El documento habla sobre la seguridad de la información y la seguridad en la web. Explica que la seguridad de la información implica proteger la información contra revelación, modificación o destrucción no autorizadas. También describe varias razones por las que la seguridad en la web requiere atención especial, como que Internet permite el acceso no autorizado y que los servidores web almacenan información financiera y confidencial. Finalmente, resume las estrategias clave de seguridad como identificar amenazas, establecer estrategias proactivas
Seguridad en Informática. Introducción. Auditoría de Sistemas. Firewalls. Password. Navegación segura. Aspectos Procedimentales y Administrativos de la Seguridad. Criptografía.
El documento presenta información sobre conceptos básicos de seguridad informática, incluyendo riesgos, modelos de ataques y formas de defenderse. Explica conceptos como autenticación, integridad, confidencialidad y disponibilidad. También describe amenazas como virus, uso inadecuado de contraseñas y ataques de denegación de servicio, y medidas para mitigar riesgos como políticas de seguridad, encriptación y firewalls.
El documento habla sobre conceptos generales de seguridad de la información. Define la seguridad de la información como el conjunto de medidas para asegurar la confidencialidad, integridad y disponibilidad de los sistemas de información de una organización. También explica que la seguridad de la información abarca aspectos técnicos, organizativos y legales, y debe gestionarse mediante un modelo PDCA de planificación, ejecución, verificación y acción.
Curso seguridad en sistemas de informacionnyzapersa
Este documento proporciona una introducción a la seguridad de la información. Define la seguridad de la información como la protección de la confidencialidad, integridad y disponibilidad de la información independientemente de su forma. Explica que la seguridad de la información involucra políticas, controles y tecnologías para proteger la información de amenazas internas y externas. También cubre conceptos clave como seguridad informática, seguridad TIC, teleinformática y los principios de confidencialidad, integridad y disponibilidad.
Este documento habla sobre la necesidad de implementar estándares de seguridad informática como el AS/NZS ISO/IEC 17799:2001. Explica los obstáculos para la seguridad informática, las 10 áreas que cubre el estándar como políticas de seguridad, seguridad organizacional, control de activos, y el ciclo de vida de la seguridad informática que incluye fases de evaluación, planificación, implementación y monitoreo.
El documento habla sobre la seguridad física y lógica de los sistemas informáticos. Explica que la seguridad depende de procesos como determinar quién necesita acceso a los datos, cuánta seguridad se necesita realmente y cómo reconocer a las personas autorizadas. También cubre los principios básicos de la seguridad como que el sistema más vulnerable será atacado primero, la necesidad de proteger los datos confidenciales solo mientras sean valiosos y que las medidas de seguridad deben ser efectivas, eficient
La seguridad informática se refiere a la protección de la infraestructura computacional y la información almacenada o que circula a través de ella. Esto incluye establecer normas, métodos y técnicas para asegurar un sistema de información seguro mediante el uso de estándares, protocolos, herramientas y leyes. La seguridad informática busca proteger activos como la información, la infraestructura y los usuarios de amenazas internas y externas que podrían comprometer la seguridad a través de métodos como virus, ph
Seguridad en Informática. Introducción. Auditoría de Sistemas. Firewalls. Password. Navegación segura. Aspectos Procedimentales y Administrativos de la Seguridad. Criptografía.
El documento presenta información sobre conceptos básicos de seguridad informática, incluyendo riesgos, modelos de ataques y formas de defenderse. Explica conceptos como autenticación, integridad, confidencialidad y disponibilidad. También describe amenazas como virus, uso inadecuado de contraseñas y ataques de denegación de servicio, y medidas para mitigar riesgos como políticas de seguridad, encriptación y firewalls.
El documento habla sobre conceptos generales de seguridad de la información. Define la seguridad de la información como el conjunto de medidas para asegurar la confidencialidad, integridad y disponibilidad de los sistemas de información de una organización. También explica que la seguridad de la información abarca aspectos técnicos, organizativos y legales, y debe gestionarse mediante un modelo PDCA de planificación, ejecución, verificación y acción.
Curso seguridad en sistemas de informacionnyzapersa
Este documento proporciona una introducción a la seguridad de la información. Define la seguridad de la información como la protección de la confidencialidad, integridad y disponibilidad de la información independientemente de su forma. Explica que la seguridad de la información involucra políticas, controles y tecnologías para proteger la información de amenazas internas y externas. También cubre conceptos clave como seguridad informática, seguridad TIC, teleinformática y los principios de confidencialidad, integridad y disponibilidad.
Este documento habla sobre la necesidad de implementar estándares de seguridad informática como el AS/NZS ISO/IEC 17799:2001. Explica los obstáculos para la seguridad informática, las 10 áreas que cubre el estándar como políticas de seguridad, seguridad organizacional, control de activos, y el ciclo de vida de la seguridad informática que incluye fases de evaluación, planificación, implementación y monitoreo.
El documento habla sobre la seguridad física y lógica de los sistemas informáticos. Explica que la seguridad depende de procesos como determinar quién necesita acceso a los datos, cuánta seguridad se necesita realmente y cómo reconocer a las personas autorizadas. También cubre los principios básicos de la seguridad como que el sistema más vulnerable será atacado primero, la necesidad de proteger los datos confidenciales solo mientras sean valiosos y que las medidas de seguridad deben ser efectivas, eficient
La seguridad informática se refiere a la protección de la infraestructura computacional y la información almacenada o que circula a través de ella. Esto incluye establecer normas, métodos y técnicas para asegurar un sistema de información seguro mediante el uso de estándares, protocolos, herramientas y leyes. La seguridad informática busca proteger activos como la información, la infraestructura y los usuarios de amenazas internas y externas que podrían comprometer la seguridad a través de métodos como virus, ph
Este documento describe los diferentes aspectos de la seguridad física y lógica en un centro de datos. Explica los mecanismos de seguridad básicos como sistemas biométricos, cámaras y sistemas de detección de incendios. También cubre temas como la importancia de la ubicación, los criterios de acceso al centro de datos, y los métodos para aumentar la confiabilidad combinando diferentes niveles de seguridad. Finalmente, analiza conceptos como la seguridad lógica, los controles de acceso
La seguridad lógica y confidencialidad implica proteger la información contra el robo, destrucción, copia o difusión no autorizados mediante criptografía, firma digital, administración de seguridad y limitación de accesos. Esto ayuda a prevenir pérdidas a través de robos, fraudes, sabotajes u otras consecuencias negativas al garantizar la integridad, confidencialidad y disponibilidad de la información. Una auditoría puede detectar violaciones a la seguridad como paquetes copiados, virus u otros incidentes
Este documento trata sobre tres tipos de seguridad informática: física, lógica y de la información. La seguridad física implica proteger los recursos a través de barreras y controles de acceso. La seguridad lógica se refiere a restringir el acceso a los datos y sistemas solo a usuarios autorizados. La seguridad de la información busca proteger la información contenida, la infraestructura y los usuarios.
Este documento resume los conceptos clave de la arquitectura de redes de seguridad. Explica que la información es un recurso valioso para las organizaciones que debe protegerse de amenazas. Identifica tres objetivos de seguridad de la información: confidencialidad, integridad y disponibilidad. También describe los 11 dominios de control de ISO 17799 que deben considerarse dentro de un plan de seguridad de la información.
Este documento presenta las políticas de seguridad informática propuestas por la Dirección de Telemática del CICESE. Estas políticas norman aspectos como la instalación, mantenimiento y actualización del equipo de cómputo, el control de accesos a áreas críticas, equipos y sistemas, así como el uso de la red y el software. El objetivo es proteger los recursos tecnológicos de la institución y garantizar la continuidad del servicio de manera segura.
Este documento describe la seguridad informática y los planes de contingencia. Explica que la seguridad informática se enfoca en proteger la infraestructura y la información de una organización de amenazas internas y externas mediante el uso de estándares, protocolos, métodos y herramientas. También describe los objetivos y tipos de amenazas, así como técnicas como la criptografía, copias de seguridad y cortafuegos. Finalmente, explica que un plan de contingencia incluye subplanes de respaldo, emergencia y recuperación para
La seguridad de la información implica medidas para proteger la confidencialidad, disponibilidad e integridad de la información. Incluye proteger los activos informáticos como la infraestructura, usuarios e información de amenazas internas y externas mediante técnicas como el cifrado, contraseñas seguras y planes de seguridad del sistema. La seguridad de la información es crucial para proteger la privacidad y los intereses de las organizaciones y personas.
