
148. Formulario con ticket en imagen regular
Formulario con ticket en imagen distorsionada y opción para
escuchar el contenido del ticket
149. Formulario de inicio de sesión en una cuenta de gmail con muchos intentos de
acceso no exitosos.
La aplicación lleva un contador de los intentos fallidos sucesivos para una misma
cuenta. En un inicio no aparece la imagen del ticket.
Recién la presenta en el formulario cuando se supera el número límite de
accesos fallidos.
150. Otra manera de cuidar la seguridad en una aplicación web es indicándole al
usuario el nivel de seguridad de la contraseña elegida.
Las maneras mas utilizadas para restablecer una contraseña requieren una
cuenta de correo electrónico secundaria, a la cual enviarán la nueva
contraseña; o el registro de una pregunta y una respuesta secreta.
151. La manera mas segura para evitar los troyanos y los keyloggers es insertando un
teclado numérico dinámico en el formulario para que no se conozcan las teclas
pulsadas.
Al hacer que los números cambien de posición se evita que se pueda deducir
una clave en función a la zona de la pantalla en la que se hace click.
Cuando se acceda a una aplicación web desde un computador inseguro,
deberán revisar que no tenga un programa keylogger ejecutándose.
Teclear las contraseñas con el teclado en pantalla que nos presentan como
opción los sistemas operativos es la mejor manera de evitar que conozcan
nuestras contraseñas.
152. Es por la existencia de un número importante de amenazas y riesgos,
que la infraestructura de red y recursos informáticos de una organización
deben estar protegidos bajo un esquema de seguridad que reduzca
los niveles de vulnerabilidad y permita una eficiente administración del riesgo.
Para ello, resulta importante establecer políticas de seguridad, las cuales van
desde el monitoreo de la infraestructura de red, los enlaces de
telecomunicaciones, la realización del respaldo de datos y hasta el
reconocimiento de las propias necesidades de seguridad, para establecer
los niveles de protección de los recursos.
153. Identificar y seleccionar lo que se debe proteger (información sensible).
Establecer niveles de prioridad e importancia sobre esta información.
Conocer las consecuencias que traería a la compañía, en lo que se refiere
a costos y productividad, la pérdida de datos sensibles .
Identificar las amenazas, así como los niveles de vulnerabilidad de la red.
Realizar un análisis de costos en la prevención y recuperación
de la información, en caso de sufrir un ataque y perderla.
Implementar respuesta a incidentes y recuperación para disminuir
el impacto.
Pasos de las políticas de seguridad:
154. SEGURIDAD DE LA INFORMACION
Importancia de la información
Cuando se habla de la función informática generalmente se tiende a hablar de
tecnología nueva, de nuevas aplicaciones, nuevos dispositivos de hardware, nuevas
formas de elaborar información más consistente, etc.
Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace
posible la existencia de los anteriores elementos. Esta base es la información.
Es muy importante conocer su significado dentro la función informática, de forma
esencial cuando su manejo esta basado en tecnología moderna, para esto se debe
conocer que la información:
Esta almacenada y procesada en computadoras.
Puede ser confidencial para algunas personas o a escala institucional.
Puede ser mal utilizada o divulgada.
Puede estar sujeta a robos, sabotaje o fraudes.
Los primeros puntos nos muestran que la información esta centralizada y que puede
tener un alto valor y los últimos puntos nos muestran que se puede provocar la
destrucción total o parcial de la información, que incurre directamente
en su disponibilidad que puede causar retrasos de alto costo.
155. Pensemos por un momento que pasaría si se sufre un accidente en el centro de
computo o el lugar donde se almacena la información.
Ahora preguntémonos:
¿Cuánto tiempo pasaría para que la organización este nuevamente en operación?
Es necesario tener presente que el lugar donde se centraliza la información con
frecuencia el centro de cómputo puede ser el activo más valioso y al mismo tiempo el
más vulnerable.
156. Delitos accidentales e incidentales
Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y
variedad.
En la actualidad los delitos cometidos tienen la peculiaridad de ser descubiertos en un
95% de forma casual. Podemos citar a los principales delitos hechos por computadora
o por medio de computadoras estos son:
Fraudes.
Falsificación.
Venta de información.
Entre los hechos criminales más famosos en los E.E.U.U. están:
El caso del Banco Wells Fargo donde se evidencio que la protección de archivos era
inadecuada, cuyo error costo US 21.3 millones.
El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.
El caso de un muchacho de 15 años que entrando a la computadora de la Universidad
de Berkeley en California destruyo gran cantidad de archivos.
