1. Republica Bolivariana De Venezuela
Ministerio Del Poder Popular Para La Educación Superior
I.U.T “Antonio José De Sucre”
Barquisimeto – Edo. Lara
IiAlumna:
Catari Wilmery C.I:22.266.492
2. UNIDAD I
Vulnerabilidad: Es definida como
un fallo en el proyecto,
implementación o configuración
de un software o sistema
operativo que, cuando es
descubierta por un atacante,
resulta en la violación de la
seguridad de un computador o un
sistema computacional.
En Seguridad Informática, la
palabra vulnerabilidad hace
referencia a una debilidad en un
sistema permitiendo a un atacante
violar la confidencialidad,
integridad, disponibilidad, control
de acceso y consistencia del
sistema o de sus datos y
aplicaciones.
Las vulnerabilidades en las
aplicaciones suelen corregirse
con parches, hotfixs o con
cambios de versión. En tanto
algunas otras requieren un
cambio físico en un sistema
informático.
3. Virus residentes: La característica principal de estos virus es que se ocultan en la memoria RAM de
forma permanente o residente.
Virus de acción directa: Al contrario que los residentes, estos virus no permanecen en
memoria su objetivo prioritario es reproducirse y actuar en el mismo momento de ser
ejecutados.
Virus de sobreescritura: Estos virus se caracterizan por destruir la información contenida
en los ficheros que infectan escriben dentro de su contenido, haciendo que queden total o
parcialmente inservibles.
Virus cifrados: Estos virus se cifran a sí mismos para no ser detectados por los programas
antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y, cuando ha
finalizado, se vuelve a cifrar.
Virus polimórfico: Son virus que en cada infección que realizan se cifran de una forma
distinta. De esta forma, generan una elevada cantidad de copias de sí mismos e impiden
que los antivirus los localicen.
Virus-Análisis de Riesgos-Análisis de Impacto-Políticas de Seguridad
4. El activo más importante que
se posee es la información y,
por lo tanto, deben existir
técnicas que la aseguren.
Estas técnicas las brinda la
seguridad lógica que consiste
en la aplicación de barreras y
procedimientos que resguardan
el acceso a los datos y sólo
permiten acceder a ellos a las
personas autorizadas para
hacerlo.
Los medios para conseguirlo
son: -Restringir el acceso a los
programas y archivos, Asegurar
que los operadores puedan
trabajar pero que no puedan
modificar los programas ni los
archivos que no correspondan.
Asegurar que se utilicen los
datos, archivos y programas
correctos en el procedimiento
elegido. Asegurar que la
información transmitida sea la
misma que reciba el destinatario
al cual se ha enviado y que no le
llegue a otro.
Asegurar que existan sistemas y
pasos de emergencia alternativos
de transmisión entre diferentes
puntos. Organizar a cada uno de
los empleados por jerarquía
informática, con claves distintas.
Actualizar constantemente las
contraseñas de accesos a los
sistemas de cómputo.
Análisis de Riesgos Informáticos :
5. Técnicas para asegurar el sistema
Codificar la información:
Criptología, Criptografía
y Criptociencia,
contraseñas difíciles de
averiguar a partir de
datos personales del
individuo.
Respaldo de Información:
La medida más eficiente
para la protección de los
datos es determinar una
buena política de copias
de seguridad o backups:
Este debe incluir copias
de seguridad completa y
copias de seguridad
incrementales.
Mantención de
versiones anteriores
de los datos: Se debe
contar con un sistema
que permita la
recuperación de
versiones diarias,
semanales y
mensuales de los
datos.
6. La Seguridad Informática es el área de
la informática que se enfoca en la
protección de la infraestructura
computacional y todo lo relacionado
con esta (incluyendo la información
contenida).
Objetivos de la Seguridad
Informática: La información
contenida; La seguridad informática
debe ser administrada según los
criterios establecidos por los
administradores y supervisores,
evitando que usuarios externos y no
autorizados puedan acceder a ella
sin autorización.
La infraestructura computacional : La
seguridad informática en esta área
debe velar que los equipos funcionen
adecuadamente y prever en caso de
falla planes de robos, fallas en el
suministro eléctrico y cualquier otro
factor que atente contra la
infraestructura informática.
Los usuarios: Son las personas que
utilizan la estructura tecnológica, zona
de comunicaciones y que gestionan la
información. La seguridad informática
debe establecer normas que minimicen
los riesgos a la información o
infraestructura informática.
SEGURIDAD INFORMATICA
7. La información es poder y a la
información se le conoce como:
Critica: Es indispensable para la
operación de la empresa.
Valiosa: Es un activo de la empresa y
muy valioso.
Sensitiva: Debe de ser conocida por
las personas autorizadas
La seguridad de la información se
refiere a la Confidencialidad,
Integridad y Disponibilidad de la
información y datos,
independientemente de la forma los
datos pueden tener: electrónicos,
impresos, audio u otras formas.
