Seguridad en las Tics: 2015

1.1 Conceptos básicos

1.1.1. Integridad, Disponibilidad y Confidencialidad en las TIC.

Integridad: Que nadie más lo cambie

Disponibilidad: Que siempre esté ahí

Confidencialidad: Que nadie más lo vea

1.2 Vulnerabilidades

Vulnerabilidad de un activo es la potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo.

Características: La vulnerabilidad es una propiedad de la relación entre un activo y una amenaza. La vulnerabilidad se ha venido vinculado más al activo como una “no calidad” de este, pero se puede utilizar con una mayor vinculación a la amenaza cuando el problema lo considere conveniente (en todo caso, vulnerabilidad no es solo una “debilidad” o sea una “propiedad negativa” del elemento “activo”).La vulnerabilidad es un concepto con dos aspectos:

_ La vulnerabilidad como propiedad ejerce una función de mediación (o de predicación en sentido lingüístico) entre la amenaza como acción y el activo como objeto de cambio del estado de seguridad.

Por este aspecto estático la vulnerabilidad forma parte del estado de seguridad del activo.

_ La vulnerabilidad es asimismo en su aspecto dinámico el mecanismo obligado de paso o conversación de la Amenaza a una agresión materializada sobre un activo.

Tipos

La vulnerabilidad intrínseca pueda descomponerse, si conviene y para análisis muy detallados (sobre toda amenaza intencional), según dos bloques de atributos:

_ Potencialidad autónoma respecto al activo amenazado de ocurrencia de la amenaza (por ejemplo la frecuencia de inundación en un lugar determinado).

_ Potencialidad derivada de la relación entre activo y amenaza (intencional sobre todo).7

1.2.1. Sistemas Operativos

El sistema operativo es el encargado de simplificar y optimizar el uso de los recursos del sistema informático y de resolver los conflictos que tenga lugar.

El sistema operativo es lo primero que se carga en el ordenador una vez que se enciende. Entre otras cosas analizadas si el resto de los programas se cargan de forma adecuada y comprueba que los componentes hardware este bien conectados y configurados.

Aunque no lo parezca, podemos encontrarnos sistemas operativos en casi cual quier máquina que cuente con algún tipo de procesadores, ya que sin el sistema operativo, que sirve de mediador entre el hardware y el usuario, la vida del procesador seria tremendamente complicada y desesperante.

Ya centrándonos en los ordenadores personales, el sistema operativo pone nuestro alcance multitud de funcionalidades que simplifican el uso diario de las maquinas. Describiremos a continuación las funciones más comunes de las que se encargaran nuestros sistemas operativos para obtener una visión global de su influencia en el trabajo diario con los sistemas informáticos.

Funciones habituales de un sistema operativo

Gestión de los trabajos _______________________Control de los recursos del hardware

Interprete de comando _______________________Manejo de los dispositivos de E/S

Gestión de errores ___________________________Secuencia de tareas

Protección de los recursos y de los archivos ______ Administración multiusuario

1.2.2. Redes y Telecomunicaciones

DEFINICIÓN

El termino telecomunicaciones se refiere generalmente a todo tipo de comunicación alarga

Distancia a través de ondas portadoras comunes como el televisor, la radio y el teléfono.

Entre las comunicaciones tenemos un subconjunto que son las comunicaciones de datos, estas constituyen la colección, intercambio y procesamiento electrónicos de datos o información que incluye texto, imágenes, voz entre otras.

El entorno del cómputo actual está disperso tanto geográfica como organizacional mente ubicando las comunicaciones de datos en una función organizacional estratégica.

Los negocios buscan comunicaciones electrónicas esenciales para minimizar limitaciones de tiempo y distancia. Las telecomunicaciones desempeñan una función importante cuando los clientes, proveedores, vendedores y compradores realizan negocios constantemente en cualquier parte del mundo constantemente.

SISTEMAS DE TELECOMUNICACIÓN

Un sistema de telecomunicación es una colección de hardware y software compatible dispuesto para comunicar información de un lugar a otro. Estos sistemas pueden transmitir textos, gráficos, voz, documentos o información de video en movimiento completo.

COMPONENTES DE UN SISTEMA DE TELECOMUNICACIONES

1.- HARDWARE: tenemos como ejemplo la computadora, multiplexores, controladores y módems.

2.- MEDIOS DE COMUNICACIÓN: es el medio físico a través del cual se transfieren las señales electrónicas ejemplo: cable telefónico.

3.- REDES DE COMUNICACIÓN: son las conexiones entre computadores y dispositivos de comunicación.

4.- EL DISPOSITIVO DEL PROCESO DE COMUNICACIÓN: es el dispositivo que muestra como ocurre la comunicación.

5.- SOFTWARE DE COMUNICACIÓN: es el software que controla el proceso de la comunicación.

6.- PROVEEDORES DE LA COMUNICACIÓN: son empresas de servicio público reguladas o empresas privadas.

7.- PROTOCOLOS DE COMUNICACIÓN: son las reglas para la transferencia de la información.

8.- APLICACIONES DE COMUNICACIÓN: estas aplicaciones incluyen el intercambio de datos electrónicos como la tele conferencia o el fax.

SEÑALES ELECTRÓNICAS

Los medios de telecomunicación pueden conducir dos tipos básicos de señales:

MEDIOS DE COMUNICACIÓN

Los medios de comunicación son los trayectos para comunicar un dato de un lugar a otro. Entre los medios de comunicación más importantes tenemos:

MEDIOS DE CABLE

ALAMBRE DE PAR TRENZADO

Se usa en casi todo el alambrado de telefonía comercial, es relativamente económico, fácil de trabajar y ampliamente disponible. Se compone de hilos de alambre d cobre trenzados en pares.

Desventajas: emite interferencia electromagnética, es relativamente lento para la transmisión de datos, pude derivarse fácilmente permitiendo que otros receptores obtengan la información sin autorización.

CABLE COAXIAL

Se compone de un alambre de cobre aislado. Se emplea comúnmente para conducir el tráfico de datos d alta velocidad, como señales de televisión, es un poco costoso, resulta más difícil de trabajar y es relativamente inflexible.

FIBRAS ÓPTICAS

Transmiten la información a través de fibras de vidrio transparente en forma de ondas luminosas en lugar de corriente eléctrica.

Está compuesto por miles de delgados filamentos de fibra de vidrio.

Los cables de fibra óptica proporcionan un incremento en la velocidad y capacidad de conducción de datos y es más seguro con respecto a las interferencias y desviaciones.

Una sola fibra de vidrio similar a un cabello puede conducir hasta 30.000 llamadas telefónicas simultáneamente

MEDIOS INALÁMBRICOS

MICROONDAS

La comunicación se transmite a través de ondas de alta frecuencia.

SISTEMAS DE POSICIONAMIENTO GLOBAL

Es un inalámbrico que utiliza los satélites para permitir a los usuarios determinar su posición en cualquier lugar sobre la tierra. Se ha empleado ampliamente para la navegación de líneas aéreas y los barcos comerciales, además para localizar rutas.

RADIO

No necesita alambres metálicos, sus ondas tienden a propagarse con facilidad, los aparatos son bastante económicos y fáciles de instalar.

Desventajas: pueden crear problemas de interferencia eléctrica, son susceptibles de que cualquiera que cuente con un equipo similar y la misma frecuencia se entrometa en la comunicación.

1.2.3. Navegadores

El navegador es el programa que solicita y muestra en la pantalla del ordenador personal los documentos que residen en los servicios remotos de toda la Word Wide Web. El navegador debe

Interactuar con los equipos y programas de acceso al ordenador que este tenga instalados.

Además, en algunos casos, si la página cumple los criterios de diseños accesibles, el navegador puede presentar a los usuarios la información en distintos formatos, dependiendo de la opción de configuración seleccionada. Por ejemplo mostrar el texto descriptivo de la imagen en lugar de la propia imagen.

A efectos de este estudio es interesante diferencia entre 2 tipos de navegador: navegadores acceso estándar y navegadores de acceso alternativo.

Real mente no hay una frontera clara entre ambos tipos pues cada vez más los navegadores estándar incluyen características que las permiten realizar un acceso a las páginas web en formatos alternativos.

1.2.4. Aplicaciones Web

Te presentamos algunas de las mejores aplicaciones web disponibles, con las que puedes hacer de todo en tu PC sin descargar ni instalar nada más que un navegador.

A estas alturas ya todos están cansados de leer y escuchar las palabras "computación en la nube", pero no se van a ir a ningún lado pronto, de hecho son cada vez más los servicios que ejecutan in the cloud y no en nuestros ordenadores. Actualmente podemos hacer casi cualquier cosa desde un navegador web, por supuesto seguimos necesitando un ordenador o un dispositivo móvil para acceder a Internet, pero ya no se requiere que instalemos programas nativos que muchas veces se limitan a ofrecer compatibilidad con una sola linea de sistemas operativos. La nube nos ofrece opciones muy geniales para acceder a contenido sin estar limitados por nuestro hardware, ejemplo de como se pueden hasta jugar los juegos de una PS4 en una PS Vita, o como pronto podremos jugar los de Xbox One en cualquier dispositivo con Windows 10, ya sea teléfono, PC, o tablet.

Regresando a la computación personal, desde el inicio, lo normal era que había que descargar un programa, instalarlo y ejecutarlo para poder hacer cualquier cosa. Actualmente todo es muy diferente, para muchos solo basta con tener un navegador instalado en el ordenador para tener acceso a todo tipo de software. En Hipertextual hoy te damos 10 ejemplos de aplicaciones web que puedes usar día a día sin tener que instalar absolutamente nada en tu PC.

1.2.5.1 Correo Electrónico

El correo electrónico es un servicio de red permite intercambiar mensajes entre distintos usuarios de manera asíncrona estos mensajes pueden contener o no ficheros adjuntos. Según la el diccionario de la RAE el correo electrónico se define como :<<sistema de comunicación personal por ordenador a traves de redes informáticas>>.

El correo electrónico fue creado por ray tolinson en 1971.ray tomlison se graduó en ingeniería eléctrica en el instituto de tecnología de Massachusetts (MIT)

El correo electrónico fue creado por ray tomlinson en 1971.Ray tomlison se graduó en ingeniería eléctrica.

Esta forma de acceder al correo electrónico se conoce como web mail o correo web. Se trata de un servicio que permite el acceso al correo mediante páginas web, usando para ello un navegador. Para ello, el usuario ha de autenticarse en el servidor introduciendo su nombre de usuario y contraseña continuación componente el mensaje y selecciona la opción de enviar. Entre las ventajas de este este método se puede decir que los mensajes y selecciona la opción de enviar.

Entre las ventajas de este método se puede decir que los mensajes no se descargan al ordenador, es posible acceder desde cualquier maquina sin que tenga ningún software especificación (todos los sistemas operativos suelen incluir un navegador web)

Y la creación d una cuenta de correo es más sencilla que desde un programa Mua.La principal desventaja es que el espacio de almacenamiento de mensajes se limitan a lo que desde un programa.

1.2.5.2 Comercio Electrónico

El termino "comercio electrónico" , se refiere al uso de un medio electrónico para realizar transacciones comerciales. La mayoría de las veces hace referencia a la venta de productos por internet, pero el término comercio electrónico también abarca mecanismos de compra por Internet (de empresa a empresa).

La preparación de presupuestos en linea

las consultas de los usuarios

Los planes de acceso a los puntos de venta

La gestión en tiempo real de la disponibilidad de los productos (existencia)

Los pagos en linea

El rastreo de las entregas

Los servicios posventa

en algunos casos, el comercio electrónico permite personalizar los productos de manera significativa

en especial si el sitio de comercio electrónico esta vinculado con el sistema de producción de la empresa (por ejemplo tarjetas comerciales, productos personalizados como camisetas,tazas,gorras,etc).