El documento habla sobre la gestión de la seguridad de la información. Explica conceptos clave como riesgos, amenazas, vulnerabilidades y los pasos para realizar un análisis de riesgos. También describe normas y marcos comunes utilizados para la gestión de seguridad como ISO 27001, COBIT y BS 7799. Finalmente, menciona algunas tendencias futuras en tecnología y seguridad de la información.
Presentación sobre la Seguridad Informática en las organizaciones. Basado en los temarios estudiados y resumidos de la Academia Latinoamericana de Seguridad Informática.
Leny Andrea Ramírez Legarda es una ingeniera de sistemas e informática que trabaja como instructora en el SENA. Ofrece orientación y acompañamiento a los estudiantes en el programa de formación en seguridad informática del SENA. Disfruta pasar tiempo con familia y amigos, viajar, escuchar música y estar en contacto con la naturaleza.
Este documento trata sobre la gestión de vulnerabilidades en seguridad de la información. Explica que las vulnerabilidades son debilidades que permiten que individuos malintencionados violen sistemas. También describe los pasos clave en el proceso de gestión de vulnerabilidades, como identificar activos, detectar vulnerabilidades, clasificar riesgos, implementar correcciones y realizar monitoreo. El objetivo principal es identificar y corregir fallas de seguridad para proteger mejor los sistemas y cumplir con normativas.
Examen seguridad física de los sistemas informáticosJorge Røcha
La seguridad física de los sistemas informáticos engloba los mecanismos destinados a proteger físicamente cualquier recurso del sistema, desde teclados hasta cintas de backup. Estos mecanismos son generalmente de prevención y detección. La seguridad física no siempre se toma con la seriedad necesaria.
El documento describe los conceptos y principios fundamentales de la seguridad informática. Explica que la seguridad informática se ocupa de proveer condiciones seguras y confiables para el procesamiento de datos, fundamentándose en la confidencialidad, integridad y disponibilidad de la información. También identifica factores de riesgo como hackers, crackers y fallas humanas que amenazan la seguridad, y describe mecanismos como contraseñas y antivirus para prevenir, detectar y corregir estas amenazas.
La seguridad informática se enfoca en proteger la infraestructura y la información de un sistema mediante estándares, protocolos, métodos y leyes. Existen amenazas internas y externas como usuarios, programas maliciosos, errores o intrusos. Para asegurar un sistema se realizan técnicas como contraseñas seguras, vigilancia de red, copias de seguridad y cifrado de información.
The paths of youth lead through a maze of errors to the gate of hell. Those who have been left uncorrupted by their youth are not to be corrupted by anything else.
The human mind anxious to derive pleasure from the youthfulness of the body, falls into the cave of sensuality…It is very rare to have a happy youth filled with humility and spent in the company of respectable men. Such youth is distinguished by feelings of sympathy and is joined with good qualities and virtues.
All these observations of Rama are true in our present time. As childhood is the foundation of youth, similarly youth is the foundation of manhood. This is the most critical period of our life.
Unfortunately we are led into manhood and play the game of life blindly without knowing the Law that governs it. Ignorance of God’s Law is the cause of our bondage life after life and those who seek company of the realized and act accordingly advance up on the ladder of life towards their liberation.
Tips on Setting Up Excel Spreadsheets - Nancy BudererNancy Buderer
The document provides tips for setting up an Excel spreadsheet for research projects in order to facilitate exporting the data into statistical analysis software like SAS or SPSS. Some key tips include: having one row per subject, one column per variable, using a unique subject ID as the first column, using standard variable naming conventions, formatting columns by data type (e.g. numeric, date), entering data as numbers rather than text where possible, always including a code sheet to document meaning of codes, and carefully handling missing data. The document recommends consulting with a statistician before finalizing the spreadsheet design.
La ley establece principios para las contrataciones del Estado en Perú, incluyendo la libertad de concurrencia, igualdad de trato, transparencia, publicidad, competencia, eficacia y eficiencia, vigencia tecnológica, sostenibilidad ambiental y social, y equidad. El objetivo es maximizar los recursos públicos e implementar una gestión basada en resultados para proveer bienes, servicios y obras de manera oportuna, bajo las mejores condiciones de precio y calidad.
El tráfico aéreo está regulado por organismos internacionales como la IATA y la OACI, que establecen normas y sistemas para facilitar los vuelos en todo el mundo. La IATA se fundó en 1919 y la OACI en 1944 para regular la aviación civil internacional. La IATA divide el mundo en tres áreas y subáreas para asignar códigos a aeropuertos y facilitar las operaciones aéreas.
1) O documento discute os padrões de informação ao paciente, direitos do paciente à informação, e os tipos de padrões de informação (padrão da prática profissional, pessoa razoável e orientado ao paciente).
2) É analisado um caso clínico sobre um médico que informa a família do paciente sem o consentimento do paciente.
3) São discutidos os princípios do prontuário médico e um caso sobre um hospital que se nega a fornecer os dados médicos de um paciente.
Este documento presenta un resumen de los principales modelos teóricos de liderazgo. Define el liderazgo, describe diferentes estilos como el autocrático, administrativo y democrático. Explica modelos como el transformacional, de rasgos, situacional y de liderazgo primario. Finalmente, detalla el marco metodológico de una investigación sobre modelos de liderazgo en empresas guatemaltecas.
Este documento describe los diferentes aspectos de la seguridad física y lógica en un centro de datos. Explica los mecanismos de seguridad básicos como sistemas biométricos, cámaras y sistemas de detección de incendios. También cubre temas como la importancia de la ubicación, los criterios de acceso al centro de datos, y los métodos para aumentar la confiabilidad combinando diferentes niveles de seguridad. Finalmente, analiza conceptos como la seguridad lógica, los controles de acceso
La seguridad lógica y confidencialidad implica proteger la información contra el robo, destrucción, copia o difusión no autorizados mediante criptografía, firma digital, administración de seguridad y limitación de accesos. Esto ayuda a prevenir pérdidas a través de robos, fraudes, sabotajes u otras consecuencias negativas al garantizar la integridad, confidencialidad y disponibilidad de la información. Una auditoría puede detectar violaciones a la seguridad como paquetes copiados, virus u otros incidentes
Este documento trata sobre tres tipos de seguridad informática: física, lógica y de la información. La seguridad física implica proteger los recursos a través de barreras y controles de acceso. La seguridad lógica se refiere a restringir el acceso a los datos y sistemas solo a usuarios autorizados. La seguridad de la información busca proteger la información contenida, la infraestructura y los usuarios.
Este documento resume los conceptos clave de la arquitectura de redes de seguridad. Explica que la información es un recurso valioso para las organizaciones que debe protegerse de amenazas. Identifica tres objetivos de seguridad de la información: confidencialidad, integridad y disponibilidad. También describe los 11 dominios de control de ISO 17799 que deben considerarse dentro de un plan de seguridad de la información.
Este documento presenta las políticas de seguridad informática propuestas por la Dirección de Telemática del CICESE. Estas políticas norman aspectos como la instalación, mantenimiento y actualización del equipo de cómputo, el control de accesos a áreas críticas, equipos y sistemas, así como el uso de la red y el software. El objetivo es proteger los recursos tecnológicos de la institución y garantizar la continuidad del servicio de manera segura.
Este documento describe la seguridad informática y los planes de contingencia. Explica que la seguridad informática se enfoca en proteger la infraestructura y la información de una organización de amenazas internas y externas mediante el uso de estándares, protocolos, métodos y herramientas. También describe los objetivos y tipos de amenazas, así como técnicas como la criptografía, copias de seguridad y cortafuegos. Finalmente, explica que un plan de contingencia incluye subplanes de respaldo, emergencia y recuperación para
La seguridad de la información implica medidas para proteger la confidencialidad, disponibilidad e integridad de la información. Incluye proteger los activos informáticos como la infraestructura, usuarios e información de amenazas internas y externas mediante técnicas como el cifrado, contraseñas seguras y planes de seguridad del sistema. La seguridad de la información es crucial para proteger la privacidad y los intereses de las organizaciones y personas.
El documento habla sobre la gestión de la seguridad de la información. Explica conceptos clave como riesgos, amenazas, vulnerabilidades y los pasos para realizar un análisis de riesgos. También describe normas y marcos comunes utilizados para la gestión de seguridad como ISO 27001, COBIT y BS 7799. Finalmente, menciona algunas tendencias futuras en tecnología y seguridad de la información.