Confidencialidad: La confidencialidad es la
propiedad de prevenir la divulgación de información
a personas o sistemas no autorizados.
Integridad: La integridad es la propiedad que busca
mantener los datos libres de modificaciones no
autorizadas.
Disponibilidad: Es la característica de la
información de encontrarse a disposición de
quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones.
Servicios de Seguridad: El objetivo de un servicio
de seguridad es mejorar la seguridad de los
sistemas de procesamiento de datos y la
transferencia de información en las
organizaciones.
SEGURIDAD DE LA INFORMACION
8. UNIDAD II
VULNERABILIDADES
Son errores que permiten
realizar desde afuera actos
sin permiso del
administrador del equipo,
incluso se puede suplantar
al usuario
Es imposible evitar las
vulnerabilidades al 100%
incluso cuando tenemos
operando en nuestro
sistema cortafuegos,
antispam, antivirus, y
detectores de código
maligno.
Las Vulnerabilidades en las
aplicaciones suelen
corregirse con parches,
hotfixs o con cambios de
versión. En tanto algunas
otras requieren un cambio
físico en un sistema
informático.
Las Vulnerabilidades se
descubren muy seguidas en
grandes sistemas, y el hecho
de que se publiquen
rápidamente por todo internet
(mucho antes de que exista
una solución al problema), es
motivo de debate.
La palabra VULNERABILIDAD
hace referencia a una
debilidad en un sistema
permitiendo a un atacante
violar la confidencialidad,
integridad, disponibilidad,
control de acceso y
consistencia del sistema o de
sus datos y aplicaciones.
9. ISO/IEC 27001 SEGURIDAD DE LA INFORMACIÓN
ISO/IEC 27001 es la única norma
internacional auditable que define
los requisitos para un sistema de
gestión de la seguridad de la
información (SGSI). La norma se ha
concebido para garantizar la
selección de controles de seguridad
adecuados y proporcionales.
ISO/IEC 27001 es una norma
adecuada para cualquier
organización, grande o pequeña, de
cualquier sector o parte del mundo,
es muy eficaz para organizaciones
que gestionan la información por
encargo de otros, por ejemplo,
empresas de subcontratación de TI.
VENTAJAS:
- Demuestra independientemente
que se respetan las leyes y
normativas que sean de aplicación.
- El proceso de evaluaciones
periódicas ayudan a supervisar
continuamente el rendimiento y la
mejora.
ISO/IEC 17799:27002 proporciona
recomendaciones de las mejores
prácticas en la gestión de la
seguridad de la información a todos
los interesados y responsables en
iniciar, implantar o mantener
sistemas de gestión de la seguridad
de la información.
Certificación: La norma ISO/IEC
17799 es una guía de buenas
prácticas y no especifica los
requisitos necesarios que puedan
permitir el establecimiento de un
sistema de certificación adecuado
para este documento.
10. UNIDAD III
Información sobre Medidas de Protección
Criptología: Es el estudio de los criptosistemas: sistemas que ofrecen medios seguros
de comunicación en los que el emisor oculta o cifra el mensaje antes de transmitirlo
para que sólo un receptor autorizado (o nadie) pueda descifrarlo.
Criptografía: Es la ciencia que consiste en transformar un mensaje inteligible en otro
que no lo es (mediante claves que sólo el emisor y el destinatario conocen), para
después devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea
capaz de entenderlo.
Criptoanálisis: Es el arte de estudiar los mensajes ilegibles, encriptados, para
transformarlos en legibles sin conocer la clave, aunque el método de cifrado empleado
siempre es conocido.
11. Algoritmos Simétricos Modernos (Llave Privada): Estos métodos consisten en ocultar
la relación entre el texto plano, el texto cifrado y la clave (Confusión); y repartir la
influencia de cada bit del mensaje original lo más posible entre el mensaje cifrado
(Difusión).
Algoritmos Asimétricos (Llave Privada-Pública): Su principal característica es que no
se basa en una única clave sino en un par de ellas: una conocida (Pública) y otra
Privada.
Actualmente existen muchos algoritmos de este tipo pero han demostrado ser
poco utilizables en la práctica ya sea por la longitud de las clave, la longitud
del texto encriptado generado o su velocidad de cifrado extremadamente
largos.
12. Firma Digital y BIometría
FIRMA DIGITAL: Se dice firma
digital a un esquema matemático
que sirve para demostrar la
autenticidad de un mensaje digital
o de un documento electrónico.
Una firma digital da al destinatario
seguridad en que el mensaje fue
creado por el remitente, y que no
fue alterado durante la
transmisión.