Por ultimo en lo que respecta a servicios y productos (archivos mp3, programas de software, libros electrónicos, et, el comercio electrónico permite las compras en un tiempo breve o incluso de inmediato.

1.2.5.3 Redes Sociales

Red, un término que procede del latín rete, hace mención a la estructura que tiene un patrón característico. Esta definición permite que el concepto se aplique en diversos ámbitos, como la informática (donde una red es un conjunto de equipos interconectados que comparten información).

Red social

Social, por su parte, es aquello perteneciente o relativo a la sociedad (el conjunto de individuos que interactúan entre sí para formar una comunidad). Lo social suele implicar un sentido de pertenencia.

La noción de red social, por lo tanto, está vinculada a la estructura donde un grupo de personas mantienen algún tipo de vínculo. Dichas relaciones pueden ser amistosas, sexuales, comerciales o de otra índole. Por ejemplo: “La red social del pueblo funcionó a la perfección para canalizar la solidaridad con las víctimas de la inundación”, “La familia es la base de cualquier red social”.

El concepto, de todas formas, se ha actualizado en los últimos años para señalar a un tipo de sitio de Internet que favorece la creación de comunidades virtuales, en las cuales es posible acceder a servicios que permiten armar grupos según los intereses de los usuarios, compartiendo fotografías, vídeos e información en general.

La red social más popular de la actualidad es Facebook, que cuenta con más de 1300 millones de usuarios, que intercambian mensajes y archivos informáticos. Otras redes sociales son MySpace y Hi5.

Es posible encontrar redes sociales en Internet que se especializan en ciertos sectores o que apuntan a captar a un grupo específico de usuarios. LinkedIn, por ejemplo, reúne a profesionales e intenta fomentar los negocios y la movilidad laboral.

Veamos a continuación un resumen de algunas de las redes sociales más usadas en todo el mundo, junto con una pequeña descripción de sus características y sus objetivos:

Red social* Facebook: se trata de una red social que busca conectar a personas de todas partes del planeta, y que muchos utilizan para reencontrarse con viejos amigos de la infancia, con gente a la que no han visto por mucho tiempo. Como se menciona en párrafos anteriores, ha alcanzado la posición de líder indiscutible. Entre las opciones que nos ofrece se encuentran crear grupos con diversos criterios, compartir fotografías y todo tipo de archivos multimedia, participar de encuestas y enviar mensajes a personajes famosos a quienes quizás no podríamos contactar de otra manera;

* YouTube: muchas personas no saben que YouTube es, en efecto, una red social, ya que comenzó como un servicio de publicación gratuita de vídeos. Sin embargo, al día de hoy, gracias a la aparente sencillez de su interfaz, al hecho de poder dejar comentarios en gran parte del contenido y a la posibilidad de transmitir vídeo en vivo y en directo, esta potente herramienta permite comunicar a personas de todas partes del mundo y resulta muy beneficiosa para artistas ignotos que desean hacerse un lugarcito en la industria;

* Twitter: esta aplicación de microblogging ha sido una verdadera revelación, ya que ha conquistado al planeta entero a pesar de su aparentemente exagerado límite de caracteres por mensaje, el cual, en cambio, ha despertado en muchos usuarios el desafío de aprovecharlo de la mejor manera posible cada vez. Twitter permite compartir con un grupo de personas nuestras actividades a cada momento, con la posibilidad de incluir contenido multimedia. Su ya archiconocido hashtag se ha convertido en parte del lenguaje popular y es muy utilizado por las grandes empresas para promocionar sus productos;

* MySpace: se trata de un portal especialmente usado por cantantes que buscan alcanzar la fama. En MySpace es posible compartir archivos de música, vídeos y fotos, conocer a otros artistas y mantenerse en contacto con ellos e incluso crear blogs.

1.2.5.4 Educación a Distancia

Con el objetivo de hacer llegar la educación a todo aquel que la necesita, aparecieron las prácticas de educación a distancia. Estas prácticas han exigido siempre la existencia de un elemento mediador entre el docente y el discente. Generalmente, este mediador ha sido una tecnología, que ha ido variando en cada momento. Si históricamente nos referíamos al correo convencional, que establecía una relación epistolar entre el profesor y el estudiante, con el tiempo hemos ido introduciendo nuevas tecnologías que, por su coste y su accesibilidad, nos permiten evolucionar en esta relación a distancia (Bates, 1995).

Si bien Wedemeyer (1981) expresa sus dudas respecto al hecho de que exista una verdadera teoría de la educación a distancia, también es cierto que ha habido quien ha intentado demostrar lo contrario: que ésta, o éstas, existen.

Basándonos en este concepto, observaremos que existe un cierto acuerdo para establecer tres grandes bloques de teorías o, por lo menos, de intentos de teorizar la base de la educación a distancia (Keegan, 1996):

1. Teorías basadas en la autonomía y la independencia del estudiante (Delling, Wedemeyer y Moore).

2. Teoría basada en el proceso de industrialización de la educación (Peters).

3. Teorías basadas en la interacción y la comunicación (Baath, Holmberg, Sewart y otros).

1. La educación ha surgido como un intento de dar respuesta a las nuevas demandas sociales que la Educación Presencial no ha podido atender, pero resulta incorrecto suponer que aquella pueda sustituir totalmente a esta última.

2. Ambas formas educativas pueden beneficiarse mutuamente de su coexistencia y acción.

3.

UNIDAD 2 SEGURIDAD,CALIDAD Y GESTIÓN DE SERVICIOS EN LAS TICS

2.1 Seguridad y Cultura de Calidad en la gestión de las TIC.

2.2 Administración de la Seguridad

El objetivo de la administración de seguridad es lograr la exactitud, integridad y protección de todos los procesos y recursos de los sistemas de información.

De este modo la administración de seguridad minimiza errores, fraudes y pérdidas en los sistemas de información que interconectan a las empresas actuales, así como a sus clientes, proveedores y otras partes interesadas.

2.2.1. Elaboración del Plan de Seguridad

2.3 Estándares para la gestión de la seguridad en la Información.

2.4 Factores de éxito para la implementación del SGSI...

UN SGSI, ¿QUÉ BENEFICIOS APORTA?

Un análisis de riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial. Una mejora continua en la gestión de la seguridad. Una garantía de continuidad y disponibilidad del negocio. Reducción de los costos vinculados a los incidentes. El incremento de los niveles de confianza de clientes y partners. El aumento del valor comercial y mejora de la imagen de la organización. Voluntad de cumplir con la legislación vigente de protección de datos de carácter personal, servicios de la sociedad e la información, comercio electrónico, propiedad intelectual y en general, aquella relacionada con la seguridad de la información.

IMPLANTACIÓN DE UN SGSI

Para realizar la implementación de un SGSI con éxito, por nuestra experiencia y conocimientos, consideramos que los puntos esenciales a tener en cuenta, siempre que se inicie un proyecto de consultoría SGSI son: El alcance y la planificación temporal requerido por el SGSI. El compromiso y completa implicación de la Dirección en el proyecto desde inicio a fin. El nivel de seguridad deseado, tamaño y complejidad de la organización.

PROCESO DE IMPLANTACIÓN

Este estándar internacional adopta el modelo de mejora continua PDCA (Planificar, hacer, verificar y actuar) aplicado a toda la estructura de procesos del SGSI. El modelo PDCA establece que no es suficiente con el diseño e implementación del SGSI, sino que es necesario garantizar la revisión periódica y continua actualización y mejora del mismo, permitiendo a cada organización utilizar los instrumentos que consideren oportunos para medir y controlar la mejora del sistema. Un SGSI debe identificar fundamentalmente, los objetivos y alcance del sistema, los procesos de negocio críticos para la organización.

CERTIFICACIÓN ISO 27001

La certificación del SGSI contribuye a fomentar las actividades y procesos de protección de la información dentro de las organizaciones, mejorando su imagen y generando confianza ante terceros. Una vez finalizado el proceso de implantación del SGSI, si la organización lo decide, tiene la opción de certificar su SGSI conforme a normativas internacionales, (actualmente ISO 27001). El SGSI según la norma ISO 27001 es complementario a los sistemas de gestión de la calidad ISO 9001 y gestión medioambiental ISO 14001.

¿QUIÉN PUEDE CERTIFICAR?

El proceso de certificación lo realiza una tercera entidad acreditada por ENAC (Entidad Nacional de Acreditación), que evaluará el SGSI de la organización y expedirá un certificado que demuestra que la organización satisface los requisitos de la norma ISO 27001. El certificado se mantendrá siempre y cuando la organización continúe cumpliendo los requisitos de la norma. Algunas de las empresas certificadoras, en orden alfabético, son: · ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN (AENOR) · BRITISH STANDARS INSTITUTION ESPAÑA, S.A. · BVQI SERVICIOS DE CERTIFICACIÓN, S.A. · EUROPEAN QUALITY ASSURANCE .

¿POR QUÉ CERTIFICARSE EN LA NORMA ISO 27001?

La certificación demuestra a clientes, competidores, proveedores, personal e inversores, que una organización emplea buenas prácticas revisadas y aprobadas a nivel internacional. Un certificado de seguridad de tercera parte, ayuda a que una organización demuestre que gestiona eficientemente la seguridad de su negocio. Provee la implicación, participación y motivación del personal en mantener la política de seguridad de la organización. Establece procedimientos que mejoran continuamente su actividad y evidencia un enfoque innovador con visión al futuro. La certificación puede mejorar el desempeño total, suprimir la incertidumbre y ampliar sus oportunidades en el mercado.

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. ISO 27001:2005

Un SGSI establece un completo plan de acciones que ayudará a su empresa a solucionar los problemas de seguridad técnicos, organizativos y legislativos mediante el análisis de riesgos, mejorando y manteniendo la seguridad de la información empresarial y garantizando una continuidad de negocio. En una organización, el diseño e implementación de un SGSI está influenciado por sus necesidades y objetivos, requerimientos de seguridad, procesos empleados y el tamaño y estructura de la organización. Un SGSI no tiene un fin estático, se espera que evolucione de forma conjunta con los objetivos estratégicos de seguridad de la Organización. La implantación de un SGSI se apoya en normativas de carácter internacional como son: ISO/IEC 27001:2005 e ISO/IEC 17799:2005.

2.5 Análisis de Riesgo dentro del SGSI.

ISO 27001

A la hora de implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 se debe tener en cuenta el riesgo al que se ven sometidos los activos de información en el día a día de una organización.

El riego es la probabilidad de que se produzca un impacto determinado en un activo de seguridad, en un dominio e incluso en toda la organización.

