Establece la seguridad informtica

Escuela: CENTRO DE BACHILLERATO

TECNOLOGICO INDUSTRIAL.

Carrera: Soporte y mantenimiento en sistema

computacional

Nombre: Juan Fernando bautista cabrera.

Grupo: 3I

Maestra: LSC. Magdalena Escarcia Lozano

TRABAJOS DE LA
UNIDAD 3

Establece la seguridad informtica

Escuela: CENTRO DE BACHILLERATO

TECNOLOGICO INDUSTRIAL.

Carrera: Soporte y mantenimiento en sistema

computacional

Nombre: Juan Fernando bautista cabrera.

Grupo: 3I

Maestra: LSC. Magdalena Escarcia Lozano

PRACTICA 10

S.E.P.

D.G.E.T.I.

S.E.M.S.

CENTRO DE BACHILLERATO TECNOLOGICO industrial y de servicios No. 1

PRACTICAS 10 SUBMODULO 3: Establece la seguridad informtica en el equipo de cmputo

MAESTRA: L.S.C. MAGDALENA ESCARCIA LOZANO

Periodo: AGOSTO 2014- ENERO 2015

NOMBRE: _______________________________________________GRUPO__________CAL:____

Niveles de Seguridad Informtica

I.- Investiga por internet los siguientes niveles de la seguridad Informtica,
aorando una definicin de cada una de ellas:

Nivel D
Este nivel contiene slo una divisin y est reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificacin de seguridad.
Sin sistemas no confiables, no hay proteccin para el hardware, el sistema operativo es
inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el
acceso a la informacin. Los sistemas operativos que responden a este nivel son MSDOS y System 7.0 de Macintosh.
Nivel C1: Proteccin Discrecional
Se requiere identificacin de usuarios que permite el acceso a distinta informacin.
Cada usuario puede manejar su informacin privada y se hace la distincin entre los
usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo pueden ser realizadas
por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo.
Con la actual descentralizacin de los sistemas de cmputos, no es raro que en una
organizacin encontremos dos o tres personas cumpliendo este rol. Esto es un problema,
pues no hay forma de distinguir entre los cambios que hizo cada usuario.
A continuacin se enumeran los requerimientos mnimos que debe cumplir la clase C1:

Acceso de control discrecional: distincin entre usuarios y recursos. Se podrn

definir grupos de usuarios (con los mismos privilegios) y grupos de objetos
(archivos, directorios, disco) sobre los cuales podrn actuar usuarios o grupos de
ellos.

Identificacin y Autentificacin: se requiere que un usuario se identifique antes

de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podr
ser accedido por un usuario sin autorizacin o identificacin.

Nivel C2: Proteccin de Acceso Controlado

Este subnivel fue diseado para solucionar las debilidades del C1. Cuenta con
caractersticas adicionales que crean un ambiente de acceso controlado. Se debe llevar
una auditoria de accesos e intentos fallidos de acceso a objetos.
Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos comandos o
tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con
base no slo en los permisos, sino tambin en los niveles de autorizacin.
Requiere que se audite el sistema. Esta auditora es utilizada para llevar registros de
todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el
administrador del sistema y sus usuarios.
La auditora requiere de autenticacin adicional para estar seguros de que la persona que
ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos
adicionales requeridos por el procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas tareas de
administracin del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administracin del sistema,
ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema.
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad
multinivel, como la secreta y ultrasecreta. Se establece que el dueo del archivo no
puede modificar los permisos de un objeto que est bajo control de acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de
seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con unas categoras
(contabilidad, nminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y
viceversa. Es decir que cada usuario tiene sus objetos asociados.
Tambin se establecen controles para limitar la propagacin de derecho de accesos a los
distintos objetos.
Nivel B2: Proteccin Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto
inferior.
La Proteccin Estructurada es la primera que empieza a referirse al problema de un
objeto a un nivel mas elevado de seguridad en comunicacin con otro objeto a un nivel
inferior.
As, un disco rgido ser etiquetado por almacenar archivos que son accedidos por
distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y
seguridad son modificadas; y el administrador es el encargado de fijar los canales de
almacenamiento y ancho de banda a utilizar por los dems usuarios.
Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware de
administracin de memoria se usa para proteger el dominio de seguridad de acceso no
autorizado a la modificacin de objetos de diferentes dominios de seguridad.
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las
permite o las deniega segn las polticas de acceso que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeas como para

permitir anlisis y testeos ante posibles violaciones.

Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una
conexin segura.
Adems, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Nivel A: Proteccin Verificada
Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin, mediante
mtodos formales (matemticos) para asegurar todos los procesos que realiza un usuario
sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores
deben incluirse. El diseo requiere ser verificado de forma matemtica y tambin se
deben realizar anlisis de canales encubiertos y de distribucin confiable.

Establece la seguridad informtica

Escuela: CENTRO DE BACHILLERATO

TECNOLOGICO INDUSTRIAL.

Carrera: Soporte y mantenimiento en sistema

computacional

Nombre: Juan Fernando bautista cabrera.

Grupo: 3I

Maestra: LSC. Magdalena Escarcia Lozano

Practica 9

S.E.P.
D.G.E.T.I.
CENTRO DE BACHILLERATO TECNOLOGICO industrial y de servicios No. 1

S.E.M.S.

PRACTICAS 9 SUBMODULO 3: Establece la seguridad informtica en el equipo de cmputo

MAESTRA: L.S.C. MAGDALENA ESCARCIA LOZANO
Periodo: AGOSTO 2014- ENERO 2015
NOMBRE: JUAN FERNANDO BAUTISTA CBRERA GRUPO 3 I CAL:____

INVESTIGA LA DEFINICIN LOS SIGUIENTES TIPOS DE AMENAZAS

EN LA SEGURIDAD INFORMTICA

AMENAZA

DEFINICION

HACKER

Un hacker es alguien que descubre las

debilidades de una computadora o de una
red informtica, aunque el trmino puede
aplicarse tambin a alguien con un
conocimiento avanzado de computadoras
y de redes informticas

CRACKER

Un hacker es un individuo que crea y modifica

software y hardware de computadoras, para
desarrollar nuevas funciones o adaptar las
antiguas, sin que estas modificaciones sean
dainas para el usuario del mismo.

PHREAKING

Un phreaker es una persona que investiga

los sistemas telefnicos, mediante el uso
de tecnologa por el placer de manipular
un sistema tecnolgicamente complejo y
en ocasiones tambin para poder obtener
algn tipo de beneficio como llamadas
gratuitas.

IMAGEN

INGENIERA
SOCIAL

Es una tcnica que pueden usar ciertas

personas, tales como investigadores
privados, criminales, o delincuentes
informticos, para obtener informacin,
acceso o privilegios en sistemas de
informacin

SCANNING

Escudriar el contenido de un libro, de un

peridico, echar una hojeada buscando
algo en especial.

SMURF
BROADCAST
STORM

El ataque smurf es un ataque de

denegacin de servicio que utiliza
mensajes
de ping al broadcast con spoofing para
inundar (flood) un objetivo (sistema
atacado

SNIFFING

Supone una amenaza grave para

la seguridad no slo de una mquina sino
tambin de toda una red. Gran cantidad de
trfico confidencial viaja en claro, sin
ningn tipo de cifrado, por las redes de la
mayora de las empresas.

BACKDOORS
TROYANOS

El virus Backdoor es un troyano que abre

una puerta trasera en el sistema de
tu computadora y permite que un hacker
remoto tome el control de tu equipo sin
que lo sepas. El virus Backdoor puede
copiarse a s mismo e instalar nuevas
actualizaciones usando Internet.
Un Exploit es un programa o cdigo que
"explota" una vulnerabilidad del sistema o
de parte de l para aprovechar esta
deficiencia en beneficio del creador del
mismo.