Presentación sobre la Seguridad Informática en las organizaciones. Basado en los temarios estudiados y resumidos de la Academia Latinoamericana de Seguridad Informática.
Leny Andrea Ramírez Legarda es una ingeniera de sistemas e informática que trabaja como instructora en el SENA. Ofrece orientación y acompañamiento a los estudiantes en el programa de formación en seguridad informática del SENA. Disfruta pasar tiempo con familia y amigos, viajar, escuchar música y estar en contacto con la naturaleza.
Este documento trata sobre la gestión de vulnerabilidades en seguridad de la información. Explica que las vulnerabilidades son debilidades que permiten que individuos malintencionados violen sistemas. También describe los pasos clave en el proceso de gestión de vulnerabilidades, como identificar activos, detectar vulnerabilidades, clasificar riesgos, implementar correcciones y realizar monitoreo. El objetivo principal es identificar y corregir fallas de seguridad para proteger mejor los sistemas y cumplir con normativas.
Examen seguridad física de los sistemas informáticosJorge Røcha
La seguridad física de los sistemas informáticos engloba los mecanismos destinados a proteger físicamente cualquier recurso del sistema, desde teclados hasta cintas de backup. Estos mecanismos son generalmente de prevención y detección. La seguridad física no siempre se toma con la seriedad necesaria.
El documento describe los conceptos y principios fundamentales de la seguridad informática. Explica que la seguridad informática se ocupa de proveer condiciones seguras y confiables para el procesamiento de datos, fundamentándose en la confidencialidad, integridad y disponibilidad de la información. También identifica factores de riesgo como hackers, crackers y fallas humanas que amenazan la seguridad, y describe mecanismos como contraseñas y antivirus para prevenir, detectar y corregir estas amenazas.
La seguridad informática se enfoca en proteger la infraestructura y la información de un sistema mediante estándares, protocolos, métodos y leyes. Existen amenazas internas y externas como usuarios, programas maliciosos, errores o intrusos. Para asegurar un sistema se realizan técnicas como contraseñas seguras, vigilancia de red, copias de seguridad y cifrado de información.
The paths of youth lead through a maze of errors to the gate of hell. Those who have been left uncorrupted by their youth are not to be corrupted by anything else.
The human mind anxious to derive pleasure from the youthfulness of the body, falls into the cave of sensuality…It is very rare to have a happy youth filled with humility and spent in the company of respectable men. Such youth is distinguished by feelings of sympathy and is joined with good qualities and virtues.
All these observations of Rama are true in our present time. As childhood is the foundation of youth, similarly youth is the foundation of manhood. This is the most critical period of our life.
Unfortunately we are led into manhood and play the game of life blindly without knowing the Law that governs it. Ignorance of God’s Law is the cause of our bondage life after life and those who seek company of the realized and act accordingly advance up on the ladder of life towards their liberation.
Tips on Setting Up Excel Spreadsheets - Nancy BudererNancy Buderer
The document provides tips for setting up an Excel spreadsheet for research projects in order to facilitate exporting the data into statistical analysis software like SAS or SPSS. Some key tips include: having one row per subject, one column per variable, using a unique subject ID as the first column, using standard variable naming conventions, formatting columns by data type (e.g. numeric, date), entering data as numbers rather than text where possible, always including a code sheet to document meaning of codes, and carefully handling missing data. The document recommends consulting with a statistician before finalizing the spreadsheet design.
La ley establece principios para las contrataciones del Estado en Perú, incluyendo la libertad de concurrencia, igualdad de trato, transparencia, publicidad, competencia, eficacia y eficiencia, vigencia tecnológica, sostenibilidad ambiental y social, y equidad. El objetivo es maximizar los recursos públicos e implementar una gestión basada en resultados para proveer bienes, servicios y obras de manera oportuna, bajo las mejores condiciones de precio y calidad.
El tráfico aéreo está regulado por organismos internacionales como la IATA y la OACI, que establecen normas y sistemas para facilitar los vuelos en todo el mundo. La IATA se fundó en 1919 y la OACI en 1944 para regular la aviación civil internacional. La IATA divide el mundo en tres áreas y subáreas para asignar códigos a aeropuertos y facilitar las operaciones aéreas.
1) O documento discute os padrões de informação ao paciente, direitos do paciente à informação, e os tipos de padrões de informação (padrão da prática profissional, pessoa razoável e orientado ao paciente).
2) É analisado um caso clínico sobre um médico que informa a família do paciente sem o consentimento do paciente.
3) São discutidos os princípios do prontuário médico e um caso sobre um hospital que se nega a fornecer os dados médicos de um paciente.
Este documento presenta un resumen de los principales modelos teóricos de liderazgo. Define el liderazgo, describe diferentes estilos como el autocrático, administrativo y democrático. Explica modelos como el transformacional, de rasgos, situacional y de liderazgo primario. Finalmente, detalla el marco metodológico de una investigación sobre modelos de liderazgo en empresas guatemaltecas.
Branded content: o que é? Como fazer? Para que serve?Soraia Lima
O documento discute o conceito de branded content, como ele é usado para estabelecer um diálogo com novas audiências através de múltiplas mídias e como ele pode ser usado por marcas para melhorar seu posicionamento, reputação e imagem corporativa.
El liderazgo es esencial. La capacidad de liderazgo es el tope que determina el nivel de eficacia de una persona. Cuanto menor es la capacidad de dirigir de un individuo, tanto más bajo está el tope de su potencial. Cuanto más alto está su nivel de liderazgo, tanto mayor es su eficacia.
Además, La influencia es la capacidad de provocar que otro te siga, esto puede suceder intuitivamente o a proposito.
La mejor influencia en la historia de la humanidad, una vez tras otra, ha sido la que a agregado valor a las personas, en donde los seguidores han sido beneficiados, en resúmen estamos hablando del servicio a las necesidades de otro, estoy hablando de la necesidad de otros, no de las necesidades que yo creo que tienen, sino de las reales que derrepente ni aiquiera ellos sabes que tienen.
La influencia se mantiene y perdura en el tiempo y crece cuando es planificada intencionalmente.
Trenger vi en norsk nettverksoperatør gruppe nix 2016-02-04Hans Petter Holen
The document provides information about applying for open positions at ICANN. It states that applications should be submitted through an online application form by March 20, 2016 to be fully considered. Selections will be announced in August or September 2016, with successful candidates beginning their positions after ICANN's annual meeting in October 2016.
El documento habla sobre la seguridad informática. Explica que la seguridad informática busca proteger la información de una organización de amenazas externas e internas a través de medidas técnicas y de políticas de seguridad. También describe los objetivos principales de la seguridad informática como la integridad, confidencialidad, disponibilidad, no repudio y autenticación de la información. Finalmente, enfatiza la necesidad de un enfoque global de seguridad que incluya la seguridad lógica, de telecomunicaciones y fís
El documento habla sobre la seguridad informática. Explica que la seguridad informática busca proteger la información de una organización de amenazas externas e internas a través de medidas técnicas y de políticas de seguridad. También describe los objetivos principales de la seguridad informática como la integridad, confidencialidad, disponibilidad, no repudio y autenticación de la información. Finalmente, enfatiza la necesidad de un enfoque global de seguridad que incluya la seguridad lógica, de telecomunicaciones y fís
Este documento trata sobre la seguridad en la World Wide Web. Explica que tanto los clientes web como los servidores requieren protección contra ataques cibernéticos. Para proteger a los clientes, se deben seguir una serie de pasos como mantener software actualizado y usar contraseñas seguras. Para proteger los servidores, es importante implementar medidas como cortafuegos, detección de intrusos y copias de seguridad. La seguridad web requiere proteger tanto a usuarios como servidores mediante diferentes técnicas.
El documento describe la importancia de la seguridad informática debido a las numerosas amenazas que existen como hackers, virus y otros ataques cibernéticos. Explica que la mayoría de las empresas carecen de esquemas de seguridad efectivos y que es necesario establecer políticas de seguridad como identificar la información crítica, amenazas y vulnerabilidades para proteger adecuadamente los sistemas y datos.
El documento habla sobre la seguridad informática. Explica que la seguridad informática implica proteger la información de una organización de amenazas internas y externas a través de políticas, procedimientos y tecnologías. También discute los objetivos clave de la seguridad informática como la integridad, confidencialidad y disponibilidad de los datos. Finalmente, enfatiza la necesidad de un enfoque global de seguridad que incluya seguridad lógica, de telecomunicaciones y física.