Durante el cálculo del riesgo tiene una gran influencia la evaluación del impacto, es un proceso muy difícil de realizar. El nivel de riesgo depende de la vulnerabilidad y del impacto, aunque al impacto se le otorga un mayor peso a la hora de tomar la decisión para calcular el riego; ya que cualquier persona prefiere la combinación entre un impacto bajo aunque la potencialidad sea muy alta, a la de un impacto alto con una potencialidad baja.
Características del riesgo

Según la norma ISO27001 el riesgo es el resultado de realizar un análisis de riesgos. El análisis de riesgos es un proceso muy complejo que parte de determinar dos entidades autónomas y continúa por estimar dos entidades derivadas de éstas. Se tiene que realizar dicho análisis con el principal objetivo de obtener como resultado un valor que facilite la toma de decisión entre proseguir o no a la siguiente etapa del proceso.
Tipos de riesgos

Podemos diferenciar entre tipos de riesgo según los objetivos que quieren alcanzar:

Riesgo calculado: se define en torno a los valores calculados de vulnerabilidad y el impacto producido y es sólo un indicador que ayuda a tomar una decisión.
Riesgo residual: es el riesgo residual que encontramos una vez ha disminuido el riesgo tras aplicar medidas correctivas, bien sean aplicadas realmente o mediante un proceso de simulación.
Umbral de riesgo: es un valor que se ha establecido como referencia para poder tomar la decisión mediante comparación con el riesgo que ha sido calculado.
Riesgo intrínseco: es definido una vez se eliminan las acciones correctivas o preventivas que ya habían sido establecidas en el activo.
Atributos del riesgo

La norma ISO-27001 considera dos atributos diferentes, uno para cada riesgo y otro que realice la relación entre los diferentes riesgos:
Restricción del riesgo a cada tipo de impacto factible, ya que tenemos establecida la vulnerabilidad del activo de información.
Propagar el riesgo para los diferentes activos dependientes entre sí mismos.
Cálculo del riesgo

La norma ISO 27001 nos da la posibilidad de realizar un cálculo mucho más sencillo del riesgo si tenemos pocas variables y por el contrario poder realizar un cálculo mucho más tedioso si contamos con muchas más variables diferentes.

Si queremos realizar el cálculo más sencillo del riesgo, la vulnerabilidad se puede estimar como la frecuencia y el impacto se puede estimar como un valor monetario de reposición.

El riesgo calculado se suele apreciar por el impacto acumulado durante un periodo de tiempo, normalmente un año, esto es conocido como expectativa de riesgos anuales y expectativa de pérdidas anuales. La expectativa de riesgo anual es el costo de reposición del componente durante un año comparado con el umbral determinado o el costo anual para poder reducirlo.

Para casos sencillos se suele utilizar la métrica de aceptación de riesgos de la siguiente tabla:

Cuando los casos son más complejos, es decir, cuando la vulnerabilidad no se puede recoger como frecuencia o cuando el impacto no se puede ser monitoreado, se estima una métrica de riesgos con ayuda de la siguiente tabla:

Cuando se cuenta con pocos elementos para distribuir por niveles las vulnerabilidades y los impactos, se debe reducir la matriz anterior a tres niveles: bajo, medio y alto. Cuando el proyecto tiene el objetivo de realizar un análisis y una gestión de riesgos inicial, la técnica de cálculo se orienta a establecerse en dos bloques de riesgos en el conjunto de activos.

Las diferencias en tipificación entre los riesgos calculados, los umbrales de riesgos y los riesgos asumibles son irrelevantes. Para poder establecer la caracterización de los activos de información por el estado y los subestados se debe tener en cuenta el riesgo complementario. Todos los modelos que se podrían haber llevado a cabo en honor al único concepto de riesgo, aunque entonces el concepto tiene que soportar dos acepciones diferentes, es decir, una como estado del activo y otra como resultado del proceso de cálculo con el que soportar dicha decisión. Gracias al sistema MAGERIT se evita la ambigüedad empleando seguridad como estado y riesgo sólo como resultado, según las tendencias internacionales.

Todos estos cálculos son laboriosos, pero son muy necesarios a la hora de implementar un Sistema de Gestión de Seguridad de la Información con éxito. Pueden acarrear una gran tarea pero una vez realizados facilitan mucho la labor para poder implantar las acciones necesarias evitando males mayores.
Software para SGSI

El Software ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

2.6 ITIL para la gestión y provisión de servicios y Tecnología.

ITIL para la gestión y provisión de servicios y Tecnología.

Las organizaciones son cada vez más dependientes de la Tecnología de Información para soportar y mejorar los procesos de negocio requeridos para cumplir las necesidades de los clientes y de la propia organización.

En muchos casos, los servicios de TI conforman la base del modelo de negocio en su totalidad, en estos casos TI no brinda soporte al negocio, es el negocio. Más allá de la importancia de TI en la organización, la competitividad y las presiones económicas se ven reflejadas en presiones para en lo posible disminuir el presupuesto de TI.

Al mismo tiempo las expectativas por la calidad, innovación y valor de TI continúan incrementándose. Esto hace imperativo que las organizaciones de TI tomen un enfoque orientado al negocio y al servicio en lugar de un enfoque centrado en la tecnología.

Para lograr este cambio de enfoque las áreas de TI, necesitan concentrarse en la calidad de los servicios que brindan, y asegurarse que los mismos estén alineados a los objetivos de la organización.

Cuando los servicios de TI son críticos, cada una de las actividades que se realizan deben de estar ejecutadas con un orden determinado para asegurar que el grupo de TI proporciona valor y entrega los servicios de fo rma consistente.

La Gestión de servicios es un una disciplina de gestión basada en procesos que pretende alinear los servicios de TI con las necesidades de la organización, además brinda un orden determinado a las actividades de gestión.

2.6.1. Procesos clave en Infraestructura TI.

Hoy en día, la tecnología es un factor crítico en el éxito o fracaso de un negocio. Compañías que incorporan nuevo software y sistemas exitosamente en su infraestructura de información se posicionan para lograr ventajas competitivas sostenidas.

En el ámbito de negocios de hoy, eso significa implementar sistemas que proveen operaciones simplificadas y de bajo costo. Otras capacidades críticas, incluyen la habilidad de comunicar información a tiempo y certeramente a la creciente fuerza de trabajo ambulante, mejorando continuamente la productividad del empleado y la capacidad de proteger la integridad de los sistemas y la propiedad intelectual.

A medida que los gerentes de negocio crecen en número en busca de una reingeniería en los procesos de negocio (Business Process Reenginering) como una medida de aplicar las Tecnologías de Información a sus negocios, crece también la creencia de que una mejora en los procesos la cual incluye algún componente de TI, permitirá darle a la compañía ventajas competitivas además de proveer de productos de calidad y servicios a sus clientes.

Alineando primeramente una compañía a sus estrategias en sus procesos de negocio, en busca de mejorar la eficiencia a través de la gestión sistemática de éstos (BPR), mediante el modelar, automatizar, integrar, monitorizar y optimizar de forma contínua, creará el entorno perfecto para entonces, aplicar las tecnologías de información actualizadas y acorde a las necesidades, para automatizar estas tareas.

De ninguna manera podemos pensar implementar en un primer plano, una tecnología de información, sin antes saber perfectamente , cuales son los procesos de negocio que afectan a una empresa en sus personas, políticas, procedimientos, producción y producto, de lo contrario, estaríamos cayendo en el error de alinear la empresa a la tecnología y no las tecnologías a los procesos clave de negocio.

METODOLOGÍA

Para la elaboración de este artículo fue consultada la base de datos digital de la biblioteca del Tecnológico de Monterrey haciendo hincapíe en temas clave para la reingeniería de procesos en tecnologías de información, asi como también fueron cosultados artículos de revistas localizadas en la biblioteca digital.

Las bases de datos digitales consultadas fueron :

Business Source Premier
IEEEXplore
ProQuest ABI/INFORM Global
The ACM Digital Library
Emerald Group Publishing Limited
De igual manera, algunos conocimientos e ideas aquí plasmados por el autor, son nociones básicas tomadas de cursos como sistemas de información, SCM (Supply Chain ManagemHoy en día, la tecnología es un factor crítico en el éxito o fracaso de un negocio. Compañías que incorporan nuevo software y sistemas exitosamente en su infraestructura de información se posicionan para lograr ventajas competitivas sostenidas.

En el ámbito de negocios de hoy, eso significa implementar sistemas que proveen operaciones simplificadas y de bajo costo. Otras capacidades críticas, incluyen la habilidad de comunicar información a tiempo y certeramente a la creciente fuerza de trabajo ambulante, mejorando continuamente la productividad del empleado y la capacidad de proteger la integridad de los sistemas y la propiedad intelectual.

A medida que los gerentes de negocio crecen en número en busca de una reingeniería en los procesos de negocio (Business Process Reenginering) como una medida de aplicar las Tecnologías de Información a sus negocios, crece también la creencia de que una mejora en los procesos la cual incluye algún componente de TI, permitirá darle a la compañía ventajas competitivas además de proveer de productos de calidad y servicios a sus clientes.

Alineando primeramente una compañía a sus estrategias en sus procesos de negocio, en busca de mejorar la eficiencia a través de la gestión sistemática de éstos (BPR), mediante el modelar, automatizar, integrar, monitorizar y optimizar de forma contínua, creará el entorno perfecto para entonces, aplicar las tecnologías de información actualizadas y acorde a las necesidades, para automatizar estas tareas.

De ninguna manera podemos pensar implementar en un primer plano, una tecnología de información, sin antes saber perfectamente , cuales son los procesos de negocio que afectan a una empresa en sus personas, políticas, procedimientos, producción y producto, de lo contrario, estaríamos cayendo en el error de alinear la empresa a la tecnología y no las tecnologías a los procesos clave de negocio.

METODOLOGÍA

Para la elaboración de este artículo fue consultada la base de datos digital de la biblioteca del Tecnológico de Monterrey haciendo hincapíe en temas clave para la reingeniería de procesos en tecnologías de información, asi como también fueron cosultados artículos de revistas localizadas en la biblioteca digital.

Las bases de datos digitales consultadas fueron :

Business Source Premier

IEEEXplore

ProQuest ABI/INFORM Global

The ACM Digital Library

Emerald Group Publishing Limited

De igual manera, algunos conocimientos e ideas aquí plasmados por el autor, son nociones básicas tomadas de cursos como sistemas de información, SCM (Supply Chain Management), asi como lecturas de revistas de tipo informático.ent), asi como lecturas de revistas de tipo informática

2.7 Oficina de seguridad

1. Daros a conocer los conceptos y amenazas de seguridad. Con un sencillo test podréis evaluar vuestros conocimientos de seguridad informática. Además, encontrareis información que os acercará a los principales conceptos y amenazas de seguridad en la Red.

2. Enseñaros cómo protegeros en la Red. Aquí os ofrecemos medidas preventivas y consejos para el uso seguro de los diferentes servicios de Internet (navegación, redes sociales, correo electrónico, móviles, redes P2P, mensajería instantánea, etc.) e información sobre distintas herramientas gratuitas con las que proteger el ordenador y la conexión a Internet. Asimismo, se incluye un servicio diario de alertas de seguridad y servicios de información mediante otros canales como RSS y boletines.

3. Ofreceros ayuda y soporte para resolver dudas, problemas e incidentes. En el número de teléfono 901 111 121 los usuarios podréis contactar con nuestro Servicio de Atención Telefónica para un tratamiento directo y personalizado. Del mismo modo, tenemos un servicio de foros y un asistente de seguridad on-line para consultar dudas y problemas que son atendidos por un equipo de técnicos especializados.

Os invitamos a visitar el portal www.osi.es y a seguirnos en las redes sociales. Estamos en facebook.com/osiseguridad y en Twitter (@osiseguridad). También podéis ver nuestros vídeos en youtube.com/osiseguridad

¡Seguimos en contacto!1. Daros a conocer los conceptos y amenazas de seguridad. Con un sencillo test podréis evaluar vuestros conocimientos de seguridad informática. Además, encontrareis información que os acercará a los principales conceptos y amenazas de seguridad en la Red.

¡Seguimos en contacto!

2.7.1. Objetivos de control, Riesgos, Controles.

2.8 Gestión de procesos de soporte y entrega del Servicio.

¡Seguimos en contacto!

2.8.1. Marco de referencia-FrameWork, Peticiones, incidencias, problemas, cambios, versiones, gestión del conocimiento.

La Gestión de Servicios de TI organiza las actividades necesarias para administrar lanentrega y soporte de servicios en procesos.

Un proceso es una serie de actividades que a partir de una entrada obtienen una salida. El flujo de la información dentro y fuera de cada área de proceso indicará la calidad del proceso en particular.

