CONCEPTOS BASICOS DE AUDITORIA Y

SEGURIDAD EN INFORMATICA
UNIVERSIDAD NACIONAL DE SAN MARTIN – FACULTAD DE INDENIERIA DE
SISTEMAS E INFORMATICA

RESUMEN
Cualquier proceso de seguridad en informática, debe de comenzar con la
revisión de las fuentes documentales y/o conceptos básicos de nuestro objeto
de estudio.

No se puede iniciar un trabajo sin el conocimiento previo de los conceptos, el

mismo lleva a la búsqueda y localización de lo que interesa. Inicialmente,
conocer en qué estado se encuentra la información sobre el tema que va a
estudiar.

PALABRAS CLAVES
 Seguridad
 Deontología
 Pruebas alfa
 Pruebas beta
 Vulnerabilidad

ABSTRAC
Any computer security process should begin with a review of the documentary
sources and / or basics of our object of study.

You can not start a job without prior knowledge of the concepts, it leads to
search and locate what matters. Initially, know in what state is the information
on the subject to be studied.
KEYWORKS

• Security
• Ethics
• Alpha Testing
• Beta testing
• Vulnerability

I. INTRODUCCION
Actualmente nos encontramos en la llamada sociedad de la información. El ser
humano es un ser informativo, por lo tanto previene y asegura sus propios
conocimientos como si fuera un sistema.

En este informe detallaremos conceptos importantes y precisos para obtener

un conocimiento básico para empezar a utilizar la seguridad en informática
correcta y debidamente.

II. CONCEPTOS

RIESGO

Se refiere a la incertidumbre o probabilidad de que ocurra o se realice una

eventualidad, la cual puede estar prevista; en este sentido podemos decir que
el riesgo es la contingencia de un daño. En informática se refiere la
incertidumbre existente por la posible realización de un suceso relacionado con
la amenaza de daño respecto a los bienes o servicios informáticos. [1]

El riesgo es la probabilidad de que existan eventualidades que afecten el

desarrollo de una organización o el sistema de información de la misma. Los
riesgos se pueden prevenir con planes de contingencias.

AMENAZA
Una amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o
acción que puede producir un daño sobre los elementos de un sistema. Existen
amenazas internas como también externas. [2]

Es el peligro latente de ciertas actividades o eventualidades que se presentan

en todo sistema de información, las cuales pueden provenir del factor externo
como interno.

MITIGACION

Medidas de intervención dirigidas a reducir o atenuar el riesgo. La mitigación es

el resultado de una decisión política y social en relación con un nivel de riesgo
aceptable, obtenido del análisis del mismo y teniendo en cuenta que dicho
riesgo es imposible de reducir totalmente. [3]

El propósito de la mitigación es la reducción de la vulnerabilidad, es decir la

atenuación de los potenciales y los bienes causados por un evento. [4]

Mitigar significa prevenir o minimizar los riesgos que podrían causar daño a un
sistema de información (hardware y software).

RESILIENCIA

La resiliencia es la capacidad de un sistema de soportar y recuperarse ante

desastres y perturbaciones. [5]

La característica de la resiliencia es de volver a su estado inicial y normal del

sistema.

VULNERABILIDAD

Las vulnerabilidades son puntos débiles del software que permiten que un
atacante comprometa la integridad, disponibilidad o confidencialidad del mismo.
[6]

Hace referencia a una debilidad en un sistema permitiendo a un atacante violar

la confidencialidad, integridad, disponibilidad, control de acceso y consistencia
del sistema o de sus datos y aplicaciones. [7]

La vulnerabilidad es lo frágil de un sistema de información, donde se puede

manipular la seguridad, la integridad, el acceso y la administración en su
totalidad de dicho sistema.
ENTROPIA

La entropía puede ser considerada como una medida de la incertidumbre y de

la información necesaria para, en cualquier proceso, poder acotar, reducir o
eliminar la incertidumbre. [8]

Es la tendencia hacia la desorganización y la distribución uniforme de los

elementos de un sistema, lo cual implica la anulación de sus diferencias de
potencial y por ende de su capacidad de trabajo, debido al desgaste que el
sistema presenta por el transcurso del tiempo o por el funcionamiento del
mismo. Los sistemas altamente entrópicos tienden a desaparecer por el
desgaste generado por su proceso sistémico. [9]

Es la medida que se toma para eliminar o reducir la incertidumbre en un

sistema.

