Download Introduccion A La Auditoria de Tecnologia de Informacion...
HACKER CRAKER PHARMING
[email protected]
VULNERABILIDADES SISTEMA DE INFORMACION
¿Qu Qué é es l a segu gurr i dad en l os si stemas de i n f or ormaci maci ón ? ¿ Es asegurar los los recursos del SI de una organización, el cual incluye programas, programas, equipos e información propiamente dicha; se resguarda de esta forma los datos que se consideran importantes para que no sean vistos por cualquier persona no autorizada o dañada por cualquier elemento malicioso. malicioso.
DEFINICIONES DE SISTEMAS DE INFORMACION
DEFINICIONES DE SISTEMAS DE IINFORMACION NFORMACION
SISTEMA: Conjunto de elementos interrelacionados entre si con el objeto de SISTEMA: lograr un fin común. El todo, es el resultado del funcionamiento armónico de las partes, basta que una de las partes deje de funcionar o tenga alguna interferencia, para que no se cumpla con el objetivo de un sistema.
Video HONDA:
CARACTERISTICAS DE LOS SISTEMAS
Propósito u objetivo, todo objetivo, todo sistema debe tener un propósito, los elementos que se relacionen entre sí tratan de alcanzar un objetivo. Globalismo o totalidad, la totalidad, la entidad o empresa es un todo orgánico visto como sistema, reaccionará globalmente ante cualquier estímulo producido en cualquier parte del sistema. Entropía, los sistemas tienen la tendencia al desgaste, a la Entropía, los desintegración, cuando aumenta la entropía, los sistemas empresariales se vuelven obsoletos en el tiempo, los nuevos paradigmas remplazan a los antiguos. Homeostasis, es el equilibrio dinámico entre Homeostasis, es las partes del sistema, ante cambios del entorno empresarial, los sistemas tienden a adaptarse y alcanzar un nuevo equilibrio interno.
TIPOS DE SISTEMA En cuanto a su constitución: constitución: Sistemas Concretos o físicos, está físicos, está compuesto por los activos fijos de la empresa, los materiales, etc. tales como las máquinas, equipos, es decir el Hardware. Sistemas abstractos, está abstractos, está compuesto por planes, hipótesis, conceptos e ideas, está inmerso en el pensamiento de los trabajadores, etc., es decir es el software. En cuanto a su naturaleza: naturaleza: Sistemas cerrados, no cerrados, no tienen contacto con el medio ambiente que lo rodea, son herméticos ante cualquier influencia ambiental. Sistema abiertos, materia yabiertos, tienen energía. tienen contacto de intercambio con el ambiente en Sistema natural, (sistema natural, (sistema solar, sistema circulatorio, etc) Sistema artificial (la artificial (la empresa)
TIPOS DE SISTEMA En cuanto al comportamiento: comportamiento: Sistema determinista: Sistema con un comportamiento previsible, las partes interactúan de un modo perfectamente previsible, sin dejar lugar a dudas. A partir del ultimo estado del sistema y el programa de información, se puede prever, sin ningún riesgo o error, su próximo estado. Por ejemplo, al mover el timón de un vehículo, se puede prever el movimiento de las ruedas, la palanca, la polea, un programa de computadora. Sistema probabilística: Sistema con un comportamiento no previsible, no se puede hacer una previsión detallada. Si se estudia intensamente, se puede prever probabilísticamente lo que sucederá en determinadas circunstancias. No esta predeterminado. La previsión se encuadra en las limitaciones lógicas de la probabilidad. Por ejemplo, la reacción de las aves, cuando se le pone alimento en el parque, se podrán acercar, no hacerlo o alejarse, el clima, el sistema económico mundial. mundial.
TIPOS DE SISTEMA
Sistemas flexibles, se flexibles, se adaptan a las modificaciones del medio ambiente, tales como: Los sistemas económicos, políticos, sociales, culturales, legales, etc. Sistemas Rígidos, su Rígidos, su concepción y estructura varían muy poco, tales como el sistema solar, sistema biológico del hombre, sistema de carretas, sistema climatológico, etc.
PARAMETRO DE LOS SISTEMAS
Todo sistema se caracteriza por determinados parámetros que son constantes arbitrarias que caracterizan la dimensión y propiedades de un sistema. Los parámetros de los sistemas son: . Entrada o ingreso (Input) . Procesamiento o transformación (Throughput) . Salida o Resultado o producto (Output) . Retroalimentación (Feedback) . Ambiente interno y externo (environment) (environment)
input
procesamiento feedback
output
CARACTERISTICAS DE LAS ORG. COMO SISTEMAS ABIERTOS
1. Comp Comport ortami amien ento to prob probabi abilís lístic tico o de las orga organiz nizaci acione ones. s. Toda organización es afectada por los cambios ambientales, las variables desconocidas e incontrolables son los protagonistas para que la gerencia reaccione al cambio del entorno, el comportamiento humano no es totalmente previsible. 2. Las organizaciones es parte de la sociedad y está constituida por partes menores. 3. Interdependencia de las partes, las unidades orgánicas se encuentran interrelacionadas e interconectadas, un cambio en una de ellas, afecta el comportamiento de las otras.
CARACTERISTICAS DE LAS ORG. COMO SISTEMAS ABIERTOS
4. Homestasis o estado firme, esto se logra cuando las organizaciones presentan: la unidireccionalidad y el progreso. La unidireccionalidad se refiere a que la gerencia busca lograr los mismos resultados ante cambios del ambiente y el progreso se orienta hacia el fin los deseado. 5. Fronteras sin límites, es la línea que demarca lo que está dentro y fuera del sistema. 6. Morfogénesis, todo sistema organizacional tiene la capacidad de modificar su estructura básica para obtener mejores resultados del sistema.
LA EMPRESA ES UN SISTEMAS ABIERTOS Interactúa permanentemente con el entorno empresarial. Las variables internas son: - Los Dueños - Los Directivos Intervienen en el procesamiento, out put, in put y feedback: -- Los Los Trabajadores Recursos Recursos Físicos (insumos, máquinas y equipos, capital) Las variables externas son: Las variables del micro – ambiente o del micro sistema, estas son controlables por la gerencia. - El cliente - La competencia - Los proveedores - Las instituciones financieras - Otras
LA EMPRESA ES UN SISTEMAS ABIERTOS Variables Socio-culturales Variables Económicas
Proveedores
Competencia
Instituciones Financieras
Cliente Directivos Gerentes Trabajadores Recursos físicos
Otros
MICRO Variables demográficas
MACRO Variables tecnológicas
Variables Político-Legales
LA EMPRESA ES UN SISTEMAS ABIERTOS La empresa también puede analizarse como un conjunto de funciones que interactúan entre sí se enpuede las diferentes áreas es parte proceso administrativo, sintetizar esteque sistema de ladel siguiente manera:
Empresa Organizar
Productos
Insumos Planear Personal
Dirigir Finanzas
Controlar
Producción
Marketing logística
Ventas
Retroalimentación
ETAPAS POR LOS QUE PASA LOS SI
ANALISIS DE SISTEMAS El Análisis de Sistemas trata básicamente de determinar los objetivos y límites del sistema objeto de análisis, caracterizar su estructura y funcionamiento, marcar las directrices que permitan alcanzar los objetivos propuestos y evaluar sus consecuencias. Dependien Dependiendo do de los objetivos del análisis, podemos encontrarnos ante dos problemáticas distintas: -Análisis de un sistema ya existente para comprender, mejorar, ajustar y/o predecir su comportamiento - Análisis como paso previo al diseño de un nuevo sistema-producto
DISEÑO DE SISTEMAS El Diseño de Sistemas se ocupa de desarrollar las directrices propuestas durante el análisis en función de aquella configuración que tenga más posibilidades de satisfacer los objetivos planteados tanto desde el punto de vista funcional como del no funcional.
