El documento aborda la seguridad y continuidad de servicios, describiendo diferentes tipos de ataques, amenazas y vulnerabilidades en ciberseguridad. Destaca la importancia de realizar análisis de vulnerabilidades para prevenir ciberataques y cumplir regulaciones, así como el uso de pruebas de penetración para evaluar la gravedad de fallas en sistemas. También se presentan ejemplos de aplicaciones web y su estructura fundamental.

1. CURSO: Seguridad y
Continuidad de Servicios
Docente: Prof. Carlos Pacheco
Sedano
INTEGRANTES:
Cahuana Huamani, Lucero Matsue
Soto Torres, Marco
Ramos Casavilca, Jhoverson
Zanabria Mallqui, Karla Xiomara
HVCA-PERÚ
2024

2. www.reallygreatsite.com

3. ATAQUE

4. TIPOS DE ATAQUES
Reconocimiento

5. Acceso
TIPOS DE ATAQUES

6. TIPOS DE ATAQUES
Denegación de Servicio

7. TIPOS DE ATAQUES
Gusanos, virus, caballos de Troya

8. AMENAZA

9. CLASES DE AMENAZAS
Amenazas no estructuradas

10. CLASES DE AMENAZAS
Amenazas estructuradas

11. CLASES DE AMENAZAS
Amenazas externas Amenazas internas

12. Diferencias entre ataque y amenaza

13. VULNERABILIDAD

14. DEBILIDADES DE CONFIGURACIÓN

15. DEBILIDADES DE LA POLÍTICA DE SEGURIDAD

18. EJEMPLOS DE UN EVENTO DE
CIBERSEGURIDAD
¿Que es un incidente?
EJEMPLOS DE UN INCIDENTES DE
CIBERSEGURIDAD

19. EVENTO E INCIDENTES
Un evento de ciberseguridad puede incluir una amplia gama de factores que
afectan a una organizacion .
1.
los eventos de seguridad ocurren todo el tiempo, con cientos, miles e inclusos
millones que ocurren cada dia.
2.
PLAN DE RESPUESTA ANTE
INCIDENTES

21. Consiste en definir claramente los sistemas, redes,
aplicaciones o infraestructuras que serán evaluados.
Implica obtener toda la información necesaria sobre los
sistemas que serán evaluados. Esto incluye detalles
técnicos, como configuraciones de software y hardware,
direcciones IP, puertos abiertos, y cualquier información
relevante
Escaneo de la red
El puerto 443 (HTTPS) está abierto en el servidor de la web de la empresa.
El puerto 3306 (MySQL) está accesible desde la red interna.
Un servidor utiliza una versión antigua de Apache, lo que podría estar
sujeto a vulnerabilidades conocidas

22. Escaneo de vulnerabilidades
Identificación de fallas
Clasificación de vulnerabilidades
Se utiliza un conjunto de herramientas automatizadas
para escanear los sistemas en busca de vulnerabilidades
conocidas.
Estas herramientas comparan la configuración de los
sistemas con bases de datos de vulnerabilidades comunes
y proporcionan una lista de fallas que necesitan ser
corregidas.
Los escaneos de vulnerabilidades son
netamente técnicos y están orientados hacia la
identificación y detección de posibles problemas
en la infraestructura lógica del entorno mediante
la comparación con bases de datos de
vulnerabilidades conocidas y reportadas

23. Explotación de vulnerabilidades
Simulación de ataque
Reporte de hallazgos
Consisten en simular un ataque real sobre los sistemas
para verificar si las vulnerabilidades detectadas pueden
ser explotadas de manera efectiva por un atacante
A diferencia de la simple detección de vulnerabilidades, las
pruebas de penetración intentan explotar las fallas para ver
qué tan graves son en un entorno real.
En 2021, el gobierno federal de Estados Unidos instó a las
empresas a utilizar pruebas de penetración para
defenderse de los crecientes ataques de ransomware.

24. La evaluación de riesgos es el proceso de clasificar las
vulnerabilidades según su gravedad y la probabilidad de
que sean explotadas
Es el proceso de corregir las vulnerabilidades
identificadas. Esto puede implicar la instalación de
parches de seguridad, cambios en la configuración del
sistema o la eliminación de prácticas inseguras.