También se menciona el caso de un estudiante de una escuela que ingreso a una red
canadiense con un procedimiento de admirable sencillez, otorgándose una
identificación como un usuario de alta prioridad, y tomo el control de una
embotelladora de Canadá.
También el caso del empleado que vendió la lista de clientes de una compañía de
venta de libros, lo que causo una perdida de US 3 millones.
157. El activo más importante que se posee es la información, y por lo tanto deben existir
técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los
equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que
consiste en la aplicación de barreras y procedimientos que resguardan el acceso a
los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.
Los objetivos para conseguirlo son:
Restringir el acceso (de personas de la organización y de las que no lo son) a los
programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos con el
procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el destinatario
al cual se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión
entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas
y permisos bien establecidos, en todos y cada uno de los sistemas o softwares
empleados.
158. Es muy importante que se conozca los paradigmas que existen en las organizaciones
sobre la seguridad, para no encontrarse con un contrincante desconocido.
Generalmente se tiene la idea que los procedimientos de auditoría es responsabilidad
del personal del centro de computo, pero se debe cambiar este paradigma y conocer
que estas son responsabilidades del usuario y del departamento de auditoría interna.
También muchas compañías cuentan con dispositivos de seguridad física para los
computadores y se tiene la idea que los sistemas no pueden ser violados si no se
ingresa al centro de computo, ya que no se considera el uso de terminales ni
sistemas remotos.
Se piensa también que los casos de seguridad que tratan de seguridad de incendio o
robo que "eso no me puede suceder a mí" o "es poco probable que suceda".
También se cree que los computadores y los programas son tan complejos que nadie
fuera de su organización los va a entender y no les van a servir, ignorando
las personas que puedan captar y usarla para otros fines.
Paradigmas sobre la seguridad
159. Los sistemas de seguridad generalmente no consideran la posibilidad de fraude
interno que es cometido por el mismo personal en el desarrollo de sus funciones.
Generalmente se piensa que la seguridad por clave de acceso es inviolable pero no
se considera a los delincuentes sofisticados.
Se suele suponer que los defectos y errores son inevitables.
También se cree que se hallan fallas porque nada es perfecto.
Y la creencia que la seguridad se aumenta solo con la inspección.
160. Consideraciones inmediatas para la Seguridad de la Información
Uso de la Computadora
Se debe observar el uso adecuado de la computadora y su software que puede ser
susceptible a: tiempo de máquina para uso ajeno, copia de programas de la
organización para fines de comercialización (copia pirata), acceso directo o telefónico
a bases de datos con fines fraudulentos.
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los
accesos a las computadoras de acuerdo a: nivel de seguridad de acceso, empleo de
las claves de acceso, evaluar la seguridad contemplando la relación costo, ya que
a mayor tecnología de acceso mayor costo.
161. Cantidad y Tipo de Información
El tipo y la cantidad de información que se introduce en las computadoras debe
considerarse como un factor de alto riesgo ya que podrían producir que:
la información este en manos de algunas personas, la alta dependencia en caso de
perdida de datos.
Control de Programación
Se debe tener conocimiento que el delito más común está presente en el momento de
la programación, ya que puede ser cometido intencionalmente o no, para lo cual se
debe controlar que:
los programas no contengan bombas lógicas, los programas deben contar con
fuentes y sus ultimas actualizaciones, los programas deben contar con
documentación técnica, operativa y de emergencia.
162. Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de las personas
que están ligadas al sistema de información de forma directa y se deberá contemplar
principalmente:
la dependencia del sistema a nivel operativo y técnico, evaluación del grado de
capacitación operativa y técnica, contemplar la cantidad de personas con acceso
operativo y administrativo, conocer la capacitación del personal en situaciones de
emergencia.
Medios de Control
Se debe contemplar la existencia de medios de control para conocer cuando se
produce un cambio o un fraude en el sistema.
También se debe observar con detalle el sistema ya que podría generar indicadores
que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una
especificación del sistema.
163. TEMA: ANALISIS DE SEGURIDAD DE SISTEMAS DE INFORMACION
OBJETIVO DEL TRABAJO: Conocer de cerca y experimentar el análisis de Seguridad
en los Sistemas de Información de la empresa donde labora o la institución donde usted
desee evaluar.
ESQUEMA A SEGUIR:
Datos Generales de la Organización (Reseña histórica, misión, visión, valores, objetivos
Estratégicos, organigrama, Información del Personal, equipos de TI, Infraestructura,
entre otros).
Análisis de vulnerabilidades de la organización.
Conclusiones.
Recomendaciones.
FORMA DE PRESENTACION:
Trabajo impreso en word
Exposición en Power Point