El documento habla sobre la seguridad informática. Explica que la seguridad informática implica proteger la información de una organización de amenazas internas y externas a través de políticas, procedimientos y tecnologías. También describe los objetivos clave de la seguridad informática como la integridad, confidencialidad, disponibilidad, no repudio y autenticación de la información. Finalmente, enfatiza la necesidad de un enfoque global de seguridad que incluya la concienciación de los usuarios, seguridad lógica, de
La seguridad informática se enfoca en proteger la infraestructura computacional, la información y los activos de una organización. Existen amenazas como usuarios malintencionados, programas maliciosos y fallas en la infraestructura que ponen en riesgo estos activos. La seguridad informática implementa controles como cifrado, autenticación y monitoreo para minimizar estos riesgos y asegurar la confidencialidad, integridad y disponibilidad de la información.
La seguridad informática busca proteger los activos informáticos de una empresa, incluyendo la información, infraestructura y usuarios. Cubre aspectos como la confidencialidad, integridad y disponibilidad de la información a través de medidas lógicas y físicas. Sin embargo, la seguridad informática no es del todo segura debido a amenazas internas y esquemas ineficientes de seguridad en muchas empresas.
La seguridad informática busca proteger los activos informáticos de una empresa, incluyendo la información, infraestructura y usuarios. Cubre aspectos como la confidencialidad, integridad y disponibilidad de la información a través de medidas lógicas y físicas. Sin embargo, existen amenazas como piratas informáticos o empleados malintencionados que buscan acceder a la información sin autorización.
En el siguiente pawerpoint hablare sobre La seguridad informática consiste en aquellas prácticas que se llevan adelante respecto de un determinado sistema de computación a fin de proteger y resguardar su funcionamiento y la información en él contenida.
Se le dice seguridad informática tanto a la investigación como a la ejecución de políticas de protección de datos en ordenadores por parte de un individuo o equipo de expertos en computación.
La seguridad informática busca proteger los activos informáticos de una empresa, incluyendo la información, infraestructura y usuarios. Cubre aspectos como la confidencialidad, integridad y disponibilidad de la información a través de medidas lógicas y físicas. Sin embargo, existen amenazas como piratas informáticos o empleados malintencionados que buscan acceder a la información sin autorización.
Herramientas de la administración de la seguridadMBouvier2
El documento habla sobre la administración de la seguridad de la tecnología de la información. Explica algunas herramientas y métodos clave para la seguridad como firewalls, encriptación, defensas contra virus y DDOS, y monitoreo del correo electrónico. También discute controles de seguridad adicionales como códigos de acceso, archivos de respaldo, y planes de recuperación ante desastres.
La seguridad informática busca proteger los activos informáticos de una empresa, incluyendo la información y la infraestructura computacional, mediante estándares, protocolos y leyes. La seguridad de la información se enfoca en proteger específicamente la información confidencial de una organización. Ambas áreas utilizan controles para garantizar la confidencialidad, integridad y disponibilidad de los datos. Sin embargo, la seguridad informática no es infalible y la mayoría de las violaciones son cometidas por personal interno.
Este documento trata sobre la gestión de seguridad en redes. Explica la importancia de implementar controles de red y sistemas de gestión de seguridad para proteger la información y los activos de una organización. También recomienda el uso de herramientas como firewalls, antivirus, sistemas anti-spam e IDS para fortalecer la seguridad de la red.
La seguridad informática busca establecer normas para proteger los activos informáticos como la infraestructura, los usuarios y la información de riesgos. Debe protegerse la infraestructura de fallas, robos u otros factores, asegurar que los usuarios usen el sistema de forma segura y que la información almacenada no sea vulnerable. También es importante considerar amenazas no informáticas e implementar medidas de redundancia y descentralización.
Este documento describe los principales aspectos de la seguridad informática. La seguridad informática busca proteger los activos informáticos como la infraestructura, los usuarios y la información. Debe establecer normas para minimizar riesgos y anticiparse a fallas, robos u otros factores que amenacen los sistemas. Las amenazas pueden provenir de usuarios, virus, errores de programación, intrusos y desastres. Se enumeran medidas básicas como el uso de software seguro, medidas físicas, contraseñas seguras, vigil
Herramientas de la administración de la seguridadMBouvier2
El documento habla sobre la importancia de la administración de la seguridad de la tecnología de la información para las empresas. Explica que la información es un recurso vital para las organizaciones y que existen muchas amenazas a la seguridad de los sistemas. Describe varias herramientas y métodos que las empresas pueden usar para controlar la seguridad, como firewalls, encriptación, software antivirus, respaldos de datos, controles de acceso y auditorías de sistemas.
Este documento describe los conceptos clave de la seguridad informática, incluyendo sus objetivos de proteger la infraestructura computacional y la información, así como a los usuarios. También describe las amenazas como virus, intrusos, desastres y personal interno, y tipos de amenazas como internas y externas. Además, analiza técnicas para asegurar sistemas e información, como análisis de riesgos e impacto al negocio.
La seguridad informática se enfoca en proteger la infraestructura y la información de una organización mediante estándares, protocolos, métodos, herramientas y leyes. Incluye proteger software, hardware y cualquier activo valioso de una organización. La seguridad informática busca establecer normas para minimizar riesgos a la información y la infraestructura a través de controles de acceso, planes de emergencia y otras medidas.
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
La seguridad informática se enfoca en proteger la infraestructura computacional y la información de una organización mediante estándares, protocolos y leyes. Incluye la seguridad de la información, que protege software, bases de datos y archivos confidenciales. Sus objetivos son proteger la información, infraestructura y usuarios, asegurando la confiabilidad, integridad y disponibilidad de los datos.
Este documento presenta las 11 etapas de una auditoría de sistemas de hardware y software en estaciones de trabajo de una empresa. La auditoría evaluará los sistemas informáticos en computadoras personales conectadas a la red interna con el objetivo de tener un panorama actualizado de la seguridad, políticas de uso y transferencia de datos. El proceso incluye la recopilación de información, identificación de riesgos, objetivos de control, pruebas, obtención de resultados, conclusiones y presentación de informes a los responsables de sistemas e infor
Este documento contiene una carpeta empresarial con la hoja de presentación de la empresa, que incluye documentos legales como el logo, misión, visión y valores corporativos, así como el RUT y certificado de existencia. También incluye documentos contables como un comprobante de contabilidad y sus soportes, y talleres de clase sobre balance personal, ingresos y gastos, clasificación de cuentas, factura de venta y 5 ventas con su contabilización.
Ejemplo informe de entendimiento de la entidadRocio Saenz
The document summarizes the key elements of an auditor's documentation. It outlines the documentation requirements, including discussing internal control procedures, obtaining evidence to support the understanding of the entity and its environment, and identifying and evaluating significant risks. The documentation is important for obtaining management acceptance of the audit findings and providing a record of the procedures performed.
El documento proporciona instrucciones para aplicar el sistema de control interno en 5 pasos: 1) detectar los riesgos de las funciones laborales, 2) determinar los posibles controles para mitigar el riesgo, 3) determinar un indicador para cada riesgo, 4) dibujar el mapa de uno de los procesos de las funciones laborales, y 5) explicar cómo se aplican los 5 componentes de control interno en estos pasos.
Esta norma internacional establece los principios y procedimientos para los contratos de aseguramiento que tienen la intención de proporcionar un alto o moderado nivel de seguridad. Proporciona un marco conceptual para los contratos de aseguramiento y establece los requisitos para los contratos que buscan proporcionar un alto nivel de seguridad. Además, describe los objetivos y elementos de los contratos de aseguramiento.
Este documento discute la evolución de la auditoría desde una perspectiva epistemológica. Explica que existe una tensión entre el control (lo general) y la auditoría (lo concreto), y que la auditoría es un método para acercar una materia sujeta a un criterio con el objetivo de lograr el control. También describe cómo la auditoría ha evolucionado históricamente debido a los cambios en los objetivos de control, criterios y metodologías. Finalmente, analiza las diferencias entre revisiones, atestaciones y aseguramientos como metod
Explicacion procedimiento de compras usando sistema de inventario permanenteRocio Saenz
El documento explica el procedimiento para registrar una compra usando un sistema de inventario permanente. Se debe analizar el documento soporte para seleccionar las cuentas correctas y asegurarse de cumplir con los principios de contabilidad. Como ejemplo, se muestra el registro contable de una compra de 10 cajas de almibar por un valor total de $7.875.000, con IVA del 16% e impuesto de retención en la fuente del 3.5%.