HOMEOSTASIS

Es la característica de un sistema abierto o de un sistema cerrado,

especialmente en un organismo vivo, mediante la cual se regula el ambiente
interno para mantener una condición estable y constante. Los múltiples ajustes
dinámicos del equilibrio y los mecanismos de autorregulación hacen la
homeostasis posible. [10]

Autorregula al sistema por medio del mantenimiento de sus propiedades y

componentes.

PRUEBAS ALFA

Es la primera versión del programa, la cual es enviada a los verificadores para

probarla. Algunos equipos de desarrollo utilizan el termino alfa informalmente
para referirse a una fase donde un producto todavía es inestable, aguarda
todavía a que se eliminen los errores o a la puesta en práctica completa de
toda su funcionalidad, pero satisface la mayoría de los requisitos. [11]

Son las pruebas iniciales que se realizan después del desarrollo de un sistema,
las cuales son verificadas por especialistas.

PRUEBAS BETA
Una versión beta o lanzamiento beta representa generalmente la primera
versión completa del programa informático o de otro producto, que es posible
que sea inestable pero útil para que las demostraciones internas y las
inspecciones previas seleccionen a clientes. [12]

Son las pruebas completas y desarrolladas por los usuarios finales, como
primera versión de programa.

PRUEBAS DE CONCURRENCIA

En el ámbito de las pruebas de rendimiento es muy común el termino de

concurrencia se utiliza para dar información sobre el uso de la demanda que en
un momento determinado está soportando una aplicación. Sin embargo, el
concepto aparece con ciertas ambigüedades ya que por concurrencia podemos
referirnos indistintamente al número de usuarios o a la demanda de
operaciones atendidas (con independencia del número de usuarios). [13]

Las pruebas de concurrencia se dan para verificar las condiciones del sistema
al ocurrir demanda en algunas de sus aplicaciones. También son desarrolladas
dentro de las pruebas alfa y beta.

PRUEBAS DE CAJA BLANCA

También suelen ser llamadas estructurales o de cobertura lógica. En ellas se

pretende investigar sobre la estructura interna del código, exceptuando detalles
referidos a datos de entrada o salida, para probar la lógica del programa desde
el punto de vista algorítmico. Realizan un seguimiento del código fuente según
se va ejecutando los casos de pruebas, determinándose de manera concreta
las instrucciones, bloques, etc.; que han sido ejecutados por los casos de
prueba. En las pruebas de Caja Blanca se desarrollan casos de prueba que
produzcan la ejecución de cada posible ruta del programa o modulo,
considerándose una ruta como una combinación específica de condiciones
manejadas por un programa. [14]

En la cual lo observable es total ya que el verificador tiene acceso a todos los

puntos del sistema. [15]

Es conocer en su totalidad lo interno del programa y de esa manera ejecutar

las pruebas deseadas.
PRUEBAS DE CAJA NEGRA

También suelen llamarse funcionales y basadas en especificaciones. En ellas

se pretende examinar el programa en busca de que cuente con las
funcionalidades que debe tener y como lleva a cabo las mismas, analizando
siempre los resultados que devuelve y probando todas las entradas en sus
valores validos e inválidos. Al ejecutar las pruebas de Caja Negra se
desarrollan casos de prueba reales para cada condición o combinación de
condiciones y se analizan los resultados que arroja el sistema para cada uno
de los casos. [16]

En la cual lo observable se limita a las señales de salida, por lo cual el diseño

es totalmente invisible al verificador. [17]

Se desarrollan por medio de los resultados que son brindados por el programa,
el verificador deberá probar si la funcionalidad del sistema es correcto.