Existen puntos de monitoreo en el proceso para medir la calidad de los productos y provisión de los servicios. Los procesos pueden ser medidos por su efectividad y eficiencia, es decir, si el proceso alcanzó su objetivo y si se hizo un óptimo uso de los recursos para lograr ese objetivo.

Por lo que si el resultado de un proceso cumple con el estándar definido, entonces el proceso es efectivo, y si las actividades en el proceso están cumpliendo con el mínimos requerido esfuerzo y costo, entonces el proceso es eficiente.

2.9 Gestión de usuarios y seguridad

.

Creación de cuentas de usuario.

Cada persona que tenga acceso a la red requerirá una cuenta de usuario. Una cuenta de usuario hace posible:

Autentificar la identidad de la persona que se conecta a la red.

Controlar el acceso a los recursos del dominio.

Auditar las acciones realizadas utilizando la cuenta.

Windows 2000 sólo crea dos cuentas predefinidas: la cuenta Administrador, que otorga al usuario todos los derechos y permisos, y la cuenta Invitado, que tiene derechos limitados. El resto de las cuentas las crea un administrador y son cuentas de dominio (válidas a lo largo de todo el dominio de forma predeterminada) o cuentas locales (utilizables sólo en la máquina donde se crean).

Denominación de las cuentas de usuario.

Cada persona que tenga acceso a la red requerirá una cuenta de usuario. Una cuenta de usuario hace posible:

Autentificar la identidad de la persona que se conecta a la red.

Controlar el acceso a los recursos del dominio.

Auditar las acciones realizadas utilizando la cuenta.

Denominación de las cuentas de usuario.

Cada persona que tenga acceso a la red requerirá una cuenta de usuario. Una cuenta de usuario hace posible:

Autentificar la identidad de la persona que se conecta a la red.

Controlar el acceso a los recursos del dominio.

Auditar las acciones realizadas utilizando la cuenta.

Denominación de las cuentas de usuario.

En el Active Directory, cada cuenta de usuario tiene un nombre principal. El nombre consta de dos partes, el nombre principal de seguridad y el sufijo de nombre principal. Para las nuevas cuentas de usuario de Windows 2000, un administrador asigna el nombre principal de seguridad. El sufijo de nombre principal predeterminado es el nombre DNS del dominio raíz

2.11 Evaluación y mantenimiento

2.12 FrameWork -Marco de referencia

2.12.1. Buenas prácticas, metodología y herramientas de soporte

UNIDAD 3 SOLUCIONES DE SEGURIDAD

3.1 Protección física de la infraestructura TIC

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial

. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Las principales amenazas que se prevén en la seguridad física son:

Desastres naturales, incendios accidentales tormentas e inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.

Analizaremos los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.
Incendios
Inundaciones
Instalaciones Eléctricas
Ergometría

Acciones Hostiles (molestas)

-Robo
-Fraude
-Sabotaje

Control de Accesos

El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.

-Utilización de Guardias

-Utilización de Detectores de Metales

-Utilización de Sistemas Biométricos

-Verificación Automática de Firmas

-Seguridad con Animales
-Protección Electrónica

3.2 CRIPTOGRAFIA

La Criptología (del griego criptos= oculto y logos= tratado, ciencia) es la ciencia que trata las escrituras ocultas, está comprendida por la Criptografía, el Criptoanálisis y la Esteganografía

Las raíces etimológicas de la palabra Criptografía son criptos (oculto), y graphos (escritura).

Anteriormente la Criptografía era considerada como un arte pero en la actualidad se considera una ciencia gracias a su relación con la estadística, la teoría de la información, la teoría de los números y la teoría de la complejidad computacional.

Criptografía es la ciencia que se encarga del estudio de técnicas para transformar la información a una forma que no pueda entenderse a simple vista; sin embargo, el objetivo de la Criptografía no es sólo mantener los datos secretos, sino también protegerlos contra modificación y comprobar la fuente de los mismos.

Criptoanálisis es la ciencia que se ocupa del análisis de un texto cifrado para obtener la información original sin conocimiento de la clave secreta, esto es, de forma ilícita rompiendo así los procedimientos de cifrado establecidos por la Criptografía, por lo que se dice que Criptoanálisis y Criptografía son ciencias complementarias pero contrarias.

La esteganografia por su parte, estudia la forma de ocultar la existencia de un mensaje. Esta ciencia consiste en esconder en el interior de un mensaje, otro mensaje secreto, el cual sólo podrá ser entendido por el emisor y el receptor y pasará inadvertido para todos los demás.

Historia de la Criptografía

La Criptografía nace debido a que el hombre a lo largo del tiempo se ha visto en la necesidad de comunicar información confidencial a otros individuos ya sea por motivos militares, diplomáticos, comerciales, etc., en donde mantener la información en secreto es la pauta para conservar la integridad de un individuo o en ocasiones de una comunidad completa.

Una de las primeras formas utilizadas para ocultar la información fue una técnica que consistía en realizar orificios sobre las letras del mensaje secreto para pasar sobre ellos un tipo de tejido que servía para ocultar dicho mensaje.

-Alrededor del año 1500 a.C. :

Utilizaban tablillas de arcilla en donde tallaban escritos y algunas imágenes que establecían la forma de llevar a cabo sus transacciones comerciales, muchas veces dichas tablillas se colocaban en el interior de un contenedor de arcilla el cual era sellado.

-Durante el siglo V a.C.:

Los griegos crearon un instrumento para cifrar mensajes. Dicho instrumento es conocido como Scítala de los Lacedemonios y consistía en un cilindro de madera en el cual se enrrollaba una cinta de papiro o tela. Una vez enrollado el papiro se escribía el mensaje a lo largo de cada una de las generatrices del cilindro. Después se desenrollaba dicho papiro y era mandado con un mensajero al receptor, quien contaba con un cilindro con las mismas medidas que el del emisor, por lo que podía volver a enrollar el papiro en su cilindro y recuperar el mensaje original.

Ataques a los Métodos de Cifrado

Este tipo de ataques se realizan con la intención de obtener la clave secreta para poder descifrar libremente cualquier criptograma, para ello se aprovechan las vulnerabilidades que pudiera tener el método de cifrado.

-ATAQUE SÓLO CON TEXTO CIFRADO

Este caso es cuando el criptoanalista sólo conoce el criptograma y el algoritmo con que fue generado; con esta información pretende obtener el texto en claro.

-ATAQUE CON TEXTO ORIGINAL CONOCIDO

En esta situación el criptoanalista conoce mensajes en claro seleccionados por él mismo y sus correspondientes criptogramas, así como el algoritmo con que éstos fueron generados; aquí el objetivo es conocer la clave secreta y poder descriptar libremente cualquier texto.

-ATAQUE CON TEXTO CIFRADO ESCOGIDO

El criptoanalista conoce el algoritmo de cifrado, así como un criptograma seleccionado por él mismo y su correspondiente texto en claro, su objetivo es obtener el mensaje en claro de todo criptograma que intercepte.

-ATAQUE CON TEXTO ESCOGIDO

En este caso el criptoanalista además de conocer el algoritmo de cifrado y el criptograma que quiere descriptar, también conoce el criptograma de un texto en claro que él elija y el mensaje en claro de un criptograma también elegido por él.

Ataques a los Protocolos Criptográficos

Este tipo de ataques no pretenden encontrar la clave secreta para poder conocer el mensaje en claro, sino que buscan obtener la información vulnerando los protocolos criptográficos, es decir, pretenden burlar la serie de pasos establecidos para alcanzar los objetivos de seguridad y que tienen que ser realizados por las entidades involucradas en cierta comunicación. Ejemplos de este tipo de ataques son los siguientes:

-ATAQUE CON CLAVE CONOCIDA

El atacante conoce claves utilizadas en cifrados anteriores y con base en ellas intenta determinar nuevas claves.

-SUPLANTACIÓN DE PERSONALIDAD

El atacante asume la identidad de uno de los agentes autorizados en la red, y de esta manera obtiene libremente y sin tropiezos todos los mensajes en claro.

-COMPILACIÓN DE UN DICCIONARIO

Un diccionario es un archivo guardado en la memoria de la computadora que contiene contraseñas cifradas de los usuarios autorizados en el sistema. Si el método de cifrado con que se cifran las claves es público, el atacante puede generar claves aleatorias y después cifrarlas con el objeto de encontrar alguna contenida en el diccionario (previamente obtenido). Cuando una clave generada por el atacante coincide con una contenida en el diccionario, se ha encontrado una clave de acceso al sistema, mediante el usuario correspondiente a la clave encontrada.

3.2.1 Presentación formal y estructurada de problemas, algoritmos, estándares y protocolos criptográficos, uso y aplicación en entornos reales

Protocolos Criptográficos

Un protocolo de seguridad (también llamado protocolo criptográfico o protocolo de cifrado) es un protocolo abstracto o concreto que realiza funciones relacionadas con la seguridad, aplicando métodos criptográficos.

Un protocolo describe la forma en que un algoritmo debe usarse. Un protocolo lo suficientemente detallado incluye detalles acerca de las estructuras de datos y representaciones, punto en el cual puede usarse para implementar versiones interoperables múltiples de un programa.

Los protocolos criptográficos se usan ampliamente para transporte de datos seguros a nivel de aplicación. Un protocolo criptográfico comúnmente incorpora por lo menos uno de los siguientes aspectos:

-Establecimiento de claves

- Autenticación de entidades

- Cifrado simétrico y autenticación de mensajes

- Transporte de datos en forma segura a nivel de aplicación

Hay otros tipos de protocolos criptográficos también e incluso el término mismo tiene varias interpretaciones distintas.

Los protocolos criptográficos de aplicación usan a menudo uno o más métodos de acuerdo de claves, a los cuales a veces se los llama “protocolos criptográficos”.

Principio criptográfico 1: Los mensajes deben contener alguna redundancia

Al desencriptar un mensaje, el destinatario debe tener la capacidad de saber si es válido con sólo inspeccionarlo y tal vez realizando un cálculo simple.

Esta redundancia es necesaria para evitar que intrusos activos envíen basura y engañen al receptor para que descifre la basura y realice algo con el “texto llano”.

Sin embargo, esta misma redundancia simplifica en gran medida la violación del sistema por parte de los intrusos pasivos.

Actualización

Es que se deben tomar medidas para asegurar que cada mensaje recibido se verifique a fin de saber si está actualizado, es decir, que se haya enviado muy recientemente. Esta medida es necesaria para evitar que intrusos activos reproduzcan mensajes antiguos.

Cifrados por sustitución

En un cifrado por sustitución, cada letra o grupo de letras se reemplazan por otra letra o grupo de letras para disfrazarla.

El sistema general de sustitución de símbolo por símbolo se llama sustitución monoalfabética, siendo la clave la cadena de 26 letras correspondiente al alfabeto completo.

Cifrados por transposición

Los cifrados por sustitución conservan el orden de los símbolos de texto llano, pero los disfrazan.

Los cifrados por transposición, en contraste, reordenan las letras pero no las disfrazan.

Rellenos de una sola vez

Este método, conocido como relleno de una sola vez, es inmune a todos los ataques actuales y futuros sin importar cuánta potencia computacional tenga el intruso. La razón se deriva de una teoría de la información: simplemente no hay información en el mensaje debido a que todos los textos llanos posibles de una longitud dada son parecidos.

Firmas de clave simétrica

Firmas de clave pública

-Protocolos Criptográficos y Estándares

La criptografía funciona en varios niveles. En un nivel se encuentran algoritmos tales como el cifrado de bloques simétrico y los algoritmos de llave pública. Construyendo sobre estos se obtienen protocolos, y construyendo sobre los protocolos se obtienen aflicciones (u otros protocolos).