GESTION DE SISTEMAS La Gestiónhumanos, de Sistemas se ocupa decomerciales integrar, planificar y controlar loscompleto aspectos técnicos, organizativos, y sociales del proceso (desde el análisis y el diseño hasta la vida opera operativa tiva del sistema). Los objetivos principales de la Gestión de Sistemas suelen ser: -Planificar y controlar el proceso completo de análisis, diseño y operación del sistema dentro del presupuesto, plazo, calidad y restantes condiciones convenidas. - Controlar la validez de los criterios de diseño. -Controlar la adecuación del producto del diseño a los requisitos establecidos estable cidos en el análisis. - Planificar y desarrollar las necesidades de mantenimiento. -Planificar y desarrollar las necesidades de formación del personal que va a operar el sistema. - Planificar la supervisión del funcionamiento funcionamiento del sistema.
AMBITO DE LA ING. DE SISTEMAS
La Ingeniería de Sistemas a menudo involucr involucraa la utilización de m modelos odelos y la simulación de algunos aspectos del sistema propuesto par paraa validar hipótesis o explorar teorías. Modelo: Es representación ntación en pequeño de algo, es la represe representación ntación Modelo: Es la represe simplificada de alguna parte de la realidad.
AMBITO DE LA ING. DE SISTEMAS
No siempre la construcción de modelos de sistemas extremadamente complejos permite el isomorfismo isomorfismo (los (los sistemas son isomorfos cuando su forma es semejante), en especial cuando no exist existee la posibilidad de verificarlo. El sistema debe ser representado por un modelo reducido y simplificado, aprovechando el homomorfismo homomorfismo del del sistema original (los sistemas son homomórficos cuando conservan entre sí proporción, aunque no siempre del mismo tamaño). Es el caso de las maquetas o planos de edificios, diagramas de circuitos eléctricos o electrónicos, organigramas de empresas, flujogramas de rutinas y procedimientos, modelos matemáticos de decisión, etc.
AMBITO DE LA ING. DE SISTEMAS
Los modelos también pueden clasificarse en: en: a.- A escala, escala, simulacros de objetos materiales (sean reales o imaginarios), que conservan sus proporciones re relativas, lativas, aunque el tamaño es diferente del original. Se basan en la semejanza de algunas de sus propiedade propiedadess con las del sistema original. b.-Analógicos, implican cambios del medio y deben reproducir la b.-Analógicos, estructura del original, es decir decir,, que sean isomorfos (los sistemas son isomorfos cuando su forma es semejante) con éste.
AMBITO DE LA ING. DE SISTEMAS
c.- Matemáticos, Matemáticos, que buscan la aplicación de funciones y ecuaciones matemáticas para representar el problema original mediante una transformación homomórfica (que ocurre cuando los sistemas conservan entre proporción en sus formas, aunque no sean siempre del mismo tamaño).
INGENIERIA DE SISTEMAS
INGENIERÍA DE SISTEMAS INGENIERÍA DE SISTEMAS
Modo de enfoque interdisciplinario que permite estudiar y comprender la realidad, con el propósito de implementar u optimizar sistemas complejos.
INGENIERÍA DE SISTEMAS
“Ingeniería es el arte de utilizar los instrumentos que nos provee
la ciencia para que a través del ingenio se generen soluciones que proporcionan bienestar y progreso” Ing. Raúl Delgado Sayán
INGENIERÍA DE SISTEMAS INGENIERÍA DE SISTEMAS INGENIERIA La ingeniería es la profesión que aplica conocimientos y experiencias para que mediante diseños, modelos y técnicas se resuelvan problemas que afectan a la humanidad a través del desarrollo de la tecnología. SISTEMA L. von Bertalanffy (1968): "Un sistema es un conjunto de unidades en interrelación".
Conjunto organizado de cosas o partes interactuantes e interdependientes, que se relacionan formando un todo unitario y complejo.
INGENIERÍA DE SISTEMAS
¿Cómo te imaginas que es un ingeniero?
Experto en matemáticas, física y química y estudioso, muuuuy
estudioso …
INGENIERÍA DE SISTEMAS
¿Qué es un ingeniero?
Ingeniero, ra. (De ingenio, máquina o artificio). Hombre que discurre con ingenio las trazas y modos de conseguir o ejecutar algo. Diccionario de la lengua española (http://www.rae.es/)
INGENIERÍA DE SISTEMAS Un ingeniero es …
William Hewlett Hewlett (1913-2001), David Packard Packard (1912-1996), ambos ingenieros de la universidad de Stanford, formaron su empresa en 1939, en un pequeño garaje y con un capital de US$ 538. Sergei Brin, Larry Page, Page, fundadores de Google en 1998. Ambos ingenieros informáticos: Page por por la la Universidad Michigan y Brin Universidad dee de Maryland. La compañía vale ahora 60 mil milones de dólares.
INGENIERÍA DE SISTEMAS Mark Elliot Zuckerberg Zuckerberg (14 de mayo de 1984, White Plains, USA), más conocido como Mark Zuckerberg, Zuckerberg, es un programador y empresario estadounidense conocido por ser el creador de Facebook. Para desarrollar la red, Zuckerberg contó con el apoyo de sus compañeros de Harvard. Actualmente es el personaje más joven que aparece en la lista anual de millonarios de la revista Forbes con una fortuna valorada en más de 13.500 millones de dólares. Fue nombrado como Persona del Año en 2010 por la revista estadounidense Time Magazine.
INGENIERÍA DE SISTEMAS
¿Qué hace un ingeniero? Busca soluciones, con ingenio, a los problemas de la vida (muchos ámbitos) y hace más fácil la vida de los demás. Se pregunta cosas y se inter interesa esa por las respuestas.
INGENIERÍA DE SISTEMAS
La ingeniería nos rodea
Es una profesión que te puede llevar desde la profundidad del océano hasta lo más lejano del espacio exterior, desde dentro de la estructura microscópica de la célula humana hasta la cima del más alto rascacielos. Sea un teléfono celular, cámara digital, DVD, o un dispositivo de reconocimiento facial capaz de detectar a un terrorista en un abarrotado estadio de fútbol, los ingenieros están detrás de casi toda la emocionante tecnología de hoy.
INGENIERÍA DE SISTEMAS
Ingeniería y Tecnología Ciencia, Ingeniería Tecnología ¿Cómo se relacionan?
Ciencia
Ingeniería
Soluciones
Tecnología
INGENIERÍA DE SISTEMAS INGENIERÍA DE SISTEMAS
Encuesta elaborada por la Universidad de Lima sobre la demanda de profesionales en 250 de las 4.000 empresas de mayor facturación en el Perú y publicada en El Comercio el 13/11/2007.
INGENIERÍA DE SISTEMAS INGENIERÍA DE SISTEMAS
Demanda de profesionales en las empresas Otro 20.4%
Abogado 3.2%
Ingeniero 46.8%
Contador 12.0%
Administrador 17.6%
El Comercio - Noviembre 2007
INGENIERÍA DE SISTEMAS INGENIERÍA DE SISTEMAS
Carreras Carrer as que más necesita el país Otras 19.6%
No contes ta 2.8% Ingeniería 33.2%
Medicina 4.0%
Educación 6.0% Economía 6.4% Administración 12.4%
Negocios internacionales 15.6%
El Comercio - Noviembre 2007
INGENIERÍA DE SISTEMAS INGENIERÍA DE SISTEMAS
Profesionales que tendrán más demanda en 10 años Otro 22.0%
Ingeniero 42.8%
Negocios internacionales 4.8%
Marketing 5.6% Contador 8.8% Administrador 16.0%
El Comercio - Noviembre 2007
Diario Peru21, Miércoles 25 de mayo del 2011
INGENIERÍA DE SISTEMAS INGENIERÍA DE SISTEMAS
¿Qué es un Ingeniero de Sistemas?