Explicacion procedimiento de ventas usando sistema de inventario permanenteRocio Saenz
El documento explica el procedimiento contable para registrar una venta usando el sistema de inventario permanente. Primero, se reconoce la mercancía retirada del inventario como un costo de venta. Segundo, se registra la factura de venta y los impuestos asociados. Tercero, se registra el pago recibido por la venta.
El ciclo de registros contables semana 2Rocio Saenz
Este documento explica el proceso de constitución de una empresa, incluyendo la definición y contabilización del capital autorizado, suscrito y pagado. También incluye un ejemplo numérico y el balance inicial de la empresa luego de su constitución, el cual presenta los activos, pasivos y patrimonio con los que inicia operaciones la empresa. Finalmente, resume brevemente los registros contables y estados financieros necesarios para llevar la contabilidad de la empresa.
Marco juridico contable resumen semana 1Rocio Saenz
Este documento presenta tres temas principales sobre contabilidad financiera: 1) Los principios de contabilidad generalmente aceptados, 2) La definición de un comerciante y las actividades mercantiles reconocidas por la ley, y 3) Los pasos básicos para crear una empresa en Colombia. Explica los catorce principios de contabilidad y las obligaciones legales de los comerciantes. Además, resume el marco jurídico que rige la contabilidad en Colombia.
El documento proporciona saldos de cuentas para configurar el balance general y estado de resultados de la compañía ScaniaLtda al 31 de diciembre de 2002. Se solicita calcular diferentes cuentas del balance y estado de resultados, como el activo corriente, pasivo corriente, gastos operacionales, utilidad operacional y utilidad antes de impuestos, para responder preguntas sobre la situación financiera de la compañía.
El documento proporciona los saldos de varias cuentas de la compañía Los Pinos Ltda. al 31 de septiembre de 2011. Solicita configurar el balance general y estado de resultados y responder preguntas sobre los totales de activos corrientes, propiedad planta y equipo, pasivos corrientes, pasivos a largo plazo, capital y patrimonio.
METODOS DE VALUACIÓN DE INVENTARIOS.pptxBrendaRub1
Los metodos de valuación de inentarios permiten gestionar y evaluar de una manera más eficiente los inventarios a nivel económico, este documento contiene los mas usados y la importancia de conocerlos para poder aplicarlos de la manera mas conveniente en la empresa
Bienvenido al mundo real de la teoría organizacional. La suerte cambiante de Xerox
muestra la teoría organizacional en acción. Los directivos de Xerox estaban muy involucrados en la teoría organizacional cada día de su vida laboral; pero muchos nunca se
dieron cuenta de ello. Los gerentes de la empresa no entendían muy bien la manera en que
la organización se relacionaba con el entorno o cómo debía funcionar internamente. Los
conceptos de la teoría organizacional han ayudado a que Anne Mulcahy y Úrsula analicen
y diagnostiquen lo que sucede, así como los cambios necesarios para que la empresa siga
siendo competitiva. La teoría organizacional proporciona las herramientas para explicar
el declive de Xerox, entender la transformación realizada por Mulcahy y reconocer algunos pasos que Burns pudo tomar para mantener a Xerox competitiva.
Numerosas organizaciones han enfrentado problemas similares. Los directivos de
American Airlines, por ejemplo, que una vez fue la aerolínea más grande de Estados
Unidos, han estado luchando durante los últimos diez años para encontrar la fórmula
adecuada para mantener a la empresa una vez más orgullosa y competitiva. La compañía
matriz de American, AMR Corporation, acumuló $11.6 mil millones en pérdidas de 2001
a 2011 y no ha tenido un año rentable desde 2007.2
O considere los errores organizacionales dramáticos ilustrados por la crisis de 2008 en el sector de la industria hipotecaria
y de las finanzas en los Estados Unidos. Bear Stearns desapareció y Lehman Brothers se
declaró en quiebra. American International Group (AIG) buscó un rescate del gobierno
estadounidense. Otro icono, Merrill Lynch, fue salvado por formar parte de Bank of
America, que ya le había arrebatado al prestamista hipotecario Countrywide Financial
Corporation.3
La crisis de 2008 en el sector financiero de Estados Unidos representó un
cambio y una incertidumbre en una escala sin precedentes, y hasta cierto grado, afectó a
los gerentes en todo tipo de organizaciones e industrias del mundo en los años venideros.
El-Codigo-De-La-Abundancia para todos.pdfAshliMack
Si quieres alcanzar tus sueños y tener el estilo de vida que deseas, es primordial que te comprometas contigo mismo y realices todos los ejercicios que te propongo para recibieron lo que mereces, incluso algunos milagros que no tenías en mente
Mario Mendoza Marichal — Un Líder con Maestría en Políticas Públicas por ...Mario Mendoza Marichal
Mario Mendoza Marichal: Un Líder con Maestría en Políticas Públicas por la Universidad de Chicago
Mario Mendoza Marichal es un profesional destacado en el ámbito de las políticas públicas, con una sólida formación académica y una amplia trayectoria en los sectores público y privado.
1. Capítulo 1.
Seguridad Informática: Conceptos básicos.
1.1. ¿Qué es “network security” o la seguridad en la red (servicios digitales en
Internet)?
Definimos la seguridad de información como la protección de ventajas de
información de la revelación no autorizada, de la modificación, o de la destrucción, o
accidental o intencional, o la incapacidad para procesar esa información. La seguridad de
la red, se compone de esas medidas tomadas para proteger una red del acceso no
autorizado, interferencia accidental o intencionada con operaciones normales, o con la
destrucción, inclusive la protección de facilidades físicas, del software, y de la seguridad
del personal.
La seguridad en el Web es un conjunto de procedimientos, prácticas y tecnologías
para proteger a los servidores y usuarios del Web y las organizaciones que los rodean. La
Seguridad es una protección contra el comportamiento inesperado [Garfinkel, 1999].
1.1.1. ¿Por qué requiere atención especial la seguridad en el Web?
• Internet es una red de dos sentidos. Así como hace posible que los servidores
Web divulguen información a millones de usuarios, permite a los hackers,
crackers, criminales y otros “chicos malos” irrumpir en las mismas computadoras
donde se ejecutan los servidores Web.
• Las empresas, instituciones y los gobiernos utilizan cada vez más el Word Wide
Web para distribuir información importante y realizar transacciones comerciales.
Al violar servidores Web se pueden dañar reputaciones y perder dinero.
• Aunque el Web es fácil de utilizar, los servidores son piezas de software
extremadamente complicadas y tienen diversas fallas de seguridad potenciales.
• Es mucho más onerosa y tardada la recuperación de un incidente de seguridad que
implementar medidas preventivas.
2. 1.1.2. ¿Por qué preocuparse sobre la seguridad en el Web?
Los servidores son un blanco atractivo para los trangesores por varias razones
[Garfinkel, 1999]:
Publicidad. Los servidores web son la cara que las organizaciones presentan al
público y al mundo electrónico. Un ataque exitoso a alguno de ellos es acto
público que puede ser visto en unas horas por cientos de miles de personas. Los
ataques pueden lanzarse por razones ideológicas o financieras, o ser simples actos
vandálicos cometidos al azar.
Comercio. Muchos servidores web estan ralacionados con el comercio y el
dinero. De hecho los protocolos criptográficos integrados a Navigator de
Netscape y otros navegadores fueron originalmete incluidos para permitir a los
usuarios enviar números de tarjetas de crédito por Internet sin preocuparse de que
fueran interceptados. De esta forma, los servidores web se han convertido en
repositorios de información financiera confidencial, lo cual los convierte en un
blanco atractivo para los atacantes.
Información confidencial. Para las organizaciones, la tecnología del Web se ha
convertido en una forma de distribuir información con gran sencillez, tanto
internamente, a sus propios miembros, como de manera externa, a sus socios en
todo el mundo. Esta información confidencial es un blanco atractivo para sus
competidores y enemigos.
Acceso a las redes. Al ser utilizados por personas tanto dentro como fuera de las
organizaciones, los servidores web sirven efectivamente como puente entre la red
interna de la organización y las redes externas. Su posición privilegiada en cuanto
a las conexiones de red los convierte en un blanco ideal para ser atacados, ya que
un servidor web violado puede emplearse como base para atacar desde ahí a las
computadoras de una organización.