No es suficiente estudiar la seguridad de los algoritmos de base solamente, como tampoco las debilidades en un protocolo o aplicación de más alto nivel se pueden traducir en cuan insegura es una aplicación o que tan bueno es el algoritmo criptográfico de base.

El análisis de los protocolos es generalmente difícil porque las aplicaciones que implementan dichos protocolos pueden conducir a problemas adicionales. De esa manera un buen protocolo no es suficiente, se debe tener una buena y robusta implantación.

A continuación se mencionan varios protocolos bien conocidos:

-DomainName Server Security (DNSSEC): es el protocolo para servicios de distribución de nombres seguros. Está definido en RFC 3007 y RFC 3008.

-Generic Security Services API (GSSAPI): GSSAPI provee una interface de autenticación, intercambio de claves y encripción para diferentes algoritmos de encripción y sistemas. Está definido en RFC 2743.

-Secure Socket Layer (SSL) / TransportLayer Security (TLS): SSL es uno de los dos protocolos para conexiones WWW seguras (el otro es SHTTP). La seguridad WWW se ha vuelto importante con el incremento de información sensible, como números de tarjeta de crédito, que se transmite sobre Internet.

-SecureHypertext Transfer Protocol (SHTTP) - Protocolo de transferencia de Hipertexto seguro): el protocolo de transferencia segura de hipertexto es otro que provee más seguridad a las transacciones WWW. Es mucho más flexible que SSL, pero debido a la posición dominante que tenia Netscape en el mercado SSL/TSL está en una posición muy fuerte. SHTTP está definido en RFC 2660.

Aplicaciones de la criptografía

La criptografía es una disciplina con multitud de aplicaciones, muchas de las cuales están en uso hoy en día. Entre las más importantes destacamos las siguientes:

-Seguridad de las comunicaciones. Es la principal aplicación de la criptografía a las redes de computadores, ya que permiten establecer canales seguros sobre redes que no lo son.

-Identificación y autentificación. Gracias al uso de firmas digitales y otras técnicas criptográficas es posible identificar a un individuo o validar el acceso a un recurso en un entorno de red con más garantías que con los sistemas de usuario y clave tradicionales.

-Certificación. La certificación es un esquema mediante el cual agentes fiables (como una entidad certificadora) validan la identidad de agentes desconocidos (como usuarios reales). El sistema de certificación es la extensión lógica del uso de la criptografía para identificar y autentificar cuando se emplea a gran escala.

-Comercio electrónico. Gracias al empleo de canales seguros y a los mecanismos de identificación se posibilita el comercio electrónico, ya que tanto las empresas como los usuarios tienen garantías de que las operaciones no pueden ser espiadas, reduciéndose el riesgo de fraudes y robos.

3.3 AUTENTICACIÓN

Este servicio verifica la identidad de un agente que pretende acceder a la información. En una conexión entre dos entidades, el servicio verifica que las entidades sean quienes dicen ser, además de asegurar que un tercer individuo no pueda hacerse pasar por alguna de las entidades autorizadas y realizar una transmisión o recepción de datos.

Qué tipos de Autenticación puedo usar

Prácticamente cualquier sistema de autenticación que se nos ocurra con aquellos proveedores que te permitan usar Security Assertion Markup Language (SAML), como por ejemplo Google Apps.

SAML es un estándar para el intercambio de autenticación y autorización entre diferentes dominios de seguridad.

El proveedor SaaS que integre SAML utilizará nuestros IdP (Identity Provider) para autenticar al usuario, permitiéndonos así la integración de cualquier servicio web con nuestro propio sistema de autenticación.

Cuál es más apropiado

Había que fijar unos requisitos que permitiesen mantener un buen nivel de seguridad, pero también basados en las nuevas posibilidades que ofrecen los servicios en la nube.

-Ha de facilitar la movilidad. Una de las ventajas del cloud computing es que podemos acceder desde cualquier dispositivo que se halle en cualquier lugar.

-Otra característica relevante es que ha de ser económico, pues el ahorro de costos es también uno de los puntos fuertes de los servicios en la nube, por lo que no tiene sentido gastarnos en autenticación lo que nos ahorramos en un SaaS.

Una vez fijados, vamos a ver a continuación qué tipos de autenticación cumplen con estos requisitos.

-Basado en contraseñas

Se trata del nivel más básico e inseguro de autenticación que podemos tener. Un solo factor, que no cambia con demasiada frecuencia y que además puede ser interceptado. Además, si queremos conseguir que las contraseñas sean mínimamente fuertes tenemos que obligar al usuario a componer sus contraseñas de forma cada vez más compleja y a que las modifiquen frecuentemente. El resultado es que las cuentas se bloquean, las contraseñas expiran y todo esto genera mucho trabajo y pérdida de tiempo al personal de informática.

-Certificados digitales

Los certificados digitales podrían ser una buena opción. Incluyen dos factores (poseer el certificado y saber el PIN de acceso a él), incluso tres, si usamos un lector de huellas.

El problema es que un certificado y su clave privada tienen que estar en algún sitio almacenados. Si está en el repositorio de claves del sistema operativo, dependemos del ordenador en el que esté. Si se encuentra en una tarjeta inteligente, dependemos de que el ordenador donde vayamos a usarla tenga lector para tarjetas.

-Tokens hardware'

Los tokens en hardware son esos dispositivos con forma de llavero o de tarjeta que nos muestran un número diferente cada cierto tiempo.

Para autenticarte has de introducir un PIN previamente memorizado. Tenemos dos factores de autenticación y además no tenemos que conectar el token a ningún dispositivo, por lo que es un sistema que facilita mucho la movilidad. Sería perfecto si no fuera por los costos. Y, sobre todo, no debido a los costes del dispositivo en sí, sino a los que ocasionan las continuas pérdidas y olvidos de estos dispositivos por parte de los usuarios.

-'Tokens software'

El sistema es prácticamente igual que el mencionado anteriormente, salvo que el OTP (On-Time Password) se genera en una aplicación que se ejecuta en un smartphone. Cumplimos con dos factores también, y es bastante común que los usuarios tengan móvil, de modo que no supone un costo adicional. Tampoco afecta a la movilidad, por lo que son sistemas bastante interesantes.

-Códigos SMS

Este sistema es el preferido por los bancos. Cuando queremos acceder, indicamos usuario y contraseña y se nos envía un SMS con un código que hemos de introducir para continuar.

No hay costos de dispositivos, no es necesario un móvil inteligente y los SMS son baratos. Podrían considerarse dos factores, ya que es un código que se envía a un teléfono (algo propio) y previamente se ha introducido en la web la contraseña.

3.4 Seguridad operativa

La gestión de los servicios de seguridad con monitorización, protección, escalabilidad y respuesta en tiempo real. Incluye la generación y notificación de alarmas, procedimientos escalables en caso de intrusiones, informes mensuales y recomendaciones, así como asesoramiento en todo lo relacionado con las políticas de seguridad establecidas.

Beneficios del servicio:

· Gestión centralizada y continua de la infraestructura de seguridad.

· Permite a las compañías centrar sus recursos TIC en el negocio, reduciendo así el Costo Total

· Logramos los niveles de seguridad objetivo.

· Políticas de Seguridad: Utilizando las mejores prácticas (ISO 27001) proveemos la administración centralizada de soluciones de seguridad, incluyendo IPS, antivirus, antispam, Cortafuegos.

· Monitoreo de Seguridad: Servicio que reacciona frente a incidentes de seguridad reportados por las herramientas de monitoreo de seguridad y de análisis de vulnerabilidades.

· Administración de Seguridad: Permite conocer, evaluar y, proponer controles para los riesgos identificados en los activos que están involucrados en la entrega del servicio.

La seguridad operacional consiste en las diferentes políticas y procedimientos implementados por la administración de la instalación computacional.

Este siempre ha sido un tema complicado porque cada organización es distinta y no hay un acuerdo sobre la mejor manera de organizar un área de seguridad informática en una empresa.

Existen diversas funciones que debe desempeñar un área de seguridad informática y éstas se pueden agrupar de la siguiente manera:

- Administración del presupuesto de seguridad informática
- Administración del personal
- Definición de la estrategia de seguridad informática (hacia dónde hay que ir y qué hay que hacer) y objetivos
- Administración de proyectos
- Detección de necesidades y vulnerabilidades de seguridad desde el punto de vista del negocio y su solución

El líder es quien define, de forma general, la forma de resolver y prevenir problemas de seguridad con el mejor costo beneficio para la empresa.

Normatividad

Area responsable de la documentación de políticas, procedimientos y estándares de seguridad así como del cumplimiento con estándares internacionales y regulaciones que apliquen a la organización. Dado que debe interactuar de forma directa con otras áreas de seguridad

Operaciones

Es el área a cargo de llevar a cabo las acciones congruentes con la estrategia definida para lograr los objetivos del área.

Entre sus responsabilidades se encuentran:

-Implementación, configuración y operación de los controles de seguridad informática (Firewalls, IPS/IDS, antimalware, etc.)
- Monitoreo de indicadores de controles de seguridad
- Primer nivel de respuesta ante incidentes (típicamente a través de acciones en los controles de seguridad que operan)
- Soporte a usuarios
- Alta, baja y modificación de accesos a sistemas y aplicaciones
- Gestión de parches de seguridad informática (pruebas e instalación)

Supervisión

Area responsable de verificar el correcto funcionamiento de las medidas de seguridad así como del cumplimiento de las normas y leyes correspondientes (en otras palabras, brazo derecho del área de normatividad). Entre sus responsabilidades se encuentran:

-Evaluaciones de efectividad de controles
- Evaluaciones de cumplimiento con normas de seguridad
- Investigación de incidentes de seguridad y cómputo forense (2° nivel de respuesta ante incidentes)
- Atención de auditores y consultores de seguridad

Noten que las actividades de monitoreo las realiza el área de operaciones y no el área de supervisión. Esto es porque el monitoreo se refiere a la vigilancia del estado de la seguridad de la empresa a través de los controles, pero las actividades del área de supervisión se limitan a la vigilancia de las actividades de seguridad que realizan otras áreas.

La Seguridad Informática (IT Security)

Se describe como la distinción táctica y operacional de la Seguridad, mientras la Seguridad de la Información (Information Security) sería la línea estratégica de la Seguridad.

Seguridad Informática, esta disciplina se encargaría de las implementaciones técnicas de la protección de la información, el despliegue de las tecnologías antivirus, firewalls, detección de intrusos, detección de anomalías, correlación de eventos, atención de incidentes, entre otros elementos, que—articulados con prácticas de gobierno de tecnología de información—establecen la forma de actuar y asegurar las situaciones de fallas parciales o totales, cuando la información es el activo que se encuentra en riesgo.

Seguridad de la Información es la disciplina que nos habla de los riesgos, de las amenazas, de los análisis de escenarios, de las buenas prácticas y esquemas normativos, que nos exigen niveles de aseguramiento de procesos y tecnologías para elevar el nivel de confianza en la creación, uso, almacenamiento, transmisión, recuperación y disposición final de la información

Information Security sería la disciplina que encargaría de proporcionar evaluar el riesgos y las amenazas, trazar el plan de acción y adecuación para minimizar los riesgos, bajo normativa o buenas prácticas con el objetivo de asegurar la confidencialidad, integridad y disponibilidad en el manejo de la información (activos).

3.4.1 Ataque contra redes TCP/IP, mecanismos de prevención, protección, Administración de servidores, seguridad pasiva y activa, configuración de servicios

Ataques a redes TCP/IP Previa la realización a un ataque es necesario conocer el objetivo del ataque.

Para realizar esta primera fase es necesario obtener la mayor información posible del equipo u organización a ser atacada.