Un Ingeniero de Sistemas es el profesional capaz de analizar, diseñar, investigar, desarrollar y administrar cualquier tipo de sistema, aplicando las ciencias básicas, las tecnologías de información y comunicaciones, y la Teoría General de Sistemas. Fundamentalmente, es capaz de integrar y optimizar los recursos organizacionales para la adecuada toma de decisiones, además de especificar y desarrollar software base y de aplicación generando tecnología nacional.
INGENIERÍA DE SISTEMAS FUNCIONES DEL INGENIERO Investigación Desarrollo Diseño Producción Construcción Operación Ventas Administración
:: Busca Busca nuevos conocimientos y técnicas. : Emplea nuevos conocimientos y técnicas. : Emplea : Especificar soluciones. : Especificar : Transformación de materias primas en productos. : Transformación : Llevar a la realidad la solución de diseño. : Llevar : Proceso de manutención y administración para : Proceso optimizar productividad. : Ofrecer servicios, herramientas y productos. : Ofrecer : Participar en solución de problemas. : Participar
Gestión y enseñanza. enseñanza.
INTRODUCCIÓN
APLICACIONES DE LA INGENIERIA DE SISTEMAS
INTRODUCCIÓN APLICACIONES DE LA ING. DE SISTEMAS
RECONOCIMIENTO RECONOCIMIENT O DE VOZ El software de reconocimiento del lenguaje hablado que trae incorporado Windows Vista, el nuevo sistema operativo operativ o de Micr Microsoft; osoft; El programa permite al usuario la ejecución de tareas normales sin necesidad de usar el teclado, incluyendo la redacción de emails. Vista entra a competir con co n otros programas de reconocimiento de voz especializados ya existentes existentes en el mercado, de los cuales los más populares son Via Voice de IBM, Dragon Naturally Speaking 9 de Nuance o Voice Pro 11 de Linguatec. Dragon ofrece reconocimiento de 44 idiomas, incluyendo español, latinoamericano latinoamericano,, colombiano y argentino,, además de portugués de Portugal y Brasil, y catalán y vasco. argentino
INTRODUCCIÓN APLICACIONES DE LA ING. DE SISTEMAS
RECONOCIMIENTO DE IMÁGENES Los sistemas de computadoras son cada vez más potentes y menos costosos, lo que permite crear nuevas formas de arte que antes no eran posibles, y algunas otras formas de arte antiguas pueden ahora verse beneficiadas con novedosas técnicas asistidas por computadora. El reconocimiento de imágenes ha evolucionado a medida que qu e mejora la tecnología. Puede encontrarse en numerosos campos.
INTRODUCCIÓN APLICACIONES DE LA ING. DE SISTEMAS a.- Reconocimiento de caracteres reconocimiento de caracteres, caracter conocido (ElOptical Character óptico Recognition ), es unes,proceso portambién el cual como OCR en una imagen digital se reconocen los caracter caracteres es con la finalidad f inalidad de poder editarla como texto. Este tipo de aplicaciones son utilizadas como complemento en escáneres y otros dispositivos de captura de digitales. b.- imágenes Identificación de personas para investigaciones investigaciones policíacas. Muchas veces en investigaciones de crímenes un testigo puede describir con mucho detalle el rostro de un criminal. Un dibujante profesional profesional convierte la descripción verbal del testigo en un dibujo sobre papel. El de de la computadora consiste consistEn e en el rostro del criminal entrabajo una base datos de imágenes. lasbuscar inves investigaciones tigaciones policíacas también se utiliza la búsqueda de huellas dactilares en una base de datos.
INTRODUCCIÓN APLICACIONES DE LA ING. DE SISTEMAS
c.- Biometría La biometría es el reconocimiento del cuerpo humano a través de ciertas características caracterís ticas físicas, como el tamaño de los dedos de la mano, las huellas dactilares o los patrones en las retinas de los ojos. Los sistemas de computadoras actuales permiten tener mejores niveles de seguridad utilizando la biometría. Por ejemplo, Control de ingreso y salida a la UCSUR.
INTRODUCCIÓN APLICACIONES DE LA ING. DE SISTEMAS Sistema de reconocimiento facial facial Aplicación dirigida por ordenador para identificar automáticamente automáticamente a una persona en una imagen digital, mediante la comparación de determinadas características faciales a partir de una imagen digital o un fotograma de una fuente de vídeo y una base de datos. Es utilizado principalmente en Sistemas de Seguridad para el reconocimiento de los usuarios. Consiste en un lector que define las características del rostro, rostro, y al solicitar acceso se verifica que coincidan las características del usuario con la BD. Es poco confiable ya que las caracterís características ticas de nu nuestro estro ros rostro tro al paso de tiempo tienden a cambiar. Se suelen utilizar en los sistemas de seguridad y puede ser comparado a otros biometría como huella digital o los sistema de reconocimient reconocimiento o usando escaneo del iris.
APLICACIONES DE LA ING. DE SISTEMAS
INTRODUCCIÓN
PROCESAMIENTO DE IMÁGENES MED PROCESAMIENTO MEDICAS ICAS El objetivo fundamental del procesamiento de imágenes apunta a una mejora en la obtención de información médica, lo que supone una mejora de las diagnosis y por tanto de su fiabilidad. Per Pero o todas estas metas pasan por un estudio de las imágenes partiendo de cero. c ero. Es preciso realizar realiz ar la segmentación de las escenas; posteriormente desarrollar técnicas más avanzadas, para finalizar con la reconstrucción
tridimensional.
INTRODUCCIÓN
ESTEGANOGRAFÍA ESTEGANOGRAFÍA Disciplina en la que se estudian y aplican técnicas que permiten el ocultamiento de mensajes u objetos, o bjetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. Es una mezcla de artes y técnicas que se combinan para conformar la práctica de ocultar y enviar información sensible en un portador que pueda pasar desapercibido.
INTRODUCCIÓN APLICACIONES DE LA ING. DE SISTEMAS Reconocimiento de Huellas Digitales Simulación de Trafico Vehicular, aéreo, uso de guitarra, etc. Generación de Animaciones Entre Otros.
Año 2005
Video Nokia y Tele presencia
¿Qué es información? Información. Información. Es Es el principal componente de todo sistema y su
razón de ser, debe ser adaptable a las personas que lo utilizan y al equipo disponible, de acuerdo a los procedimientos de trabajo para que las tareas se lleven a cabo de forma eficaz.
INTRODUCCIÓN
Dato Vs. Información
INTRODUCCIÓN
Datos son componentes básicos a partir de los cuales la información es creada. Información son datos insertados en un contexto. Contexto Conte xto es la situación que está siendo analizada. A partir de la información se obtiene conocimiento, el que permite tomar decisiones. Que cuando adecuadas, ayudan al negocio a alcanzar sus objetivos.
INTRODUCCIÓN
Una compañía puede capturar grandes cantidades de datos en su trabajo diario:
Estos datos representan representan el estado actual del negocio. Es importante derivar información de estos datos. Examinando distintos conte contextos. xtos. Determinando las relaciones entre los hechos. Comprendiendo como se reflejan los objetivos de la empresa en los datos.
Pero El Contexto Cambia...
INTRODUCCIÓN
De usuario para usuario Ejecutivos Gerentes Ejecutores De un escenario competitivo en relación a otro Estacionalidad Cambios en el mercado Nuevos competidores Y a menores ciclos de negocio, más variaciones En la práctica, ¡hoy es imposible prever cómo los datos serán utilizados!
INTRODUCCIÓN
Necesidades de Acceso a Datos Aplicación
Aplicación
Aplicación
Aplicación
Aplicación
• • • • • • •
Marketing
Ventas Call Center
Legal Clientes Socios Etc.
INTRODUCCIÓN
Muchos Datos, Poca Información
¿Qué combinaciones de productos están
¿Cómo debo responder a una acción de un competidor?
comprando mis clientes?