3. Extensibilidad de los servidores. Debido a su naturaleza, los servidores estan
diseñados para ser extensibles, lo cual hace posible conectarlos con bases de
datos, sistemas heredados y otros programas que se ejecutan en la red de una
organización. Si no se implementan de modo adecuado, los módulos que se
agregan a un servidor pueden comprometer la seguridad de todo el sistema.
Interrupción del servicio. Como la tecnología del Web se basa en la familia de
protocolos TCP/IP, está sujeta a interrupciones del servicio: ya sea accidental o
intencionamente por medio de ataques de negación del servicio. Las personas que
utilizan dicha tecnologías den estar enteradas de sus fallas y prepararse para
interrupciones importantes del servicio.
Soporte complicado. Los navegadores necesitan servicios internos, como DNS
(Servicio de nombres de Dominio, Domain Name Service) y el enrutamiento del
protocolo IP (Protocolo Interne, Internet Protocol) para funcionar bien. La
robustez y confiabilidad de tales servicios pueden ser desconocidas y vulnerables
a errores de programación, accidentes y subversión, la subversión de un servicio
de mas bajo nivel puede causar problemas también a los navegadores.
1.2. Objetivos de la Seguridad.
Seguridad informática es el conjunto de procedimientos, estrategias y
herramientas que permitan garantizar la integridad, la disponibilidad y la
confidencialidad de la información de una entidad.
Integridad. Es necesario asegurar que los datos no sufran cambios no autorizados,
la pérdidad de integridad puede acabar en fraudes, decisiones erróneas o como paso
a otros ataques. El sistema contiene información que debe se protegida de
modificaciones imprevistas, no autorizas o accidentales, como información de censo
o sistemas de transacciones financieras.
4. Disponibilidad. Se refiere a la continuidad operativa de la entidad, la pérdidad de
disponibilidad puede implicar, la pérdida de productividad o de cridibilidad de la
entidad. El sistema contiene información o proporciona servicios que deben estar
disponibles a tiempo para satisfacer requisitos o evitar pérdidas importantes, como
sistemas esenciales de seguridad y protección de la vida.
Confidencialidad. Se refiere a la protección de datos frente a la difusión no
autorizada, la pérdida de confidencialidad puede rsultar en problemas legales,
pérdida del negocio o de credibilidad. El sistema contiene información que necesita
protección contra la divulgación no autorizada, como información parcial de
informes, información personal o información comercial patentada
Estos aspectos además de lidiar con el riesgo que representan los atacantes
remotos, se ven amenazados también por los riesgos por desastres naturales, empleados
desleales, virus y sabotaje, entre otros.
1.3. Estrategias de Seguridad.
La metodología de seguridad está diseñada para ayudar a los profesionales de la
seguridad a desarrollar una estrategia para proteger la disponibilidad, integridad y
confidencialidad de los datos de los sistemas informáticos (IT) de las organizaciones. Es
de interés para los administradores de recursos de información, los directores de
seguridad informática y los administradores, y tiene un valor especial para todos aquellos
que intentan establecer directivas de seguridad.
La metodología ofrece un acercamiento sistemático a esta importante tarea y,
como precaución final, también implica el establecimiento de planes de contingencia en
caso de desastre.
Los administradores de seguridad tienen que decidir el tiempo, dinero y esfuerzo
que hay que invertir para desarrollar las directivas y controles de seguridad apropiados.
5. Cada organización debe analizar sus necesidades específicas y determinar sus
requisitos y limitaciones en cuanto a recursos y programación. Cada sistema informático,
entorno y directiva organizativa es distinta, lo que hace que cada servicio y cada
estrategia de seguridad sean únicos. Sin embargo, los fundamentos de una buena
seguridad siguen siendo los mismos y este proyecto se centra en dichos principios
[Benson, 2001].
a) Identificar métodos, herramientas y técnicas de ataques probables.
Las listas de amenazas, de las que disponen la mayor de las organizaciones,
ayudan a los administradores de seguridad a identificar los distintos métodos,
herramientas y técnicas de ataque que se pueden utilizar en los ataques. Los métodos
pueden abarcar desde virus y gusanos a la adivinación de contraseñas y la interceptación
del correo electrónico. Es importante que los administradores actualicen constantemente
sus conocimientos en esta área, ya que los nuevos métodos, herramientas y técnicas para
sortear las medidas de seguridad evolucionan de forma continua.
b) Establecer estrategias proactivas y reactivas.
En cada método, el plan de seguridad debe incluir una estrategia proactiva y otra
reactiva. La estrategia proactiva o de previsión de ataques es un conjunto de pasos que
ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas
de seguridad y a desarrollar planes de contingencia. La determinación del daño que un
ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados
durante este ataque ayudará a desarrollar la estrategia proactiva.
La estrategia reactiva o estrategia posterior al ataque ayuda al personal de
seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan
de contingencia desarrollado en la estrategia proactiva, a documentar y aprender de la
experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.
6. c) Pruebas.
El último elemento de las estrategias de seguridad, las pruebas y el estudio de sus
resultados, se lleva a cabo después de que se han puesto en marcha las estrategias reactiva
y proactiva. La realización de ataques simulados en sistemas de pruebas o en laboratorios
permite evaluar los lugares en los que hay puntos vulnerables y ajustar las directivas y los
controles de seguridad en consecuencia. Estas pruebas no se deben llevar a cabo en los
sistemas de producción real, ya que el resultado puede ser desastroso. La carencia de
laboratorios y equipos de pruebas a causa de restricciones presupuestarias puede
imposibilitar la realización de ataques simulados. Para asegurar los fondos necesarios
para las pruebas, es importante que los directivos sean conscientes de los riesgos y
consecuencias de los ataques, así como de las medidas de seguridad que se pueden
adoptar para proteger al sistema, incluidos los procedimientos de las pruebas. Si es
posible, se deben probar físicamente y documentar todos los casos de ataque para
determinar las mejores directivas y controles de seguridad posibles que se van a
implementar.
d) Equipos de respuestas a incidentes.
Es aconsejable formar un equipo de respuesta a incidentes. Este equipo debe estar
implicado en los trabajos proactivos del profesional de la seguridad. Entre éstos se
incluyen:
• El desarrollo de instrucciones para controlar incidentes.
• La identificación de las herramientas de software para responder a incidentes y
eventos.
• La investigación y desarrollo de otras herramientas de seguridad informática.
• La realización de actividades formativas y de motivación.
• La realización de investigaciones acerca de virus.
• La ejecución de estudios relativos a ataques al sistema.
7. Estos trabajos proporcionarán los conocimientos que la organización puede
utilizar y la información que hay que distribuir antes y durante los incidentes. Una vez
que el administrador de seguridad y el equipo de respuesta a incidentes han realizado
estas funciones proactivas, el administrador debe delegar la responsabilidad del control
de incidentes al equipo de respuesta a incidentes.
Esto no significa que el administrador no deba seguir implicado o formar parte del
equipo, sino que no tenga que estar siempre disponible, necesariamente, y que el equipo
debe ser capaz de controlar los incidentes por sí mismo. El equipo será el responsable de
responder a incidentes como virus, gusanos o cualquier otro código dañino, invasión,
engaños, desastres naturales y ataques del personal interno. El equipo también debe
participar en el análisis de cualquier evento inusual que pueda estar implicado en la
seguridad de los equipos o de la red.
1.3.1. Metodología para la definición de una estrategia de seguridad [Benson,
2001].
La figura 1.1 explica una metodología para definir una estrategia de seguridad
informática que se puede utilizar para implementar directivas y controles de seguridad
con el objeto de aminorar los posibles ataques y amenazas. Los métodos se pueden
utilizar en todos los tipos de ataques a sistemas, independientemente de que sean
intencionados, no intencionados o desastres naturales, y, por consiguiente, se puedan
volver a utilizar en distintos casos de ataque.
8. Figura 1.1 Metodología de estrategias de seguridad [Miguel, 1998].
a) Predecir posibles ataques y analizar riesgos.
La primera fase de la metodología esquematizada en la figura 1.1, es determinar
los ataques que se pueden esperar y las formas de defenderse contra ellos. Es imposible
estar preparado contra todos los ataques; por lo tanto, hay que prepararse para los que
tiene más probabilidad de sufrir la organización. Siempre es mejor prevenir o aminorar
los ataques que reparar el daño que han causado.