Ataques a redes TCP/IP Existen técnicas más avanzadas que permiten extraer información más precisa de un sistema o de una red en concreto. La utilización de estas técnicas se conoce con el nombre de ﬁngerprinting, es decir, obtención de la huella identiﬁcativa de un sistema o equipo conectado a la red.

*Ataques Contra Redes TCP/IP

Capa de red: Es vulnerable a ataques a las líneas punto a punto: desvío de cables de conexión, interceptación intrusiva (pinchar la línea), escuchas no intrusivas, etc.
Capa de internet: Es vulnerable a ataques con técnicas de sniffing, la suplantación de mensajes, modificación de datos, retrasos de mensajes y negación de mensajes.
Capa de transporte: El ataque más conocido en esta capa es la denegación de servicio debidas a protocolos de transporte.
Capa de aplicación: Presenta varias deficiencias de seguridad asociadas a sus protocolos, debido al gran número de protocolos definidos en esta capa, la cantidad de deficiencias es superior al resto de las capas.

Actividades previas a la realización de un ataque

Previamente a la planificación de un posible ataque contra uno o más equipos de una red TCP/IP, es necesario conocer el objetivo que hay que atacar, para obtener toda la información posible, será necesario utilizar una serie de técnicas.

• Utilización de herramientas de administración. Que es la utilización de todas aquellas aplicaciones de administración que permitan la obtención de información de un sistema como, por ejemplo: ping, traceroute, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, etc.

• Búsqueda de huellas identificativas. La utilización de estas técnicas se conoce como el nombre de fingerprinting, es decir, obtención de la huella identificativa de un sistema o equipo conectado a la red.

• Explotación de puertos. Puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida. Con esta información, el atacante podría realizar posteriormente una búsqueda de exploits, que le permitieran un ataque de intrusión en el sistema analizado.

Fragmentación IP

El protocolo IP es el encargado de seleccionar la trayectoria que deben seguir los datagramas IP. No garantiza el control de flujo, la recuperación de errores ni que los datos lleguen a su destino.

Para solucionar la fragmentación fraudulenta, es necesaria la implementación del proceso de fragmentación y re ensamblado en dispositivos de prevención y detección.

Ataques de denegación de servicio

Un ataque de denegación de servicio es un incidente en el cual un usuario o una organización es privada de los servicios de un recurso que esperaba obtener. Normalmente, la pérdida de un servicio se corresponde con la imposibilidad de obtener un determinado servicio de red como, por ejemplo, acceso a una pagina web.

Los ataques de denegación de servicio pueden ser provocados tanto por usuarios internos en el sistema como por usuarios externos. Dentro del primer grupo podríamos pensar en usuarios con pocos conocimientos que pueden colapsar el sistema o servicio inconscientemente.

Por ejemplo, usuarios que abusan de los recursos del sistema, ocupando mucho ancho de banda en la búsqueda de archivos de música o de video.

El segundo grupo se encuentra en aquellos usuarios que han conseguido acceso al sistema de forma ilegitima, falseando además la dirección de origen con el propósito de evitar la detección del origen real del ataque.

El peligro de los ataques de denegación de servicio viene dado por su independencia de plataforma. Como sabemos, el protocolo IP permite una comunicación homogénea a través de espacios heterogéneos.

Mecanismos de Prevención

Sistemas cortafuegos (firewalls)

Los sistemas cortafuegos son un mecanismo de control de acceso sobre la capa de red. La idea básica es separar nuestra red de los equipos del exterior.

Un cortafuegos es aquel sistema de red expresamente encargado de separar redes informáticas, efectuando un control de tráfico entre ellas.

Este control consiste, en última instancia, en permitir o denegar el paso de la comunicación de una red a otra mediante el control de los protocolos TCP/IP.

A la hora de instalar y configurar un sistema cortafuegos en nuestra red, debemos tener presente lo siguiente:

Todo el tráfico que sale del interior hacia el exterior de la red que se quiere proteger, y viceversa, debe pasar por el cortafuegos.
Solo el tráfico autorizado, definido en las políticas de seguridad locales del sistema, podrá traspasar el bloqueo.
El propio cortafuegos debe estar protegido contra posibles intrusiones. Esto implica el uso de un sistema operativo de confianza con suficientes garantías de seguridad.

Construcción de sistemas cortafuegos

En el sentido más general, un sistema cortafuegos consta de software y hardware. El software puede ser propietario, por otro lado el hardware podrá ser cualquiera que pueda soportar este software.

Actualmente, tres de las tecnologías más utilizadas al hora de construir sistemas cortafuegos son las siguientes:

-Encaminadores con filtrado de paquetes. Que encamina el tráfico TCP/IP sobre la base de una serie de reglas de filtrado que deciden qué paquetes se encaminan a través suyo y cuales se descartan.

- Pasarelas a nivel de aplicación. Conocida también como servidor intermediario (proxy), no encamina paquetes a nivel de red sino que actúa como retransmisor a nivel de aplicación. Los usuarios de la red contactarán con el servidor intermediario, que a su vez estará ofreciendo un servicio proxy asociado a una o más aplicaciones determinadas.

Características adicionales de los sistemas cortafuegos

Por el hecho de situarse en un punto de choque, los sistemas cortafuegos pueden ofrecer otras funciones interesantes:

-Filtrado de contenidos.

-Red privada virtual.

-Traducción de direcciones de red.

-Balanceo de carga.

-Tolerancia de fallos.

-Detección de ataques y fallos.

-Autentificación de usuarios.

Mecanismos de Protección

Aquí entra La Criptografía estudia, desde un punto de vista matemático, los métodos de protección de la información. Por otro lado, el criptoanálisis estudia las posibles técnicas utilizadas para contrarrestar los posibles métodos criptográficos, y es de gran utilidad para ayudar a que estos sean más robustos y difíciles de atacar. El conjunto formado por estas dos disciplinas, criptografía y criptoanálisis, se conoce como criptología.

Los principales sistemas criptográficos utilizados en la protección de información son:
Criptografía de clave simétrica. Se caracteriza por que la clave de descifrado x es idéntica a la clave de cifrado k.
Criptografía de clave pública. Se utilizan claves distintas para el cifrado y descifrado.
Infraestructura de clave pública (PKI). Hace uso de certificados de clave pública para el descifrado, estos son certificados digitales que constan de: Una identificación de usuario, el valor de clave pública para ese usuario y la firma de las dos anteriores.

Sistemas de autenticación

Uno de los servicios de seguridad que se requiere en mucha aplicaciones es el de la autenticación.

Podemos distinguir dos tipos de autenticación:

-La autenticación de mensaje o autenticación de origen de datos, permite confirmar que el originador A de un mensaje es auténtico, es decir, que el mensaje no ha sido generado por un tercero Z. Como efecto adicional, la autenticación del mensaje proporciona implícitamente el servicio de integridad de datos, que permite confirmar que nadie ha modificado un mensaje enviado por A.

- La autenticación de entidad permite confirmar la identidad de un participante A en una comunicación, es decir, que no se trata de un tercero Z que dice ser A.

Los servicios de seguridad que proporcionan los protocolos SSL/TLS son:

-Confidencialidad.

-Autenticación de entidad.

-Autenticación de mensaje.

-Mejora de la eficiencia en la comunicación.

-Extensibilidad, al inicio de cada sesión, el cliente y el servidor negocian los algoritmos que utilizaran para el intercambio de claves, la autenticación y el cifrado, pero dejan abierta la posibilidad de añadir la posibilidad de añadir nuevos algoritmos si descubren que son más seguros o eficientes.

Protección, Administración de servidores

Aislamiento de servidor y dominio. En una red basada en Microsoft Windows, los administradores pueden aislar lógicamente los recursos de servidor y dominio para limitar el acceso a equipos autenticados y autorizados. Este aislamiento evita que equipos y programas no autorizados obtenga acceso a recursos de manera inapropiada .las solicitudes de equipos que no son parte de la red aislada se ignoran. Especificaciones de gran valor, asa como proteger a equipos administrativos de equipo y usuarios no administrativos de equipos y usuarios no administradores o invasores.

AVG File Server Edition, nuestra galardonada solución antivirus para servidores Windows diseñada especialmente para las pequeñas empresas. Diseñada para evitar amenazas en línea y proteger los servidores de archivos de Microsoft Windows.

https://books.google.com.mx/books?id=4FcuYxCbPioC&pg=PA8&dq=protecci%C3%B3n,+Administraci%C3%B3n+de+servidores&hl=es-419&sa=X&ei=MRNAVYLaIsGlsAXd_YCIDQ&ved=0CCQQ6AEwAA#v=onepage&q&f=false

Seguridad pasiva y activa

La seguridad pasiva está constituida por el conjunto de medidas que se implementan con el fin la recuperación del sistema. A estas medidas podemos llamar las de corrección.

Un ejemplo que pueda aclarar el concepto de seguridad aunque al margen del ámbito de los sistemas informáticos podrá ser seguridad en carrera, cuando lo que se puede es reducir el riesgo de lesiones y de mute de las personas ocupantes de un vínculo que ha sufrido un accidente .A algunas de las medidas de seguridad pasivas en vehículos son los cinturones de seguridad.

La seguridad pasiva se aplica tanto al elemento físico del sistema d información inclusive a las habitaciones plantas o edificios en donde esté ubicado como a los sistemas pueden sufrir incidentes de seguridad y por tanto necesitan medidas d reparaciones y recuperaciones.

SEGURIDAD ACTIVA

Los mecanismos procedimientos que permiten prevenir y detectar riesgos para la seguridad del sistema activa se aplican a la parte física y ala parte logita del sistema de información y en todo caso pueden ser físicos y lógicos.

Al igual que los mecanismos de seguridad pasivos, los de seguridad pasiva, las seguridades activas se aplican a la parte física y ala parte lógica del sistema de información y en todo caso pueden ser físicos y lógicos.

Seguridad física y seguridad lógica

Llamáramos seguridad física a la que tiene que ver con la protección de los elementos físicos de la empresa u organización, como el hardware y el lugar donde se realizan las actividades edificio o habitación.

https://books.google.com.mx/books?id=Mgvm3AYIT64C&pg=PA30&dq=seguridad+pasiva+y+activa&hl=es-419&sa=X&ei=GBpAVYP8H8fJtQXX8IHwCA&ved=0CBsQ6AEwAA#v=onepage&q&f=false

Redes Privadas Virtuales (VPN)

Es una configuración que combina el uso de dos tipos de tecnologías:

• Las tecnologías de seguridad que permiten la definición de una red privada, es decir, un medio de comunicación confidencial que no puede ser interceptado por usuarios ajenos a la red.

• Las tecnologías de encapsulamiento de protocolos que permiten que, en lugar de una conexión física dedicada para la red privada, se pueda utilizar una infraestructura de red pública, como Internet, para definir por encima de ella una red virtual,

Por tanto, un VPN es una red lógica o virtual creada sobre una infraestructura compartida, pero que proporciona los servicios de protección necesarios para una comunicación segura.

3.5 .- SEGURIDAD EN APLICACIONES

Todos sabemos de la existencia de ciertas amenazas que en cualquier momento pueden afectar al funcionamiento de nuestras máquinas: troyanos, virus, spam y ataques por parte de hackers suelen ser los principales riesgos que pueden afectar al funcionamiento de los sistemas informáticos de cualquier empresa.

Muchas compañías tienen la creencia de que con la instalación de un antivirus es más que suficiente, sin embargo, está probado que cualquier troyano puede invadir fácilmente ese sistema y tener acceso a información sensible. Todo lo que necesita es una vulnerabilidad del software, que utilizará para conectar con la computadora y ejecutar un malware.

En concreto hay un total de cinco aplicaciones que tenemos que instalar en nuestros ordenadores: antivirus, anti-spyware, firewall, anti-spam y un navegador seguro.