¿Cómo están las
Clientes
ventas comparadas con el pasado?
Competencia Inventario Ventas semanales
¿Cual es la tendencia del índice de satisfacción de los clientes?
¿Mi conjunto de productos está adecuado al mercado?
Productos, clientes, mercado, riesgo, fraude, tendencia tendencias, s,
comportamiento comportamiento
JERARQUÍA DELALA INFORMACIÓN JERARQUÍA DE INFORMACIÓN
Datos
Valores discretos; deben ser correctos y precisos; se requieren en forma masiva; aislados suelen tener poco valor. valor.
JERARQUÍA DE INFORMACIÓN JERARQUÍA DELALA INFORMACIÓN
•
•
Conjuntos de datos puestos en Información relación entre sí, adquieren nuevo significado y valor operativo en la realidad
Datos
JERARQUÍA DE LA INFORMACIÓN JERARQUÍA DE LA INFORMACIÓN
•
Conocimiento
•
Información
•
Experiencia que surge del análisis y síntesis de la información
Datos
JERARQUÍA DELALA INFORMACIÓN JERARQUÍA DE INFORMACIÓN
•
Sabiduría Cénit
•
Conocimiento
•
Información
•
Datos
CATEGORIAS DE LA IN INFORMACION FORMACION
Se puede clasificar de muchas formas difer diferentes entes pero para una empresa la importancia que tiene es respecto a quien va dirigida y para quien es útil . ESTRATEGICA
TÁCTICA
OPERACIONAL
CATEGORIAS DE LA INFORMACION IN FORMACION 1 Estratégica • Información estratégica estratégica es un instrumento de cambio. • Enfocada a la planeación a largo plazo • Orientada a la alta administración. 2 Táctica Táctica • Información de control administrativ admi nistrativo o • Es un tipo de información compartida. • Tiene una utilidad a corto plazo. 3 Operacional Operacional • Información rutinaria. • Muestra la operación diaria. • Tiene una utilidad a muy corto plazo.
DEFINICIÓN DE SEGURIDAD Seguridad: Característica de cualquier sistema informático que nos indica que este Seguridad: se encuentra libre de peligro, daño o riesgo. •
Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo a nivel de hardware y software, la información almacenada y los resultados obtenidos.
•
Para alcanzar la seguridad se utiliza objetos, dispositivos, medidas, normas, Para etc., que contribuyen a hacer más seguro el funcionamiento o el uso del sistema.
Riesgo: Proximidad o posibilidad de producirse un daño, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc. Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.
Vulnerabilidad: Exposición latente a un riesgo. existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado.
Aspectos fundamentales fundamentales de la seguridad • Confidencialidad • Integridad • Disponibilidad (*) El nivel de importancia que se le otorga a los aspectos de seguridad en una aplicación dependen del tipo de sistema informático: Militar, Comercial, Bancario, Gubernamental, Académico, etc.
Confidencialidad La
información almacenada en un sistema no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados.. autorizados El diseño de un sistema informático debe considerar la posibilidad de intentos de acceso no autorizado en el sistema o en alguno de sus componentes.
INTEGRIDAD • La información almacenada en un sistema
informático debe mantenerse integra para que sea confiable para confiable para la toma de decisiones. La información del sistema debe ser creada, modificada o eliminada sólo por las personas autorizadas.. autorizadas
DISPONIBILIDAD • Disponibilidad
significa que el sistema informático, tanto HW como SW, se mantienen funcionando eficientemente eficientemente y son capaces de recuperarse rápidamente en caso de fallo. fallo. Un sistema vulnerable de ataques no garantiza estar disponible a sus usuarios en el momento que ellos lo soliciten.
OTROS ASPECTOS RELACIONADOS A LA SEGURIDAD • Autenticidad • Imposibilidad de rechazo (no-repudio) • Consistencia • Aislamiento • Auditoría
AUTENTICIDAD Permite
asegurar el origen de la información. información. La identidad del emisor puede ser validada, de modo que se puede demostrar que es quien dice ser. Se debe tratar de evitar que un usuario envíe o consulte información del sistema haciéndose pasar por otro. otro.
La mas un forma usuario es acomún travésde deautentificar una clave de acceso o contraseña contraseña..
IMPOSIBILIDAD DE RECHAZO RECHAZO (NO REPUDIO) • Cualquier
entidad que envía o recibe información, no puede alegar ante terceros que no la envió o la recibió. recibió.
• Esta
propiedad y la anterior son especialmente importantes en el entorno bancario y en el uso del comercio electrónico. electrónico.
CONSISTENCIA • Asegura que el sistema se comporta como se
supone que debe hacerlo regularment regularmente e con los usuarios autorizados. • Si el software o el hardware de repente comienzan a comportarse de manera diferente a la esperada, esperada, puede originarse un desastre desastre que deberá ser alertado y recuperado.
AISLAMIENTO sistema, impidiendo que • Regula el acceso al sistema, personas no autorizadas entren en él. Este aspecto está relacionado directamente con la confidencialidad, aunque se centra más en el acceso al sistema sistema que a la información que contiene.
AUDITORÍA • Capacidad de determinar qué acciones o
procesos se han llevado a cabo en el sistema, y quién y cuándo las han llevado a cabo. • La única forma de lograr este objetivo es mantener un registro de las actividades del sistema,, y que este registro esté altamente sistema protegido contra modificación. modificación.
TRANSMISIÓN DE DATOS La
transmisión de datos es el intercambio de datos entre dos dispositivos dispositivos a través de algún medio de transmisión. transmisión.
En
una comunicación existe un flujo de información desde un origen hacia un destino. destino.
Mayor detalle: Sesión 11-Seguridad de Red y Telecomunicaciones
ATAQUES Un ataque es un evento evento,, exitoso o no, que atenta sobre el buen funcionamiento de un sistema informático. Tendencia
digitalicen.
humana a que todas las actividades se
Ataque de Software Su objetivo es
atacar una aplicación, un sistema operativo, o un protocolo, con el fin de ganar acceso a un sistema o red. Los distintos tipos son usados por separado o en combinación con otros.
Ataque de Hardware
Su objetivo es atacar el hardware de la victima, a través través de penetraciones físicas.
• Los ataques se pueden clasificar en:
- Interrupción - Intercepción - Modificación - Fabricación
Interrupción • La información del sistema es destruida o llega a ser inutilizable. disponibilidad.. • Este ataque atenta contra la disponibilidad
Ejem: Destrucción de una pieza de HW HW,, cortar los medios de comunicación o deshabilitar los sistemas.
INTERRUPCIÓN
INTERCEPCIÓN • Es
cuando una entidad no autorizada consigue acceso a un recurso de nuestro
sistema informático. • Refiere una participación sin autorización por parte de una persona, computadora o programa en una comunic comunicación. ación. • Este ataque atenta contra la confidencialidad confidencialidad..
INTERCEPCIÓN
MODIFICACIÓN • Una entidad no autorizada no sólo consigue
acceder a un recurso, sino que es capaz de manipularlo y alter alterarlo arlo.. • Este es un ataque contra la integridad integridad..
MODIFICACIÓN
Nuevo_Presupuesto.xls
FABRICACIÓN autorizada inserta objetos • Una entidad no autorizada falsificados en el sistema. • Este es un ataque contra la autenticidad autenticidad..
FABRICACIÓN
DISPOSITIVOS DISPOSIT IVOS P PARA ARA ACCE ACCEDER DER A INTERNET PDA – PERSONAL DIGITAL ASSISTANT
TELÉFONOS CELULARES
COMPUTADORA PERSONAL
89
PROBLEMÁTICA ACTUAL
Problemáticaa actual Problemátic • Intercepción de información. • Suplantación de identidad. • Envío de emails falsos. • Phishing. • Troyanos. • Exploits. • Corrupción – Accesos a sitios con contenidos
prohibitivos.