Para mitigar los ataques es necesario conocer las distintas amenazas que ponen en
peligro los sistemas, las técnicas correspondientes que se pueden utilizar para
comprometer los controles de seguridad y los puntos vulnerables que existen en las
9. directivas de seguridad. El conocimiento de estos tres elementos de los ataques ayuda a
predecir su aparición e, incluso, su duración o ubicación. La predicción de los ataques
trata de pronosticar su probabilidad, lo que depende del conocimiento de sus distintos
aspectos. Los diferentes aspectos de un ataque se pueden mostrar en la siguiente
ecuación:
Amenazas + Motivos + Herramientas y técnicas + Puntos vulnerables = Ataque
b) Para cada tipo de amenaza,
Considere todas las amenazas posibles que causan ataques en los sistemas. Entre
éstas se incluyen los agresores malintencionados, las amenazas no intencionadas y los
desastres naturales. La siguiente figura clasifica las distintas amenazas a los sistemas:
Figura 1.2. Amenazas para la Seguridad [Martín, 2004].
Amenazas como empleados ignorantes o descuidados, y los desastres naturales no
implican motivos u objetivos; por lo tanto, no se utilizan métodos, herramientas o
técnicas predeterminadas para iniciar los ataques. Casi todos estos ataques o infiltraciones
en la seguridad se generan internamente; raras veces los va a iniciar alguien ajeno a la
organización.
Para estos tipos de amenazas, el personal de seguridad necesita implementar
estrategias proactivas o reactivas siguiendo las instrucciones de la figura 1.1.
10. c) Para cada tipo de método de ataque.
Para iniciar un ataque, se necesita un método, una herramienta o una técnica para
explotar los distintos puntos vulnerables de los sistemas, de las directivas de seguridad y
de los controles. Los agresores pueden utilizar varios métodos para iniciar el mismo
ataque. Por lo tanto, la estrategia defensiva debe personalizarse para cada tipo de método
utilizado en cada tipo de amenaza.
De nuevo, es importante que los profesionales de la seguridad estén al día en los
diferentes métodos, herramientas y técnicas que utilizan los agresores. La siguiente es
una lista breve de esta técnica:
• Ataques de denegación de servicio.
• Ataques de invasión.
• Ingeniería social.
• Virus.
• Gusanos.
• Caballos de Troya.
• Modificación de paquetes.
• Adivinación de contraseñas.
• Interceptación de correo electrónico.
d) Estrategia proactiva.
La estrategia proactiva es un conjunto de pasos predefinidos que deben seguirse
para evitar ataques antes de que ocurran. Entre estos pasos se incluye observar cómo
podría afectar o dañar el sistema, y los puntos vulnerables. Los conocimientos adquiridos
en estas evaluaciones pueden ayudar a implementar las directivas de seguridad que
controlarán o aminorarán los ataques.
11. Éstos son los tres pasos de la estrategia proactiva:
• Determinar el daño que causará el ataque.
• Establecer los puntos vulnerables y las debilidades que explotará el ataque.
• Reducir los puntos vulnerables y las debilidades que se ha determinado en el
sistema para ese tipo de ataque específico.
El seguimiento de estos pasos para analizar los distintos tipos de ataques tiene una
ventaja adicional: comenzará a emerger un modelo, ya que en los diferentes factores se
superponen para diferentes ataques. Este modelo puede ser útil al determinar las áreas de
vulnerabilidad que plantean el mayor riesgo para la empresa. También es necesario tomar
nota del costo que supone la pérdida de los datos frente al de la implementación de
controles de seguridad. La ponderación de los riesgos y los costos forma parte de un
análisis de riesgos del sistema que se explica en el documento técnico acerca del diseño
de la seguridad.
Las directivas y controles de seguridad no serán, en ningún caso, totalmente
eficaces al eliminar los ataques. Éste es el motivo por el que es necesario desarrollar
planes de recuperación y de contingencia en caso de que se quebranten los controles de
seguridad.
e) Determinar el daño posible que puede causar un ataque.
Los daños posibles pueden oscilar entre pequeños fallos del equipo y la pérdida,
catastrófica, de los datos. El daño causado al sistema dependerá del tipo de ataque. Si es
posible, utilice un entorno de prueba o de laboratorio para clarificar los daños que
provocan los diferentes tipos de ataques. Ello permitirá al personal de seguridad ver el
daño físico que causan los ataques experimentales. No todos los ataques causan el mismo
daño.
12. f) Determinar los puntos vulnerables o las debilidades que pueden explotar los
ataques
Si se pueden descubrir los puntos vulnerables que explota un ataque específico, se
pueden modificar las directivas y los controles de seguridad actuales o implementar otras
nuevas para reducir estos puntos vulnerables. La determinación del tipo de ataque,
amenaza y método facilita el descubrimiento de los puntos vulnerables existentes. Esto se
puede reconocer por medio de una prueba real. Se deben determinar los puntos
vulnerables o debilidades en las áreas de seguridad física, de datos y de red.
g) Reducir los puntos vulnerables y debilidades que puede explotar un posible
ataque.
La reducción de los puntos vulnerables y las debilidades del sistema de seguridad
que se determinaron en la evaluación anterior es el primer paso para desarrollar directivas
y controles de seguridad eficaces. Ésta es la compensación de la estrategia proactiva.
Mediante la reducción de los puntos vulnerables, el personal de seguridad puede hacer
disminuir tanto la probabilidad de un ataque como su eficacia, si se produce alguno.
Tenga cuidado de no implementar controles demasiado estrictos, ya que la disponibilidad
de la información se convertiría en un problema. Debe haber un cuidado equilibrio entre
los controles de seguridad y el acceso a la información. Los usuarios deben tener la
mayor libertad posible para tener acceso a la información.
h) Elaborar planes de contingencia.
Un plan de contingencia es un plan alternativo que debe desarrollarse en caso de
que algún ataque penetre en el sistema y dañe los datos o cualquier otro activo, detenga
las operaciones comerciales habituales y reste productividad. El plan se sigue si el
sistema no se puede restaurar a tiempo. Su objetivo final es mantener la disponibilidad,
integridad y confidencialidad de los datos (es el proverbial "Plan B").
Debe haber un plan para cada tipo de ataque y tipo de amenaza. Cada plan consta
de un conjunto de pasos que se han de emprender en el caso de que un ataque logre pasar
las directivas de seguridad.
13. i) Estrategia reactiva.
La estrategia reactiva se implementa cuando ha fallado la estrategia proactiva y
define los pasos que deben adoptarse después o durante un ataque. Ayuda a identificar el
daño causado y los puntos vulnerables que se explotaron en el ataque, a determinar por
qué tuvo lugar, a reparar el daño que causó y a implementar un plan de contingencia, si
existe. Tanto la estrategia reactiva como la proactiva funcionan conjuntamente para
desarrollar directivas y controles de seguridad con el fin de reducir los ataques y el daño
que causan. El equipo de respuesta a incidentes debe incluirse en los pasos adoptados
durante o después del ataque para ayudar a evaluarlo, a documentar el evento y a
aprender de él.
j) Evaluar el daño.
Determine el daño causado durante el ataque. Esto debe hacerse lo antes posible
para que puedan comenzar las operaciones de restauración. Si no se puede evaluar el
daño a tiempo, debe implementarse un plan de contingencia para que puedan proseguir
las operaciones comerciales y la productividad normales.
k) Determinar la causa del daño.
Para determinar la causa del daño, es necesario saber a qué recursos iba dirigido
el ataque y qué puntos vulnerables se explotaron para obtener acceso o perturbar los
servicios. Revise los registros del sistema, los registros de auditoría y las pistas de
auditoría. Estas revisiones suelen ayudar a descubrir el lugar del sistema en el que se
originó el ataque y qué otros recursos resultaron afectados.
m) Reparar el daño.
Es muy importante que el daño se repare lo antes posible para restaurar las
operaciones comerciales normales y todos los datos perdidos durante el ataque. Los
planes y procedimientos para la recuperación de desastres de la organización (que se
tratan en el documento acerca del diseño de la seguridad) deben cubrir la estrategia de
14. restauración. El equipo de respuesta a incidentes también debe poder controlar el proceso
de restauración y recuperación, y ayudar en este último.
n) Documentar y aprender.
Es importante documentar el ataque una vez que se ha producido. La
documentación debe abarcar todos los aspectos que se conozcan del mismo, entre los que
se incluyen el daño que ha causado (en hardware y software, pérdida de datos o pérdida
de productividad), los puntos vulnerables y las debilidades que se explotaron durante el
ataque, la cantidad de tiempo de producción perdido y los procedimientos tomados para
reparar el daño. La documentación ayudará a modificar las estrategias proactivas para
evitar ataques futuros o mermar los daños.