EXPLOITS

SPOOFING

EMAIL
BOMBING

Spoofing, en trminos
de seguridad de redes hace referencia al
uso de tcnicas de identidad
generalmente con usos maliciosos o de
investigacin

PHISHING

DENIAL OF
SERVICE
(DOS
ATTACK)

Phishing o suplantacin de identidad es

un trmino informtico que denomina un
modelo de abuso informtico y que se
comete mediante el uso de un tipo de
ingeniera social caracterizado por
intentar adquirir informacin confidencial
de forma fraudulenta (como puede ser una
contrasea o informacin detallada
sobre tarjetas de crdito u otra
informacin bancaria).
En seguridad informtica, un ataque de
denegacin de servicios, tambin llamado
ataque Dos, es un ataque a un sistema de
computadoras o red que causa que un
servicio o recurso sea inaccesible a los
usuarios legtimos

SQL INJECTION Inyeccin SQL es un mtodo de

infiltracin de cdigo intruso que se vale
de una vulnerabilidad informtica
presente en una aplicacin en el nivel de
validacin de las entradas para realizar
consultas a una base de datos

Establece la seguridad informtica

Escuela: CENTRO DE BACHILLERATO

TECNOLOGICO INDUSTRIAL.

Carrera: Soporte y mantenimiento en sistema

computacional

Nombre: Juan Fernando bautista cabrera.

Grupo: 3I

Maestra: LSC. Magdalena Escarcia Lozano

Resumen del tema 17

ESTRATEGIA DE SEGURIDAD
La Estrategia Proactiva (proteger y proceder) o de previsin de ataques es un
conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos vulnerables
existentes en las directivas de seguridad y a desarrollar planes de contingencia. La
determinacin del dao que un ataque va a provocar en un sistema y las debilidades
y puntos vulnerables explotados durante este ataque ayudar a desarrollar esta
estrategia.
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda
al personal de seguridad a evaluar el dao que ha causado el ataque, a repararlo o a
implementar el plan de contingencia desarrollado en la estrategia Proactiva, a
documentar y aprender de la experiencia, y a conseguir que las funciones
comerciales se normalicen lo antes posible.
La seguridad informtica debe verse ms como un proceso que como una alternativa
tecnolgica dentro de las organizaciones.
Tiene su organizacin un proceso de seguridad informtica? Cuenta con polticas y
procedimientos definidos expresamente para la salvaguarda de los sistemas de
informacin? Cmo calificara el estado actual de la seguridad informtica en su
organizacin? Contar con un proceso de seguridad informtica permitir trabajar de
forma ordenada y consistente en la proteccin de los activos informticos de la
organizacin, identificar con oportunidad los riesgos o errores, y actuar oportunamente
para mitigarlos o tenerlos bajo control.

Establece la seguridad informtica

Escuela: CENTRO DE BACHILLERATO

TECNOLOGICO INDUSTRIAL.

Carrera: Soporte y mantenimiento en sistema

computacional

Nombre: Juan Fernando bautista cabrera.

Grupo: 3I

Maestra: LSC. Magdalena Escarcia Lozano

Resumen del tema 16

POLTICAS DE SEGURIDAD
Es imposible hablar de un sistema cien por cien seguro, sencillamente porque el costo
de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos:
deben optar entre perder un negocio o arriesgarse a ser hackeadas.
La solucin a medias, entonces, sera acotar todo el espectro de seguridad, en lo que
hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar
todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto
significa ni ms ni menos que un gran avance con respecto a unos aos atrs.
Algunas organizaciones gubernamentales y no gubernamentales internacionales han
desarrollado documentos, directrices y recomendaciones que orientan en el uso
adecuado de las nuevas tecnologas para obtener el mayor provecho y evitar el uso
indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y
servicios de las empresas en el mundo.
En este sentido, las Polticas de Seguridad Informtica (PSI), surgen como una
herramienta organizacional para concientizar a cada uno de los miembros de una
organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos.
Estos permiten a la compaa desarrollarse y mantenerse en su sector de negocios.