INTERCEPCIÓN DE INFORMAC INFORMACIÓN IÓN Haciendo
uso de un software llamado sniffer sniffer,, el atacante copia a su computadora la información que es enviada a través de la red por los diferentes dispositivos. Un packet sniffer es un programa de captura de las tramas de red. red. Generalmente se usa para monitorizar y analizar el tráfico en una red de computadoras, detectando los cuellos de botella y problemas que existan, aunque también es utilizado para interceptar, lícitamente o no, los datos que son transmitidos en la red. Destacan por su importancia los siguientes sniffers: TCPDUMP , DARKSTAT Y TRAFFIC-VIS, NGREP, SNORT, NWATCH, ETHEREAL, ETTERCAP y KISMET
SUPLANTACIÓN SUPLANT ACIÓN DE IDE IDENTIDAD NTIDAD • Consiste en acceder a un sistema informático
de manera regular, pero haciéndose pasar por otro usuario autorizado. autorizado.
• Usualmente
se emplea para obtener información confidencial del usuario o del sistema. Es difícil de detectar si es que no se realizan modificaciones importantes en la data, que sean fácilmente identificables.
ENVÍO DE E-MAILS FALSOS • El
atacante envía correos electrónicos haciéndose pasar por diferentes personas. Se trata de suplantar la identidad del remitente para lograr algún fin específico.
PHISHING (PESCANDO) Adquirir
información confidencial de forma fraudulenta,, como puede ser una contraseña fraudulenta contraseña o información detallada sobre datos personales, tarjetas de crédito, contraseñas, u otra información informac ión bancaria. bancaria. El estafador, mejor conocido como phisher phisher,, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea.
TIPOS DE PHISHING BASADO
1. 2. 3. 4.
EN EMAILS: Cor orrreo een nviado aall cclliente simulando ser el negocio legítimo. legítimo. El co corr rreo eo ap apar aren enta ta se serr un co corr rreo eo of ofici icial al de la organización a la cual se hace referencia en el email. El men mensaje saje ind induce uce al clie client nte e a digi digitar tar sus dat datos os per person sonales ales mediante una supuesta actualización o ejecución de una transacción. El lin linkk llle levva al cli clien ente te a u un n ssiti itio oW Web eb fal also so diseñado diseñado para
parecer el sitio 5. La iinf nfor orma maci ción ón original. rreg egis istr trad adaa en eese se ssit itio io eess transmitida directamente al estafador. estafador. 6. El estafador ingresa al sitio si tio Web ver verdadero dadero para hacer transacciones con los datos del cliente.
POR
TELÉFONO:
1. El es estafador llama a un cliente fingiendo pertenecer a una entidad financiera. financiera.
2. Se le in indic dicaa problemas aall cli clien ente te técnicos que que su acue cuent ntaa sser ería ía cerrada por técnicos menos que colabore proporcionando: Número de Cuenta, DNI, contraseña y otros datos valiosos. valiosos. 3. El esta estafa fador dor lue luego go depara tomar tomhacer ar loslas dat datos, os, ingre ingresa sa al sitio Web verdadero transacciones con los datos capturados, capturados, haciéndose pasar por el cliente.
“PHISHING” MODALIDAD DE HURTO AGRAVADO, CONSISTE EN EL ENVIO MASIVO DEREMITIDOS CORREOS ELECTONICOS, SUPUESTAMENTE POR LAS ENTIDADES BANCARIAS, EN DONDE APARECEN SUS PAGINAS WEB, CON UN “MENSAJE” PARA SUS CLIENTES, COMO QUE ESTAN ACTUALIZANDO LOS DATOS PORQUE SU SISTEMA INFORMATICO HA TENIDO ALGUNAS AVERIAS O FALLAS, O QUE HAN GANADO UN PREMIO, ETC. CON ESTA INFORMACION REALIZAN LAS TRANSFERENCIAS, PAGOS SE DE SERVICIOS, COMPRAS Y RECARGAS VIRTUALES, A TRAVES DE LA INTERNET.
“PHISHING - CASOS”
“PHISHING”
“PHISHING” El link de este correo falso te llevaba a la siguiente página falsa qu e se hacía pasar por nuestra página de Operaciones en línea:
“PHISHING”
Ganador de la Lotería Euro Millions Lottery. Hoge Wei 28, 2011 Zaventem, Belgium. Euro Millions are Affiliate of Belgium National (BNL). Sir/Madam, CONGRATULATIONS: YOU WON 1,000,000.00 EUROS. We are pleased to inform you of the result of Euro Millions, which was held on the 27th, July 2006. Your e-mail address attached tto o e-ticket number: 05-32-44-45-50 with Euros). Prize Number (match 3): 106000007 drew a prize of 1,000,000.00 (01-07), (One Million This lucky draw came first in the 2nd Category of the Sweepstake. Bank: Laagste Heypotheekofferte Bank. N.L. Attention: Dirk Garvin. Karspeldreef 6A, 1101 CJ, Amsterdam, Netherlands. E-mail:
[email protected] Telephone: +31617 636 209. Fax : (+3184) 735-9610. Furnish them with the following: (i). your name(s), (ii) Your telephone and fax numbers (iii) Your contact address
(iv) Your winning information (including amount won). Congratulations. Yours Faithfully Vjertis Von Adrian (Ms.) CPA. Coordinator: Euro Millions.
Dinero Abandonado FROM DENNIS LONGMAN AUDITING MANAGER INTERBANK SERVICES LONDON UNITED KINGDOM DEAR PARTNERI DR DENNIS LONGMAN, THE AUDITING MANAGER INTERBANK SERVICES LONDON,I AM WRITING THIS LETTER TO ASK FOR YOUR SUPPORT AND COOPERATION TO CARRY OUT THIS BUSINESS OPPORTUNITY IN MY DEPARTMENT.WE DISCOVERED AN ABANDONED SUM OF (FIFTEEN MILLION UNITED STATES DOLLARS ONLY) IN AN ACCOUNT THAT BELONGS TO ONE OF OUR FOREIGN CUSTOMERS CUSTOMERS WHO DIED ALONG WITH HIS ENTIRE IN AIR CRASH, ALASKA AIRLINE FLIGHT 261 IN 2000.SINCE WE HEARD OF THISDEA THISDEATH,NOBODY TH,NOBODY HAS COME FOR ANY CLAIMS AS NOBODY KNEW OF THE ACCOUNT.THE NAME OF OUR LATE CUSTOMER IS MORRIS THOMPSON, HIS WIFE'S NAME THELMAN THOMPSON, DAUGHTER'S NAME SHERYL THOMPSON,THE OWNER OF DOYON LTD, IN ALASKA.http://www.cnn.com/2000/US/02/01/alaska.airlines.list/ ALASKA. http://www.cnn.com/2000/US/02/01/alaska.airlines.list/ http://www.nativefederati on.org/history/people/mThompson.htm WE HAVE BEEN EXPECTING HIS NEXT OF KIN TO COME OVER AND FILE FOR CLAIMS FOR HIS MONEY AS THE HEIR, BECAUSE WE CANNOT RELEASE THE FUNDS FROM HIS ACCOUNT UNLESS SOME SOMEONE ONE APPLIES FOR CLAIM AS THE NEXT OF KIN TO THE DECEASED AS INDICATED IN OUR BANKING GUIDELINES AND THAT IS THE REASON WHY I HAVE CONTARTED YOU TO ACT AS THE NEXT OF KINTO COMMENCE THIS TRANSACTION, WE REQUIRE YOU TO IMMEDIATELY INDICATE YOUR INTEREST BY A RETURN E-MAIL AND ENCLOSE YOUR PRIVATE CONTACT TELEPHONE NUMBER, FAX NUMBER FULL NAME AND ADDRESS AND YOUR DESIGNATEDBANK COORDINATES TO
ENABLE US FILE LETTER OF CLAIM TO THE APPROPRIATE DEPARTMENT FOR NECCESSARY APPROVALS BEFORE THE TRANSFER CAN BE MADE.I LOOK FORWARD TO RECEIVING YOUR PROMPT RESPONSE.REGARDSDR RESPONSE.REGARDSDR DENNIS LONGMAN---- Msg sent via email-me.cc http://www.email-me.cc
Cuenta en Western Uni Union on Dear Western Union Client : We are encountered some tehnical errors in our database, Please update your profile . https://wumt.westernunion.com/asp/regLogin.asp/. /. You can access your profile at at https://wumt.westernunion.com/asp/regLogin.asp This process is mandatory, and if not completed within the nearest time your account may be subject for temporary suspension. For help please contact Western Union Customer Service immediately by 1-877-989-3268 268 . emaill at
[email protected] emai
[email protected] or call us aatt 1-877-989-3
Thank you for using westernuni westernunio o
Cuenta Bancaria Dear Bank of America Client : We are encountered some tehnical errors in our database, Please update your profile . You can access your profile at at https://www.bankofamerica.com https://www.bankofamerica.com This process is mandatory, and if not completed within the nearest time your account may be subject for temporary suspension. For help please contact Bank of America Customer Service immediately by
[email protected] a.com or call us at 1-800-552-7302 . email at customerservice@bankofameric email
Thank you for using bankofameri bankofamerica.com! ca.com! -----------------------------------------------------------------------------
MEDIDAS DE SEGURIDAD CONTRA EL PHISHING: Verificar
la fuente de la información. Escribir la dirección en su navegador de Internet Internet.. Reforzar su seguridad (descarg (descargaa de actualizaciones de seguridad del fabric fabricante ante de su Sistema Opera Operativo). tivo). Comprobar que la página web en la que ha entrado entrado es una dirección segura. Hacer doble clic sobre el candado de Zona Segura para tener acceso al certificado digital que confirma que la web corresponde a la que está visitando. Revisar periódicamente sus cuentas y cambiar las contraseñas.