ñ) Implementar un plan de contingencia.
Si ya existe algún plan de contingencia, se puede implementar para ahorrar
tiempo y mantener el buen funcionamiento de las operaciones comerciales. Si no hay
ningún plan de contingencia, desarrolle un plan apropiado basado de la documentación
del paso anterior.
l) Revisar el resultado y hacer simulaciones.
Tras el ataque o tras defenderse de él, revise su resultado con respecto al sistema.
La revisión debe incluir la pérdida de productividad, la pérdida de datos o de hardware, y
el tiempo que se tarda en recuperarlos.
Documente también el ataque y, si es posible, haga un seguimiento del lugar en
el que se originó, qué métodos se utilizaron para iniciarlo y qué puntos vulnerables se
explotaron. Para obtener los mejores resultados posibles, realice simulaciones en un
entorno de prueba.
15. o) Revisar la eficacia de las directivas.
Si hay directivas para defenderse de un ataque que se ha producido, hay que
revisar y comprobar su eficacia. Si no hay directivas, se deben redactar para aminorar o
impedir ataques futuros.
p) Adjustar las directivas en consecuencia.
Si la eficacia de la directiva no llega al estándar, hay que ajustarla en
consecuencia. Las actualizaciones de las directivas debe realizarlas el personal directivo
relevante, los responsables de seguridad, los administradores y el equipo de respuesta a
incidentes. Todas las directivas deben seguir las reglas e instrucciones generales de la
organización.
1.4. Amenazas a la seguridad de la información.
Los tres elementos principales a proteger en cualquier sistema informático son el
software, el hardware y los datos. Contra cualquiera de los tres elementos dichos
anteriormente (pero principalmente sobre los datos) se pueden realizar multitud de
ataques o, dicho de otra forma, están expuestos a diferentes amenazas. Generalmente, la
taxonomía más elemental de estas amenazas las divide en cuatro grandes grupos:
interrupción, interceptación, modificación y fabricación. Un ataque se clasifica como
interrupción si hace que un objeto del sistema se pierda, quede inutilizable o no
disponible. Se tratará de una interceptación si un elemento no autorizado consigue un
acceso a un determinado objeto del sistema, y de una modificación si además de
conseguir el acceso consigue modificar el objeto; algunos autores [Olovsson, 1992]
consideran un caso especial de la modificación: la destrucción, entendiéndola como una
modificación que inutiliza al objeto afectado. Por último, se dice que un ataque es una
fabricación si se trata de una modificación destinada a conseguir un objeto similar al
atacado de forma que sea difícil distinguir entre el objeto original y el “fabricado”. En la
figura 1.3 se muestran estos tipos de ataque de una forma gráfica.
16. Figura 1.3: Flujo normal de información entre emisor y receptor y posibles amenazas:
(a) interrupción, (b) interceptación, (c) modificación y (d) fabricación [Gallo, 2001].
En la gran mayoría de publicaciones relativas a la seguridad informática en
general, tarde o temprano se intenta clasificar en grupos a los posibles elementos que
pueden atacar nuestro sistema. Con frecuencia, especialmente en las obras menos
técnicas y más orientadas a otros aspectos de la seguridad [Icove, 1995] [Meyer, 1989],
se suele identificar a los atacantes únicamente como personas; esto tiene sentido si
hablamos por ejemplo de responsabilidades por un delito informático. Pero en este
trabajo es preferible hablar de “elementos” y no de personas: aunque a veces lo
olvidemos, nuestro sistema puede verse perjudicado por múltiples entidades aparte de
humanos. A continuación se presenta una relación de los elementos que potencialmente
pueden amenazar a nuestro sistema. No pretende ser exhaustiva, ni por supuesto una
taxonomía formal (para este tipo de estudios, se recomienda consultar [Landwher,
1994][Aslam, 1996]); simplemente trata de proporcionar una idea acerca de qué o quién
amenaza un sistema.
a) Personas.
No podernos engañarnos, la mayoría de ataques a nuestro sistema van a provenir
en última instancia de personas que, intencionada o inintencionadamente, pueden
causarnos enormes pérdidas.
17. Aquí se listan los diferentes tipos de personas que de una u otra forma pueden
constituir un riesgo para nuestros sistemas; generalmente se dividen en dos grandes
grupos: los atacantes pasivos, aquellos que fisgonean por el sistema pero no lo modifican
o destruyen, y los activos, aquellos que dañan el objetivo atacado, o lo modifican en su
favor. Generalmente los curiosos y los crackers realizan ataques pasivos (que se pueden
convertir en activos), mientras que los terroristas y ex-empleados realizan ataques activos
puros; los intrusos remunerados suelen ser atacantes pasivos si nuestra red o equipo no es
su objetivo, y activos en caso contrario, y el personal realiza ambos tipos indistintamente,
dependiendo de la situación concreta.
• Personal.
• Ex-empleados.
• Curiosos.
• Crackers.
• Terroristas.
• Intrusos (remunerados).
b) Amenazas lógicas.
Bajo la etiqueta de “amenazas lógicas” encontramos todo tipo de programas que
de una forma u otra pueden dañar a nuestro sistema, creados de forma intencionada para
ello (software malicioso, también conocido como malware) o simplemente por error
(bugs o agujeros). Una excelente lectura que estudia las definiciones de algunas de estas
amenazas y su implicación se presenta en [Garfinkel, 1996]; otra buena descripción,
pero a un nivel más general, se puede encontrar en [Parker, 1981].
• Software incorrecto. Las amenazas más habituales a un sistema provienen de
errores cometidos de forma involuntaria por los programadores de sistemas o de
aplicaciones.
• Herramientas de Seguridad. Cualquier herramienta de seguridad representa un
arma de doble filo: de la misma forma que un administrador las utiliza para
18. detectar y solucionar fallos en sus sistemas o en la subred completa, un potencial
intruso las puede utilizar para detectar esos mismos fallos y aprovecharlos para
atacar los equipos.
• Puertas traseras. Durante el desarrollo de aplicaciones grandes o de sistemas
operativos es habitual entre los programadores insertar “atajos”. A estos atajos se
les denomina puertas traseras. Algunos programadores pueden dejar estos atajos
en las versiones definitivas de su software; la cuestión es que si un atacante
descubre una de estas puertas traseras (no nos importa el método que utilice para
hacerlo) va a tener un acceso global a datos que no debería poder leer.
• Bombas lógicas. Las bombas lógicas son partes de código de ciertos programas
que permanecen sin realizar ninguna función hasta que son activadas. Los
activadores más comunes de estas bombas lógicas pueden ser la ausencia o
presencia de ciertos ficheros, la llegada de una fecha concreta; cuando la bomba
se activa va a poder realizar cualquier tarea que pueda realizar la persona, los
efectos pueden ser fatales.
• Virus. Un virus es una secuencia de código que se inserta en un fichero
ejecutable (denominado huésped), de forma que cuando el archivo se ejecuta, el
virus también lo hace, insertándose a sí mismo en otros programas.
• Gusanos. Un gusano es un programa capaz de ejecutarse y propagarse por sí
mismo a través de redes, en ocasiones portando virus o aprovechando bugs de los
sistemas a los que conecta para dañarlos.
• Caballos de Troya. Los troyanos o caballos de Troya son instrucciones
escondidas en un programa de forma que éste parezca realizar las tareas que un
usuario espera de él, pero que realmente ejecute funciones ocultas sin el
conocimiento del usuario.
19. c) Catástrofes.
Las catástrofes (naturales o artificiales) son la amenaza menos probable contra los
entornos habituales: simplemente por su ubicación geográfica, a nadie se le escapa que la
probabilidad de sufrir un terremoto o una inundación que afecte a los sistemas
informáticos en una gran ciudad, es relativamente baja, al menos en comparación con el
riesgo de sufrir un intento de acceso por parte de un pirata o una infección por virus. Sin
embargo, el hecho de que las catástrofes sean amenazas poco probables no implica que
contra ellas no se tomen unas medidas básicas, ya que sí se produjeran generarían los
mayores daños.
En este capítulo he tocado a profundidad los temas más importantes de acuerdo a
la seguridad informática. Desde los conceptos más básicos hasta las estrategias y métodos
que se deben seguir para hacer que un sistema o una aplicación sean seguros, confiables y
ofrezca calidad.