BIOMETRÍA: Es el estudio de métodos
automáticos para el reconocimiento
único de humanos basados en uno o más
rasgos conductuales o físicos
intrínsecos. En las tecnologías de la
información (TI), la autentificación
biométrica se refiere a las tecnologías
para medir y analizar las características
físicas y del comportamiento humanas
con propósito de autentificación.
13. REGLAS PARA USAR EL CORREO ELECTRÓNICO CORRECTAMENTE
Netiquette (una contracción de las palabras "Net" y "etiquette") se refiere al conjunto de reglas
que rigen el comportamiento correcto en Internet con el fin de respetar a los demás y ser
respetados.
Cuando se escribe y envía un mensaje: Indique el asunto del mensaje con claridad en el campo
"Asunto". Esto es particularmente importante para el destinatario del mensaje.
Envíe correos electrónicos a las personas que estén involucradas únicamente No es aconsejable
(y es molesto para los destinatarios) enviar correos electrónicos a todos sus contactos.
Sea breve y dé un amplio contexto al mensaje. Para que se lea y se entienda, es preferible usar
oraciones cortas y precisas. Si el mensaje es largo, divídalo en muchos párrafos para que sea
más fácil de leer.
Si se deben adjuntar documentos al mensaje, tenga en cuenta los destinatarios. Es posible que
el destinatario de un archivo adjunto no tenga el software para leerlo.
14. Cuando se recibe un mensaje: Cuando haya leído un mensaje, decida inmediatamente dónde
guardarlo. Los correos electrónicos se pueden administrar de la misma manera que el correo
tradicional.
Excepto que sea necesario, no imprima los correos electrónicos. Cuando el correo
electrónico está guardado correctamente, se podrá encontrar fácilmente si se lo
necesita.
Respete la privacidad de los mensajes que recibe. Nunca envíe o copie a otros un
correo electrónico que fue enviado a usted sin el consentimiento del remitente
original.
15. Es un factor importante a tener en
cuenta en el uso de las tecnologías
de la información y comunicación en
un negocio/empresa/organización.
La seguridad en la red garantiza que
los recursos informáticos de la
empresa estén disponibles para
cumplir sus propósitos.
La seguridad en la red se define como
el resguardo apropiado los
componentes que están asociados a
la misma, se aseguran los datos, los
medios, la infraestructura y las
telecomunicaciones entre otros.
Garantizar la seguridad en la red es una
tarea que implica de un trabajo
interdisciplinario para resguardar
adecuadamente la información, y de
esta manera ofrecer de manera precisa
y oportuna la información que se
requiera.El hecho de tomar las medidas
adecuadas para evitar los riesgos
existentes en la red permitirá
disfrutar de esta y todos los servicios
que ofrece con garantías.
UNIDAD IV
La Seguridad en la RED
16. Conceptos sobre
PROTOCOLOS De Seguridad
S.S.L: Es un sistema que permite que la información viaje encriptada evitándose que pueda ser leída
por sniffers u otros recursos, cosa que es bastante temida a la hora de realizar transferencias por
internet.
SET: Es un protocolo estándar para proporcionar seguridad a una transacción con tarjeta de
crédito en redes de computadoras inseguras, en especial Internet.
SHTTP: es el protocolo usado para transacciones seguras en la Web (WWW).
S/MIME: Es un estándar para criptografía de clave pública y firmado de correo electrónico
encapsulado en MIME.
17. V.P.N: Red de comunicaciones de área ancha provista por una portadora común que suministra
aquello que asemeja líneas dedicadas cuando se utilizan, pero las troncales de base se comparten
entre todos los clientes como en una red pública.
VPN de acceso remoto: Es quizás el modelo más usado actualmente, y consiste en usuarios o
proveedores que se conectan con la empresa desde sitios remotos utilizando Internet como vínculo
de acceso.
VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sede central de
la organización.
VPN over LAN: Este esquema es el menos difundido pero uno de los más poderosos para utilizar
dentro de la empresa.
18. Es un método de cálculo diseñado para ayudar
a los usuarios y a los gestores empresariales a
determinar los costes directos e indirectos, así
como los beneficios, relacionados con la
compra de equipos o programas informáticos.
El CTP ofrece un resumen final que
refleja no sólo el coste de la
compra sino aspectos del uso y
mantenimiento. Esto incluye
formación para el personal de
soporte y para usuarios, el coste de
operación etc.
El ROI es un valor que mide el
rendimiento de una inversión, para
evaluar qué tan eficiente es el
gasto que estamos haciendo o que
planeamos realizar.
El ROI es un parámetro muy simple
de calcular para saber lo positiva
que sea una inversión. Los valores
de ROI cuanto más altos mejor. Si
tenemos un ROI negativo es que
estamos perdiendo dinero y si
tenemos un ROI muy cercano a
cero, también podemos pensar que
la inversión no es muy atractiva.
CTP/ROI