HURTO AGRAVADO MODALIDADES - A A TRAVES TRAVES DEL INTE INTERNET RNET * PHISHING * PHARMIN PHARMING G O TROY TROYANO ANO
-“CLONACION” DE TARJETAS ARJETAS BANCARIAS -“CAMBIAZO” -USO INDEBIDO DE TARJETAS BANCARIAS
Malware Malware Malware (del inglés m a l icious icious soft wa ) , también llamado badware, w a re ), código maligno, software malicioso o software malintencionado,
tipo de sw que tiene como objetivo infiltrarse o dañar una pc sin el consentimiento de su propietario.
El término es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. El sw se considera malware en función de los efectos que, pensados por el creador creador,, provoque en un computador computador.. El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables.
Malware Malware •
Los Malware son mas complejos • Variantes más rápida rápidas s • Diseñados para atacar vulnerabilidades en: - S.O. específicos - Progra ogram mas e es specí ecíficos - Redes es especificas • Ataques dirigidos • Ganancia Financiera
Malware Malware • Inicialmente
- Diversión - Demostrar capacidades técnicas - Notoriedad - Fama • Hoy
- GANANCIAS
£
$
€
¥
Malware Malware
Como hacen dinero? • Spyware • SPAM • Phishing • Robando información financiera • Robando datos sensitivos • Sirviendo como hosts de phishing • Centros de control Bot
• Ataques distribuidos
Malware Malware El siglo que vivimos peligrosamente peligrosamente 2000: Love • 2001: Klez
•
• •
2001: Code Red 2003: SQL Slammer • 2003: Blaster • •
2004: Sasser 2004: Netsky-A, Netsky-B, …. Netsky-* • 2005: Kamasutra
• •
2007: Incontables.................. 20 2008 08 y 20 2009 09 …… ……..
Malware Malware
Malware Malware •
Spam:
– Es un fin: Venta – Es un medio: • Para infectar máquinas con troyanos adjuntos
Paraa inducir a visitar páginas de ataque • Par
•
Troyanos: – Es un fin: Controlar la máquina – Es un medio: Paraa hacer phishing • Par • Par Paraa enviar más spam
• Para reclutar zombies para botnets
Malware Malware Soluciones Antivirus
Malware Malware Soluciones - Defensa en profundidad • Política Políticass de seguridad • Protección en el perímetro • Protección en los servidores • Protección en los desktops • Mínimo privilegio posible • Mínimo punto de exposición
Malware Malware Soluciones - Defensa en profundidad El malware de hoy en día necesita de una solución integrada:
Anti-Virus Firewall Firewall Anti-Spam Anti-
Spyware
Códigos
Maliciosos:
1. Los ataca atacant ntes es inf infect ectan an las las comp computa utador doras as de de los los clien cliente tess con con un código malicioso (troyano (troyano o Key Logger). Logger). 2. Estos programas se instalan automáticamente automáticamente, sin que el cliente lo sepa, al ingresar a determinados sitios Web o luego de haber hecho click en el adjunto de un e-mail que contiene este programa. 3. Cuando Cuando el el clie client ntee visi visita ta el ssiti itio oW Web eb de la la orga organiz nizaci ación, ón, el código se activa y almacena la información digitada digitada por el cliente en el servidor (es) del hacker. 4. El est estaf afado adorr ingre ingresa sa al sitio sitio Web verdad verdadero ero para para hace hacerr transacciones con transacciones con los datos capturados del cliente.
Pharming:
1. En Entr traa den dentr tro o de la ca cattegor egoría ía de códigos maliciosos. maliciosos. 2. Se d dif ifer eren encia cia de los los demá demáss po porr que que cuand cuando o se aact ctiv ivaa redirige al usuario hacia el sitio Web falso del hacker a pesar de digitarse la dirección de la página en el browser. browser. 3. Si u una na eemp mprres esaa que que ac acced cedee a IInt ntern ernet et a tr traavés vés de un mismo servidor (proxy) tiene una máquina infectada puede dirigir masivamente a todos sus usuarios a sitios web falsos.
“PHARMING O TROYANO” •ENVÍO DE CORREO MASIVO, INVITANDO A LOS USUARIOS DE CORREO,
DESCARGAR UN ARCHIVO EN SU COMPUTADORA, EL MISMO QUE LE VA A PERMITIR ACELERAR SU NAVEGADOR; TAMBIEN SUPUESTAMENTE LOS MEDIOS DE COMUNICACION DE PRESTIGIO LE ENVIAN NOTICIAS, PRIMICIAS O ALGUNA INFORMACION QUE LLAME MUCHO LA ATENCION. ATENCION. •ESTE ARCHIVO QUE CONTIENE OCULTO UN “TROYANO” VA A MODIFICAR
EL ARCHIVO HOST, O VA A CREAR CARPETAS QUE CONTIENEN ARCHIVOS CON LAS PAGINAS WEB CLONADAS DE LOS BANCOS, PARA QUE CUANDO LA VÍCTIMA ESCRIBA EN LA BARRA DE DIRECCIONES DEL EXPLORADOR LA DIRECCIÓN WEB DE SU BANCO, ESTE AUTOMÁTICAMENTE ES
REDIRECCIONADO A DICHA D ICHA PÁ PÁGINA GINA WEB CLONADA.-
“PHARMING O TROYANO” •EN ESTA PÁGINA WEB FALSA SE SOLICITA A LOS USUARIOS INGRESAR SU INFORMACIÓN CONFIDENCIAL LA CUAL VA A PARAR A UN CORREO, B.D. O SERVIDOR VIRTUAL. •ES CON ESTA INFORMACION QUE SE PRODUCEN LAS TRANSFERENCIAS,
COMPRAS, INTERNET. RECARGAS VIRTUALES O PAGO DE SERVICIOS, A TRAVES DE LA •POR CONSIGUIENTE AFECTAN LAS CUENTAS BANCARIAS DE LOS CLIENTES
DE LOS DIFERENTES BANCOS, NO SOLAMENTE DEL PAIS SINO TAMBIEN DEL EXTRANJERO.