Hemos seleccionado las aplicaciones de seguridad informática que los expertos no han dudado en catalogar como las mejores del año; empezamos con los antivirus:

-Kasperksy Antivirus

Es posiblemente uno de los mejores antivirus disponibles en el mercado, su capacidad para detectar virus es excelente y funciona muy bien en las distintas configuraciones en las que lo hemos probado. Hay versiones para ordenadores personales y estaciones de trabajo, lo que hace que junto a su tremenda facilidad de uso no sea un problema instalarlo en una empresa mediana. Kaspersky Antivirus es un programa muy eficiente a la hora de bloquear posibles infecciones del sistema, la versión 7.0 ha alcanzado la certificación más alta en los últimos test realizados comparando diferentes sistemas de detección de virus.

Se actualiza de manera automática, ofrece protección en tiempo real y podemos hacer scaneos a demanda. Avisa ante posibles amenazas y ofrece múltiples posibilidades de configuración. De todas formas, muchos especialistas opinan que el Kaspersky Antivirus necesita un motor más rápido a la hora de explorar el sistema, es posible que se trate de uno de los mejores antivirus que hay en el mercado.

Sophos Antivirus

Es algo menos conocido en nuestro país, pero es posiblemente de lo mejorcito que podemos encontrar. Basta decir que ha sido elegido como el más potente y eficiente antivirus que hay en el mercado.

Puede detectar y bloquear un altísimo porcentaje de amenazas desconocidas. Ha batido a alguna de las compañías más famosas y conocidas del mercado: Symantec, McAfee y Kaspersky entre ellas.

Y es que Sophos Antivirus es una de esas soluciones capaces de satisfacer a los usuarios más exigentes y a aquellos que tienen en sus discos información extremadamente importante.

La aplicación incluye algunas herramientas para configurar un sistema seguro: desde la típica actualización con las últimas definiciones de virus, pasando por un scaneo de discos de alto nivel y otras posibilidades de configuración interesantes.

Y todo ello en un paquete de software totalmente compatible con Windows, dotado de una interfaz intuitiva y accesible a todo tipo de usuarios.

Ahora que tenéis un par de antivirus entre los que elegir, es conveniente instalar un cortafuegos; la verdad es que suena mucho mejor en inglés: firewall.

Firewall:

Es junto a Zone Alarm los cortafuegos más interesantes del mercado. Disponible de manera gratuita dispone de todas las características necesarias para proteger nuestro PC. El interfaz gráfico está muy cuidado hasta el punto de que los usuarios menos experimentados podrán manejarlo sin problemas.

Entre sus características está la de configurar la seguridad de la red, el funcionamiento del firewall, los ajustes para detección de ataque, el propio comportamiento del cortafuegos y muchas otras funciones están implementadas en un programa necesario. Quizá lo peor es lo escandaloso que resulta cada vez que instalamos alguna nueva aplicación en nuestro ordenador personal.

Este cortafuegos tienen todas las características imprescindibles para un programa de este tipo: zonas seguras en Internet, panel de control, monitorización del funcionamiento del antivirus, protección para las cuentas de correo… El interfaz resulta atractivo y se pude controlar su uso en tiempo real.

El Spam:

Es un problema para todos y cada uno de nosotros, continuamente la bandeja de entrada de nuestros email se llena con esa basura. Los expertos en el tema estiman que el noventa por ciento del tráfico total que genera el correo electrónico es Spam. Millones y millones de mensajes basura corren por la red. Desde este punto de vista, cualquier empresa debería tener instalado un filtro anti-spam (tened en cuenta que la mayoría de los mensajes no solicitados vienen con regalos en forma de troyanos, scams phising y otros “juguetes” con malas intenciones).

3.5.1 PLATAFORMA INFORMATICA, APLICACIONES EN LA BD, ATAQUES INFORMATICOS, FALLAS EN LA SEGURIDAD DE APLICACIONES, CONFIGURACION DE COOKIES, APLICACIONES SEGURAS

La Plataforma de Informática es una plataforma de integración de datos completa, abierta, unificada y rentable que permite a las organizaciones maximizar la rentabilidad de los datos al aumentar su valor y disminuir su coste.

La Plataforma de Informatica admite funciones tanto para el negocio en general como para el departamento de IT en concreto con el objetivo de garantizar una colaboración más estrecha en el manejo de todo tipo de proyectos de alto consumo de datos. Ha sido concebida para funcionar con todos los sistemas y procesos que las organizaciones tienen en la actualidad o que puedan agregar en el futuro.

Proporciona las funcionalidades cruciales para permitir a las organizaciones manejar el volumen, la variedad y la complejidad del Big Data.

Diseñada para promover la estandarización y reutilización, la Plataforma de Informatica es la solución perfecta para organizaciones de IT cuyo objetivo es "hacer más con menos". Les permite gestionar las necesidades inmediatas de los proyectos con la máxima productividad y el mínimo costo, y adaptarse rápidamente para abordar otros proyectos, tal como el negocio exige.

Las aplicaciones de base de datos

Son programas de software diseñados para recoger, gestionar y difundir información de manera eficiente.

Microsoft "Access" y "FileMaker Pro". "Oracle", "SQL Server"y "FoxPro" son ejemplos de aplicaciones de bases de datos avanzadas, con los lenguaje de programación que se puede utilizar para crear soluciones de negocios personalizadas en entornos de red.

EL PROPOSITO DE LAS BD

Las aplicaciones de bases de datos se utilizan para buscar, ordenar, calcular, informar y compartir información. Las bases de datos pueden contener códigos para realizar cálculos matemáticos y estadísticos de los datos, para así apoyar las consultas enviadas por los usuarios. Estas aplicaciones proporcionan seguridad, a partir de la restricción del acceso a datos basada en nombres de usuario y contraseñas. La mayoría de ellas pueden ser personalizadas con un lenguaje de programación de base de datos que automatice determinados tipos de trabajo.

Los sistemas de contabilidad son aplicaciones de base de datos personalizadas que se utilizan para gestionar información financiera. Los formularios personalizados se utilizan para llevar un registro de activos, pasivos, del inventario y de las transacciones entre clientes y proveedores.

Los resúmenes de resultados, balances, órdenes de compra y facturas generadas son informes personalizados basados en la información que se introduce en la base de datos. Las aplicaciones contables pueden ser ejecutadas en una sola computadora que sea adecuada para una pequeña empresa o en un entorno compartido de red, para poder suplir las necesidades de múltiples departamentos y ubicaciones en organizaciones más grandes. "Microsoft Money", "Quicken, "QuickBooks" y "Peachtree" son sistemas de contabilidad construidos sobre aplicaciones de base de datos.

Un sistema de gestión de relaciones con clientes (CRM, por sus siglas en inglés) es otro ejemplo de aplicaciones de base de datos personalizadas para gestionar el marketing, las ventas y las relaciones de apoyo entre una empresa y sus clientes. Sus objetivos finales son la maximización de las ventas, reducción de los costos y el fomento de las relaciones con clientes estratégicos. Los programas de gestión de contactos simples, como "ACT" o el administrador de tareas del "Outlook" de Microsoft pueden ser personalizados para adaptarse a las necesidades de los individuos y las pequeñas empresas. "SAP", "Salesforce.com", y "Siebel" de Oracle son aplicaciones robustas de bases de datos CRM adecuadas para las grandes empresas.

Muchos sitios web actuales se constituyen de varias aplicaciones de bases de datos como componentes principales. La mayoría de los sitios web de venta minorista, como los sistemas de “Bestbuy.com" y "Amazon.com" utilizan bases de datos para almacenar, actualizar y presentar datos acerca de los productos a la venta.

ATAQUES INFORMATICOS

Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera).

Existen diferentes tipos de softwares maliciosos que son utilizados como ataques a la información de las organizaciones. Éstos se clasifican en Malwares y Grayware.

Qué son los Malwares

Es un tipo de software que tiene como propósito infiltrarse y dañar una computadora o sistema de información sin el consentimiento de los propietarios.

Los malwares son considerados en función de los efectos que provoquen, incluyendo diferentes tipos como son:

-Virus y Gusanos:

Éstos, son los tipos más conocidos de software maligno que existen y se distinguen por la manera en que se propagan. El término de virus informático se usa para designar un programa que al ejecutarse se propaga infectando otro software ejecutable de la misma computadora

Los gusanos son programas que se transmiten así mismos, explotando vulnerabilidades en una red de computadoras para infectar otros equipos. Su principal objetivo, es infectar a la mayor cantidad posible de usuarios y también puede contener instrucciones dañinas al igual que los virus. A diferencia que los gusanos, un virus necesita la intervención del usuario para propagarse, mientras que los gusanos se propagan automáticamente.

-Backdoor o Puerta Trasera: Es un método para eludir los procedimientos habituales de autenticación al conectarse en una computadora. Una vez que el sistema ha sido comprometido, puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro de los atacantes. Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, permaneciendo ocultos ante posibles inspecciones, utilizando troyanos, gusanos u otros métodos.

-Rootkits: Es un software que modifica el sistema operativo de la computadora, para permitir que el malware permanezca oculto al usuario, evitando que el proceso malicioso sea visible en el sistema.

-Troyanos: Es un software malicioso que permite la administración remota de una computadora de forma oculta y sin el consentimiento del propietario. Generalmente están disfrazados como algo atractivo o inocuo que invitan al usuario a ejecutarlo. Pueden tener un efecto inmediato y tener consecuencias como el borrado de archivos del usuario e instalar más programas maliciosos. Son usados para empezar la propagación de un gusano, inyectándolo de forma local dentro del usuario.

-Hijackers: Son programas que realizan cambios en la configuración del navegador web, cambiando la página de inicio por páginas con publicidad, pornográficas u otros re direccionamientos con anuncios de pago o páginas de phishing bancario.

-Keyloggers y Stealers: Estos programas están encaminados al aspecto financiero, la suplantación de personalidad y el espionaje. Los Keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para realizar operaciones fraudulentas como son pagos desde cuentas de banco o tarjetas de crédito. La mayoría de estos sistemas son usados para recopilar contraseñas de acceso, espiar conversaciones de chat u otros fines.

Los Stealers también roban información privada pero solo la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados y si tienen contraseñas recordadas, por ejemplo en los navegadores web la descifran.

Grayware o greynet

Los Grayware o greynet son software maliciosos que no son tan peligrosos como los malwares. Suelen utilizarse para clasificar las aplicaciones o programas de cómputo y se instalan sin la autorización de los usuarios.

Los tipos de Grayware que existen son:

-Adware: Son programas que automáticamente se ejecutan y muestran publicidad web, después de instalar el programa o mientras se está utilizando la aplicación “Ad”, que se refiere a “advertisement” (anuncios) en idioma inglés.

-Dialers: Son programas maliciosos que toman el control del módem, realizan una llamada a un número de teléfono de tarificación especial, muchas veces internacional, y dejan la línea abierta cargando el costo de dicha llamada al usuario infectado. La forma más habitual de infección suele ser en páginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexión telefónica. Suelen utilizar como señuelos videojuegos, salva pantallas, pornografía u otro tipo de material. Actualmente la mayoría de las conexiones a Internet son mediante ADSL y no mediante módem, lo cual hace que los Dialers ya no sean tan populares como en el pasado.

-Spyware: Son creados para recopilar información sobre las actividades realizadas por un usuario, obteniendo datos sobre los sitios web que visita, direcciones de email a las que después se envía spam. La mayoría de los programas son instalados como troyanos. Otros programas spyware recogen la información mediante cookies de terceros o barras de herramientas instaladas en navegadores web. Generalmente se presentan como programas que muestran publicidad o ventanas emergentes (pop-up) que son aceptadas de forma involuntaria, afectando los sistemas del usuario.