Polticas de Seguridad de la Informacin

En palabras de Julio C. Ardita: "Una poltica de seguridad funciona muy bien en
EE.UU. pero cuando estos manuales se trajeron a Amrica Latina fue un fiasco...
Armar una poltica de procedimientos de seguridad en una empresa est costando
entre 150-350 mil dlares y el resultado es ninguno... Es un manual que llevado a la
implementacin nunca se realiza... Es muy difcil armar algo global, por lo que siempre
se trabaja en un plan de seguridad real: las polticas y procedimientos por un lado y la
parte fsica por otra."
Para continuar, har falta definir algunos conceptos aplicados en la definicin de una
PSI:
Decisin:eleccin de un curso de accin determinado entre varios posibles.

Plan:conjunto de decisiones que definen cursos de accin futuros y los medios para
conseguirlos. Consiste en disear un futuro deseado y la bsqueda del modo de
conseguirlo.
Estrategia:conjunto de decisiones que se toman para determinar polticas, metas y
programas.
Poltica: definiciones establecidas por la direccin, que determina criterios generales a
adoptar en distintas funciones y actividades donde se conocen las alternativas ante
circunstancias repetidas.
Meta: objetivo cuantificado a valores predeterminados.
Procedimiento: Definicin detallada de pasos a ejecutar para desarrollar una
actividad determinada.
Norma: forma en que realiza un procedimiento o proceso.
Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se
utilizan para coordinar y controlar operaciones.
Proyeccin: prediccin del comportamiento futuro, basndose en el pasado sin el
agregado de apreciaciones subjetivas.
Pronstico: prediccin del comportamiento futuro, con el agregado de hechos
concretos y conocidos que se prev influirn en los acontecimientos futuros.
Control: capacidad de ejercer o dirigir una influencia sobre una situacin dada o
hecho. Es una accin tomada para hacer un hecho conforme a un plan. (2)
Riesgo:proximidad o posibilidad de un dao, peligro. Cada uno de los imprevistos,
hechos desafortunados, etc., que puede tener un efecto adverso. Sinnimos:
amenaza, contingencia, emergencia, urgencia, apuro.

La poltica se refleja en una serie de normas, reglamentos y protocolos a

seguir, donde se definen las medidas a tomar para proteger la seguridad del
sistema; pero... ante todo, "(...) una poltica de seguridad es una forma de
comunicarse con los usuarios... Siempre hay que tener en cuenta que la
seguridad comienza y termina con personas." y debe: Ser holstica (cubrir
todos los aspectos relacionados con la misma). No tiene sentido proteger el
acceso con una puerta blindada si a esta no se la ha cerrado con llave.
Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja
fuerte para proteger un lpiz.
Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y
eficiencia.

Establece la seguridad informtica

Escuela: CENTRO DE BACHILLERATO

TECNOLOGICO INDUSTRIAL.

Carrera: Soporte y mantenimiento en sistema

computacional

Nombre: Juan Fernando bautista cabrera.

Grupo: 3I

Maestra: LSC. Magdalena Escarcia Lozano

Los continuos cambios a los que se enfrentan

actualmente las empresas generan una necesidad de
revisin constante del potencial del equipo directivo
ante la nueva realidad y circunstancias.

Tipos de seguridad
La informtica, como en la vida real, es muy
propensa a tener fallos de seguridad. Los programas
y sistemas informticos son sometidos a bastantes
cambios estructurales y/o funcionales para mejorar
lo que se ha escapado en materia de seguridad.

Incendios

TIPOS DE SEGURIDAD
INFORMTICA
Inundaciones

Seguridad fsica
Condiciones
climatolgicas

Son causados por el uso inadecuado

de combustibles, fallas de
instalaciones elctricas defectuosas y
el inadecuado almacenamiento y
traslado de sustancias peligrosas.

Se las define como la invasin de agua

por exceso de escurrimientos
superficiales o por acumulacin en
terrenos planos, ocasionada por falta
de drenaje ya sea natural o artificial.

Normalmente se reciben por

anticipado los avisos de
tormentas, tempestades,
tifones y catstrofes
ssmicas similares.

La influencia de las seales o

rayos de radar sobre el
funcionamiento de una