“PHARMING O TROYANO - CASOS” "LA CANTANTE CANTANTE SHAKIRA, AL BORDE DE LA MUERTE" "URGENTE: IMPLEMENTE IMPL EMENTE SU SEGURIDAD S EGURIDAD,, EVITE SER EST ESTAFAD AFADO" O" "ABSOLVIERON A ALBERTO FUJIMORI" "PRIMERA DAMA SUFRE INFARTO INFARTO CEREBRAL" "SHAKIRA Y CARLOS VIVES ALB ALBOROT OROTAN AN LETICIA" "RISAS Y MIRADAS (VIDEO DEL EX PRESIDENTE ALBERTO FUJIMORI Y VLADIMIRO MONTESINOS" "RICKY MARTIN SE SUICIDA" "FALLECIÓ FAMOSO CANTANTE GIANMARCO" "VIDEO INDRID BETACOURT" “CHILE DECLARA LA GUERRA AL PERU” “MAGALY MEDINA SUFRE ATENTADO EN CARCEL” “ TONGO EN ESTADO ESTADO DE COMA”
SE SUICIDA SUI CIDA EL PUMA PUM A CARRANZA Y MA MAT TA A UNA DE SUS HIJAS “FOQUITA “FOQUIT A FARFAN FARFAN AL BORDE B ORDE DE LA MUERTE”
COMA NDA NTE PNP A nd ré s A STETE VAR GA S
COMA NDA NTE PNP A nd ré s A STETE VAR GA S
TROYANOS Se
denomina troyano troyano (Caballo de Troya o Troyan Horse) a un programa malicioso capaz malicioso capaz de alojarse en un computador o dispositivo y permitir el acceso a usuarios externos, a través de una red
local o de Internet, con remotamente el fin de recabar información o controlar a la máquina anfitriona. Un troyano no es en sí un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal.
La
diferencia fundamental entre un troyano y un virus consiste en su finalidad. finalidad. Para que un programa sea un "troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, advertido, normalmente bajo una apariencia inocua. Al contrario contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque daños porque no es su objetivo.
Suele
ser un programa alojado dentro de una aplicación, una imagen, un archivo de música u
otro de apariencia inocente , que instalaelemento en el sistema al ejecutar inocente, el archivo que se lo contiene. Una vez instalado parece realizar una función útil (aunque troyanos permanecen y por tal cierto motivotipo losde antivirus o anti troyanosocultos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos.
132
• Habitualmente se utiliza para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que que el usuario legítimo de la computado computadora ra hace (en este caso el troyano es un spyware o programa espía) y, y, por ejemplo, ccapturar apturar las pulsaciones de dell teclado con el fin de obtener contrase contraseñas ñas (cuando un tr troyano oyano hace es esto to se le cataloga de keylogger) u otra información sensible. •
La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado actualizado;; es recomendable también instalar algún software anti troyano. troyano.
•
Otra solución bastante eficaz contra los troyanos es tener instalado un u n firewall firewall.. Otra manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en memoria en busca de elementos extraños, vigilar accesos a disco innecesarios, etc.
Lo
peor de todo es que últimamente los troyanos están siendo diseñados de tal manera que, es imposible poder detectarlos excepto ex cepto por programas que a su vez contienen otro tipo de troyano.
Inclusive
existen dentro deeslos comerciales, paratroyanos poder saber cual elprogramas tipo de uso que se les da y poder sacar mejores herramientas al mercado llamados también "troyanos sociales"
EXPLOITS Exploit Exploit (del (del
inglés to exploit: explotar o aprovechar) es un programa informático malicioso, malicioso, o parte de un programa, que trata de forzar alguna deficiencia o vulnerabilidad de
otrofinprograma progr ama El puede
(llamados bugs). ser la destrucción o inhabilitación del sistema atacado, atacado, aunque normalmente se trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros. Un "exploit" es usado normalmente para explotar una vulnerabilidad en un sistema y acceder a él, lo que es llamado como "rootear". También lo llaman oportunista.
Criptografía Es el arte o ciencia de cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes de manera que sólo puedan ser leídos por las personas a quienes van dirigidos.. dirigidos
Certificado digital Un Certificado Digital es un documento digital emitido por una Autoridad de Certificación o Autoridad Certificante (AC o CA por sus siglas en inglés Certification Authority) que garantiza la vinculación entre la identidad de un sujeto o entidad. http://www.verisign.com/
http://www.thawte.com/
http://www.positivessl.com/ http://www.digicert.com/ http://www.digicert.com/
¿Cómo identifico un sitio seguro?
https://mi.ing.udep.edu.pe
¿Cómo identifico un sitio seguro?
¿Cómo identifico un sitio seguro?
¿Cómo identifico un certificado no válido?
Certificados inválidos
SEGURIDAD DE AUTENTIFICACIÓN
La autentificación consiste en identificarse como un usuario autorizado de una aplicación, demostrando que la persona que está accediendo al sistema es quien dice ser. ser. La manera más común de autentificarse en una aplicación Web consiste en ingresar un nombre de usuario y una contraseña privada contraseña privada y secreta.
Ahora ya no se trata de determinar solamente que el usuario es quien dice ser, sino que además se trata de una persona (un ser humano), y no de una aplicación maliciosa maliciosa que intenta acceder a nuestro sistema. Una forma para garantizar que quién accede a nuestra aplicación es una persona real, consiste en incluir en las ventanas de acceso, elementos que sólo podrán ser identificados por una persona, a través tra vés de sus sentidos. sentidos.
Protección contra accesos no autorizados
Lo mas importante con respecto al control de accesos es concientizar a los usuarios de la importancia de mantener en es estricta tricta reserva los nombres de usuario las contraseñas contraseñas utilizadas para acceder a una aplicación aplyicación Web. Nunca deben revelarse las contraseñas a otra persona, a través de otra aplicación Web, o respondiendo un correo electrónico. ele ctrónico. Por seguridad, ninguna aplicación Web real solicita ingresar la contraseña personal en una
ventana distinta distinta a la de acceso al sistema.
Contraseñas - Soluciones 1.
Ticket de ingreso: Consiste en proveer un ticket a cada inicio de sesión, de modo que el usuario deberá ingresar el código de ticket (letras y/o números) luego de oír o leer su contenido. De esta manera, se evita que un programa malicioso suplante la identidad de un usuario y envíe repetitivamente los parámetros solicitados (nombre de usuario y contraseña), generando contraseñas aleatoriamente, intentando iniciar una sesión de manera fraudulenta. La forma común de mostrar un ticket es generando una cadena random de caracteres y luego transformarla en una imagen, la cual será mostrada en el formulario de
ingreso al sistema.
El usuario visualiza o escucha el contenido de la imagen mostrada e ingresa este código en el campo solicitado en el formulario de registro. registro. Antes de validar el nombre de usuario y la contraseña, la aplicación verificará que el código ingresado coincide con el código que mostró en el formulario. Debido a que hay algoritmos que realizan la terea contraria, generando caracteres partir de una imagen,lalacadena manerademas usual dea presentar estas imágenes en los formularios es distorsionándolas para que sea más difícil
descifrarlas por alguna aplicación.
Formulario con ticket en imagen regular
Formulario con ticket en imagen distorsionada y opción para escuchar el contenido del ticket tic ket
Formulario de inicio de sesión en una cuenta de gmail con muchos intentos de acceso no exitosos. La aplicación lleva un contador de los intentos fallidos f allidos sucesivos para una
misma cuenta. En un inicio inicio no aparece la imagen del ticket. Recién la presenta en el formulario cua cuando ndo se supera el nú número mero límite de accesos fallidos.
Otra manera de cuidar la seguridad en una aplicación web es indicándole al usuario el nivel de seguridad de la contraseña elegida.