25. Monitoreo continuo
Escaneos recurrentes
Pruebas de validación
Utilización de herramientas para supervisar la
actividad en tiempo real y detectar nuevos
intentos de ataque
Realizar análisis regulares para identificar
nuevas vulnerabilidades que puedan haber
surgido
Volver a realizar pruebas de penetración o
escaneos de vulnerabilidades

28. Qué son las aplicaciones web
Las aplicaciones web son programas escritos en un lenguaje de
programación que soportan y pueden ejecutar los navegadores web y a las
que los usuarios pueden acceder a través de internet. Este tipo de
aplicaciones no necesitan ser instaladas en el dispositivo del usuario
(ordenador, tablet, o smartphone, por ejemplo), ya que están instaladas en
el servidor web.
En una aplicación web los datos se almacenan en los servidores web de
forma permanente, permitiendo acceder a ella en cualquier momento.

29. Aplicaciones web, ejemplos
existen muchas aplicaciones web populares que se
utilizan día a día, tanto a nivel personal, como en un
entorno empresarial. Algunos de estos ejemplos son:
Sistemas de gestión de correo electrónico como Gmail u
Outlook.
Sitios web interactivos que permiten consultar y editar
información online, como la Wikipedia.
Tiendas online que permiten a los clientes comprar de forma
remota y que se encuentran integradas con otras aplicaciones de
gestión empresarial como programas de facturación o control de
stock.
Tipos de aplicaciones web
Aplicaciones web estáticas. Desarrolladas con HTML
y CSS y no suelen actualizarse.
Aplicaciones web dinámicas. Utilizando JavaScript y
PHP principalmente, ofrecen variación de contenido y
acceso a diferentes funcionalidades.
eCommerce o tiendas virtuales. Para comprar
productos por internet pudiendo realizar pagos
online.
Portales web. Plataformas con diferentes opciones
como foros, chats, buscadores…
Aplicaciones web multimedia. Para presentar
contenido animado y audiovisual.
Gestores de contenido (CMS). Como WordPress o
PrestaShop.

30. •1. Frontend: Interfaz visible al usuario, diseñada con HTML, CSS y
JavaScript.
•2. Backend: Procesa las solicitudes del usuario, ejecuta lógica y acce . El
usuario interactúa con el frontend desde de a la base de datos.
•3. Base de datos: Almacena y gestiona la información necesaria para el
funcionamiento del aplicativo.
componentes básicos

31. flujo de trabajo
•1. El usuario interactúa con el frontend desde su navegador.
•2. Las solicitudes se envían al servidor backend a través de HTTP/HTTPS.
•3. El backend procesa la solicitud, consulta la base de datos si es necesario.
•4. El servidor devuelve una respuesta que el navegador renderiza para el usuario.

33. 1. Identificación de riesgos ocultos
Un análisis de vulnerabilidad permite descubrir debilidades en los
sistemas informáticos antes de que puedan ser explotadas por
atacantes. Esto incluye configuraciones incorrectas, software
desactualizado y errores en el código fuente.
2. Prevención de ciberataques
Al identificar vulnerabilidades, puedes implementar medidas
correctivas para prevenir ataques como ransomware, robo de
datos o accesos no autorizados.
¿Por qué debo realizar un análisis de vulnerabilidad?

34. ¿Por qué debo realizar un análisis de vulnerabilidad?
3. Cumplimiento normativo
Regulaciones como el RGPD, HIPAA o ISO/IEC 27001 exigen evaluaciones periódicas de seguridad.
Realizar análisis de vulnerabilidad garantiza el cumplimiento y evita sanciones.
4. Protección de la reputación
Una brecha de seguridad puede afectar la confianza de clientes, socios y empleados. Realizar análisis
proactivos protege tu imagen corporativa.
5. Reducción de costos a largo plazo
Detectar y resolver vulnerabilidades de manera temprana es más económico que enfrentar las
consecuencias de un incidente, como pérdidas económicas, legales o de datos.
6. Fortalecimiento de la seguridad
El análisis permite priorizar acciones, asignando recursos a las áreas más críticas y mejorando de
forma continua la infraestructura tecnológica.