Las cookies

Son archivos de texto que se graban en el equipo para facilitar, las preferencias de navegación, los datos de registro de una cuenta determinada (dirección de correo, nombre de usuario y contraseña), la fecha y hora de conexión a la página web, los contenidos visitados. Cuando vuelves a conectarte a la misma página, la cookie se actualiza en tu ordenador, y la anterior se transmite al servidor, para poder comparar y realizar estadísticas de tus visitas. Fueron creadas como medida para beneficiar al usuario (ofrecer un servicio personalizado, y liberarle de tareas de identificación), aunque a quienes verdaderamente benefician es al anunciante, que puede recabar mucha información sobre los hábitos de los visitantes, y enviarles publicidad “a la carta”.

Las cookies:

-No identifica a una persona, sino a una combinación de computador-navegador-usuario.Ocupan espacio en tu disco duro, hasta un límite de 4 kb por cookie, y un máximo de 300 cookies, número a partir del cual se borrará la más antigua.

-No puede contagiar un virus al ordenador (no son archivos ejecutables, sino de texto); no puede extraer datos de tu disco duro ni conseguir tu dirección de email. El servidor no puede tener acceso a tu ordenador por medio de las cookies. No pueden ser leídas ni editadas por ningún otro ordenador que no sea el que visitó la web (dejando aparte los temidos agujeros existentes en los distintos navegadores).

-Es el navegador quién las graba. Puedes configurar tu navegador para que las rechace o, cuando menos, para que te pregunte qué acción llevar a cabo (admitirlas, rechazarlas, o pedir más información). El problema es que algunas páginas web obligan a aceptarlas para que se puedan ver.

Las cookies

Son pequeños ficheros usados por los sitios web para almacenar información en tu ordenador (como información para iniciar sesión automáticamente y las preferencias de un sitio).

3.6 INFORMATICA FORENSE

Qué es la Informática Forense

Es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.

La informática forense hace entonces su aparición como una disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital que se pudiese aportar

Dentro de lo forense encontramos varias definiciones:

- Computación forense (computer forensics) que entendemos por disciplina de las ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso; o como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos.

-Forensia en redes (network forensics) Es un escenario aún más complejo, pues es necesario comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento específico en el tiempo y un comportamiento particular.

Importancia de la Informática

Con esta frase podemos ver cómo poco a poco los crímenes informáticos, su prevención, y procesamiento se vuelven cada vez más importantes. Esto es respaldado por estudios sobre el número de incidentes reportados por las empresas debido a crímenes relacionados con la informática.

Sin embargo, la importancia real de la informática forense proviene de sus objetivos.

Objetivos de la Informática Forense

1. La compensación de los daños causados por los criminales o intrusos.

2. La persecución y procesamiento judicial de los criminales.

3. La creación y aplicación de medidas para prevenir casos similares.

Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia.

Usos de la Informática Forense

1. Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil.

2. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense.

3. Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones.

4. Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial.

5. Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva.

Ciencia Forense La ciencia forense

Nos proporciona los principios y técnicas que facilitan la investigación del delito criminal, en otras palabras: cualquier principio o técnica que puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigación criminal forma parte de la ciencia forense.

Los principios científicos que hay detrás del procesamiento de una evidencia son reconocidos y usados en procedimientos como:

• Recoger y examinar huellas dactilares y ADN.

• Recuperar documentos de un dispositivo dañado.

• Hacer una copia exacta de una evidencia digital.

• Generar una huella digital con un algoritmo de un texto para asegurar que este no se ha modificado

. • Firmar digitalmente un documento para poder afirmar que es auténtico y preservar la cadena de evidencias.

3.6.1 Cybercrimen, recuperación de información, análisis forense, metodología, situación legal, ejemplos de aplicación, herramientas, aspectos legales en computación forense, atención de incidentes de seguridad, estándares internacionales, evidencia digital

Es cualquier acto ilegal que se comete a través de computadoras, como robo de identidad, acceso no autorizado a sistemas, cambio de información, estafas, robo de dinero; hasta crimen organizado que utiliza medios electrónicos para delinquir (pornografía infantil, trasiego de personas, etc.)”. El más común es el uso de los virus que pueden borrar, desaparecer, descomponer y/o facilitar el acceso de los criminales a la información personal.

- Son un conjunto de actividades ilegales asociadas con el grupo de tecnologías de la información, especialmente en Internet.

- También está definido como un acto ilegal que involucra una computadora, sus sistemas o sus aplicaciones

Ejemplos de Cibercrimen

-Robo de propiedad intelectual
- Daño de las redes de servicio de una compañía
- Fraude financiero
- Penetraciones de los hackers en los sistemas
- Ataques de negación de servicios
- Implantación de virus o gusanos
- Extorsiones

Razones de ciber-ataque

-Experimentación y deseo de aprender
- Confianza equivocada en otros individuos
- Venganza
- Deseo de avergonzar al blanco del ataque
- Espionaje corporativo y/o gubernamental
- Razones psicológicas
- Financiero

Cibercriminales

Pocos años atrás, los programas malignos se limitaban al “ciber-vandalismo”, una forma de expresión antisocial que irrumpía en los PCs causando diversos daños.

Pocos de ellos, no obstante, estaban diseñados con este fin, aunque inevitablemente se producían daños colaterales en los archivos o dejaban el equipo inservible. La mayoría de las amenazas en esta época consistían en virus y gusanos.

Los criminales se sirven del anonimato que la red otorga para, mediante códigos maliciosos, acceder a los equipos y robar dinero o datos confidenciales como contraseñas, logins, códigos PIN, etc.

Las amenazas del cibercrimen incluyen virus, gusanos, troyanos, ataques de hackers, phishing, etc. Estas amenazas no sólo son cada día más sofisticadas, es que además su número crece exponencialmente.

Individuos involucrados con el cibercrimen:

-Hacker Blanco
Busca los bug’s de los sistemas informáticos, dando a conocer a las empresas desarrolladoras de software sus vulnerabilidades sin ánimo de perjudicar

-Hacker Negro
Busca los bug’s de los sistemas informáticos pero de forma maliciosa, buscando satisfacción personal

-Crackers
Utilizan su capacidad para romper restricciones que se encuentran protegidas

- Coders
Se dedican a hacer virus, son expertos en uno o más de un lenguaje de programación orientados a objetos

-Phreaking
Son personas con entendimientos de telecomunicaciones bastante amplio, clonación de teléfonos, etc.

-Lamer
Son los que mayor presencia tienen en la red, pretenden hacer hacking sin conocimientos de informática.

Recuperación de información

El escenario más común de "recuperación de datos" involucra una falla en el sistema operativo (típicamente de un solo disco, una sola partición, un solo sistema operativo), en este caso el objetivo es simplemente copiar todos los archivos requeridos en otro disco. Esto se puede conseguir fácilmente con un Live CD, la mayoría de los cuales provéen un medio para acceder al sistema de archivos, obtener una copia de respaldo de los discos o dispositivos removibles, y luego mover los archivos desde el disco hacia el respaldo con un administrador de archivos o un programa para creación de discos ópticos. Estos casos pueden ser mitigados realizando particiones del disco y continuamente almacenando los archivos de información importante (o copias de ellos) en una partición diferente del de la de los archivos de sistema en el sistema operativo, los cuales son reemplazables.

Otro escenario involucra una falla a nivel de disco, tal como un sistema de archivos o partición de disco que esté comprometido, o una falla en el disco duro. En cualquiera de estos casos, los datos no pueden ser fácilmente leídos. Dependiendo de la situación, las soluciones pueden estar entre reparar el sistema de archivos, la tabla de particiones o el registro maestro de cargado (MBR), o técnicas de recuperación del disco duro que van desde la recuperación basada en software de los datos corruptos a el reemplazo del hardware de un disco dañado físicamente. Si la recuperación del disco duro es necesaria, el disco de por sí típicamente ha fallado de manera permanente, y el propósito en vez de una recuperación de una sola vez, es el de rescatar cualquier dato que pueda ser leído.

En un tercer escenario, los archivos han sido "borrados" de un medio de almacenamiento. Típicamente, los archivos borrados no son realmente eliminados de inmediato; en vez de ello, las referencias a ellos en la estructura de directorios ha sido removida, y el espacio que éstos ocupan se hace disponible para su posterior sobre-escritura. En el transcurso de esto, el archivo original puede ser recuperado. Aunque hay cierta confusión acerca del término, la "recuperación de datos" puede también ser usada en el contexto de aplicaciones de informática forense o de espionaje.

Análisis forense

es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnologías de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software sino también de hardware, redes, seguridad, hacking, cracking, recuperación de información.

La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Referencias Bibliograficas

h

BIBLIOGRAFIA

http://es.kioskea.net/contents/201-introduccion-al-comercio-electronico-e-commerce

http://definicion.de/red-social/

https://gestsegplataforma.wordpress.com/2015/03/22/1-2-5-4-educacion-a-distancia/

http://www.fsc.ccoo.es/comunes/recursos/99922/doc28596_Seguridad_informatica.pdf

https://books.google.com.mx/books?id=4FcuYxCbPioC&pg=PA8&dq=protecci%C3%B3n,+Administraci%C3%B3n+de+servidores&hl=es-419&sa=X&ei=MRNAVYLaIsGlsAXd_YCIDQ&ved=0CCQQ6AEwAA#v=onepage&q&f=false

https://books.google.com.mx/books?id=Mgvm3AYIT64C&pg=PA30&dq=seguridad+pasiva+y+activa&hl=es-419&sa=X&ei=GBpAVYP8H8fJtQXX8IHwCA&ved=0CBsQ6AEwAA#v=onepage&q&f=false

http://www.ehowenespanol.com/ejemplos-ciber-crimen-lista_75708/

http://id.tudiscovery.com/el-cibercrimen-un-crimen-muy-bien-organizado/

https://www.pwc.com/gx/en/economic-crime-survey/assets/pwc-gecs-venezuela.pdf

http://cibercrimenyriesgosenfacebook.blogspot.mx/2010/06/2-que-es-cibercrimen.html

https://www.segu-info.com.ar/fisica/seguridadfisica.htm

https://www.segu-info.com.ar/proyectos/p1_protocolos-y-estandares.htm

http://www.uv.es/sto/cursos/seguridad.java/html/sjava-10.html

http://ticsyformacion.com/2013/08/13/doble-autenticacion-infografia-infographic-internet/

http://www.redseguridad.com/tecnologia/cloud-computing/buscando-el-sistema-de-autenticacion-que-mejor-se-adapta-a-la-nube

https://seguinfo.wordpress.com/2007/10/18/la-funcion-de-seguridad-informatica-en-la-empresa/

http://www.seguridadparatodos.es/2011/10/seguridad-informatica-o-seguridad-de-la.html

http://es.slideshare.net/PabloZamora2/segurida-de-redes

www.sistemas.edu.bo/mreynolds/Redes2/SEGURIDAD%20TCP-IP_1

http://www.empresayeconomia.es/aplicaciones-para-empresas/aplicaciones-de-seguridad-informatica-para-la-empresa.html

http://international.informatica.com/la/vision/a-platform-approach/

http://www.ehowenespanol.com/son-aplicaciones-base-datos-info_354000/

http://www.coreoneit.com/tipos-de-ataques-informaticos/

https://support.mozilla.org/es/kb/habilitar-y-deshabilitar-cookies-que-los-sitios-we

https://hard2bit.com/Informatica-Forense.php

http://www.altonivel.com.mx/7102-que-es-la-informatica-forense.html

http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdf

http://www.pmg-ssi.com/2015/04/iso-27001-la-gestion-del-riesgo-en-un-sgsi/

Seguridad en las Tics

jueves, 10 de diciembre de 2015

SEGURIDAD DE LAS TICS