Las maneras mas utilizadas para restablecer una contraseña requieren una cuenta de correo a lay cual nueva contraseña; o elelectrónico registro desecundaria, una pregunta una enviarán respuestala secreta.
La manera mas segura para evitar los troyanos y los keyloggers k eyloggers es insertando un teclado numérico dinámico en el formulario para que no se conozcan las teclas pulsadas. Al hacer que los números cambien de posición se evita que se pueda pueda deducir una clave en función a la zona de la pantalla en la que se hace click.
Cuando se acceda a una aplicación web desde un computador inseguro, deberán revisar que no tenga programa keylogger Teclear las contraseñas con elun teclado en pantalla queejecutándose. nos presentan como opción los sistemas operativos es la mejor manera de evitar que conozcan nuestras contraseñas.
Es por la existencia de un número importante de amenazas y riesgos, que la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo. Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización del respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos.
Pasos de las políticas de seguridad:
Identificar y seleccionar lo que se debe proteger (información sensible).
Establecer niveles de prioridad e importancia sobre esta información.
Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la pérdida de datos sensibles .
Identificar las amenazas, así como los niveles de vulnerabilidad de la red. Realizar un análisis de costos en la preve prevención nción y recuperación de la información, en caso de sufrir un ataque y perderla.
Implementar respuesta respuesta a incidentes y recuperación para disminuir el impacto.
SEGURIDAD DE LA INFORMACION Importancia de la información Cuando se habla de la función informática generalmente se tiende a hablar de tecnología nueva, de nuevas aplicaciones, nuevos dispositivos de hardware hardware,, nuevas formas de elaborar información más consistente, etc. Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace posible la existencia de los anteriores elementos. Esta base es la información. Es muy importante conocer su significado dentro la función informática, de forma esencial cuando su manejo esta basado en tecnología moderna, para esto se debe conocer que la información: Esta almacenada y procesada en computadoras. Puede Puede Puede
ser confidencial para algunas personas o a escala institucional. ser mal utilizada o divulgada. estar sujeta a robos, sabotaje o fraudes. Los primeros puntos nos muestran que la información esta centralizada y que puede tener un alto valor y los últimos puntos nos muestran que se puede provocar la
tener un alto valor y los últimos puntos nos muestran que se puede provocar la destrucción total o parcial de la información, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo.
Pensemos por un momento que pasaría si se sufre s ufre un accidente en el centro de computo o el lugar donde se almacena la información. Ahora preguntémonos: preguntémonos: ¿Cuánto tiempo pasaría para que la organización este nuevamente en operación? Es necesario tener presente que el lugar donde se centraliza la información con frecuencia el centro de cómputo puede ser el activo más valioso y al mismo tiempo el más vulnerable.
Delitos accidentales e incidentales Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad. En la actualidad los delitos cometidos tienen t ienen la peculiaridad de ser descubiertos en un 95% de forma casual. Podemos citar a los principales principales delitos hechos por computadora o por medio medio de computadoras estos son: audes. Fr audes. Falsificación. lsificación. Fa
Venta de información. Ve Entre los Entre los hechos criminales más famosos en los E.E.U.U. E.E .U.U. están: El
caso del Banco Wells Fargo donde se evidencio evidencio que que la protección de archivos era inadecuada, ina decuada, cuyo error costo US 21.3 millones.
El El
caso de la NASA donde dos alemanes ingresar on on en archivos confidenciales. caso de un muchacho de 15 años que entrando a la computadora de la Universida de Berkeley en California destruyo gran cantidad de archivos. También se menciona el caso de un estudiante de una escuela que ingreso a una red
canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomo el control de una embotelladora de Canadá. También el caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causo una perdida de US 3 millones.
El activo más importante que se posee es la información, y por lo tanto deben existir técnicas que la aseguren, aseguren, más allá de la seguridad física q que ue se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que que resguardan resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas a utorizadas para hacerlo. Los objetivos para conseguirlo conseguirlo son: (de personas de la organización y de las que no lo son) a los Restringir el acceso (de programas y archivos. archivos.
Asegurar que los archivos oper ivos adores adores trabajar pero que no no puedan modificar los . programas ni los arch quepuedan no correspondan (sinque un una a supervisión minuciosa). minuciosa) Asegurar que se utilicen utilicen los datos, archivos y programas programas correctos con el procedimiento elegido. elegido. Asegurar que la información información transmitida sea la misma que que reciba el destinatario al cual se ha enviado y que no le llegue a otro. Asegurar que que existan sistemas y pasos de emergencia alternativos emergencia alternativos de transmisión entre diferentes puntos. puntos. Organizar a cada uno de uno de los empleados por jerarquía iinformática, nformática, con claves distinta y permisos bien establecidos, establecidos, en todos y cada uno de los l os sistemas o softwares
empleados.
Paradigmas sobre la seguridad Es muy importante que se conozca los paradigmas que existen en las organizaciones sobre la seguridad, para no encontrarse con un contrincante desconocido. Generalmente
se tiene la idea que los procedimientos de auditoría es responsabilidad del personal del centro de computo, pero se debe cambiar este paradigma y conocer c onocer que estas son responsabilidades del usuario y del departamento de auditoría interna. También muchas compañías cuentan con dispositivos de seguridad física fí sica para los También computadores y se tiene la idea que los sistemas s istemas no pueden ser violados si no se ingresa al centro de computo, ya que no se considera el uso de terminales ni sistemas remotos. Se piensa también que los casos de seguridad que tratan de seguridad de incendio o robo que "eso no me puede suceder a mí" o "es poco probable que suceda". se cree que los computadores y los programas son tan complejos que nadie fuera de su organización los va a entender y no les van a servir, ignorando ignorando las personas que puedan captar y usarla para otros fines.
También También
Los
sistemas de seguridad generalmente no consideran la posibilidad de fraude interno que es cometido por el mismo personal en el desarrollo de sus funciones.
Generalmente que la seguridad por clave de acceso es inviolable pero no se considera a se lospiensa delincuentes sofisticados. Se suele suponer que los defectos y errores son inevitables. También se cree que se hallan fallas porque nada es perfecto. Y la creencia que la seguridad se aumenta solo con la inspección.
Consideraciones inmediatas para la Seguridad de la Información Uso de la Computadora Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: tiempo de máquina para uso ajeno, copia de programas de la organización para fines de comercialización (copia pirata), acceso directo o telefónico a bases de datos con fines fraudulentos.
Sistema delos Acceso Para evitar fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: nivel de seguridad de acceso, empleo de las claves de acceso, evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo.
Cantidad y Tipo de Información El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que: la información este en manos de algunas personas, la alta dependencia en caso de perdida de datos.
Control de Programación Programación Se debe tener conocimiento conocimiento que el delito más común está presen presente te en el momento de la programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que: los programas no contengan contengan bombas lógicas, los programas deb deben en contar con fuentes y sus ultimas actualizaciones, actualizaciones, los programas deben conta contarr con documentación técnica, operativa operativa y de emergencia.
Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente: la dependencia del sistema a nivel operativo y técnico, evaluación del grado de capacitación operativa y técnica, contemplar la cantidad de personas con acceso operativo y administrativo, conocer la capacitación del personal en situaciones de emergencia.
Medios de Control Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. También se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.
TEMA: ANALISIS DE SEGURIDAD SEGURIDAD DE SIS SISTEMAS TEMAS DE INFORMACION INFORMACION OBJETIVO DEL TRABAJO: Conocer cerca y experimentar de Seguridad en los Sistemas de Información de de la empresa donde laboraelo análisis la institución donde usted desee evaluar. evaluar. ESQUEMA A SEGUIR: Datos Generales de la Organización (Reseña histórica, misión, visión, valores, objetivos
Estratégicos, organigrama, Información del Personal, equipos de TI, Infraestructura, entre otros). Análisis de vulnerabilidades de la organización. Conclusiones.