PRUEBAS DE CAJA GRIS

En la cual lo observable se encuentra entre caja blanca y caja negra, de tal

forma que lo observable se realiza a través de las salidas del sistema (como en
el caso de la caja negra) y los puntos más críticos (en lugar de todos los puntos
del sistema como en el caso de la caja blanca). [18]

La caja gris se utiliza debido a algunos problemas que tienen la caja negra
como la blanca, ya que en esta se verifica la señal de salida, pero como no es
suficiente también se necesita conocer lo interior del programa, como el código
fuente.

PRUEBAS UNITARIAS

En programación, una prueba unitaria es una forma de probar el correcto

funcionamiento de un módulo de código. Esto sirve para asegurar que cada
uno de los módulos funcione correctamente por separado. Luego, con
las Pruebas de Integración, se podrá asegurar el correcto funcionamiento del
sistema o subsistema en cuestión.

La idea es escribir casos de prueba para cada función no trivial o método en el

módulo, de forma que cada caso sea independiente del resto. [19]

PRUEBAS DE ESTRÉS
Esta prueba se utiliza normalmente para romper la aplicación. Se va doblando
el número de usuarios que se agregan a la aplicación y se ejecuta una prueba
de carga hasta que se rompe. Este tipo de prueba se realiza para determinar la
solidez de la aplicación en los momentos de carga extrema y ayuda a los
administradores para determinar si la aplicación rendirá lo suficiente en caso de
que la carga real supere a la carga esperada. [20]

SEGURIDAD

Se refiere a las características y condiciones de sistemas de procesamiento de

datos y su almacenamiento, para garantizar su confidencialidad, integridad y
disponibilidad. [21]

Con la seguridad se busca establecer normas que minimicen los riesgos a la

información o infraestructura informática. [22]

Es la capacidad de un sistema que ofrece integridad, confidencialidad y

disponibilidad a una organización.

DEONTOLOGIA

Trata de la mora o ética profesional en el manejo de los activos informáticos de

una organización.

III. CONCLUSION
Actualmente la dura, difícil y cambiante globalización se vuelve más
compleja por la gran diversidad de información que se ven obligados a
almacenar y analizar, razón por la cual los profesionales se ven en la
necesidad de recurrir a la seguridad informática, iniciándose por conceptos
básicos.

RECOMENDACIONES
Sabemos que la tecnología y la ciencia mejoran y avanzan día a día, por tanto
los profesionales de ingeniería de sistemas están obligados a conocer los
conceptos básicos y darles mayor importancia a los temas más sencillos como
complejos, para lograr brindar los servicios del ethical hacking.

Conocer los fenómenos o posibilidades que le pueden ocurrir a un determinado

sistema, para así contrarrestarlos con la solución debida.

REFERENCIAS
[1] http://biblio.juridicas.unam.mx/libros/2/909/5.pdf

[2] http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

[3]
http://bvs.per.paho.org/eswww/proyecto/repidisc/publica/repindex/repi067/termi
nos.html

[4] http://es.wikipedia.org/wiki/Mitigaci%C3%B3n

[5] http://es.wikipedia.org/wiki/Resiliencia

[6] http://es.wikipedia.org/wiki/Vulnerabilidad#En_inform.C3.A1tica

[7] http://www.alegsa.com.ar/Dic/vulnerabilidad.php

[8] http://es.wikipedia.org/wiki/Entrop%C3%ADa_(informaci%C3%B3n)

[9] http://www.wikiteka.com/apuntes/ayuda-21/

[10] http://www.wikiteka.com/apuntes/ayuda-21/

[11]http://www.taringa.net/posts/info/8341302/Que-significa-beta-en-
informatica.html

[12] http://es.wikipedia.org/wiki/Fases_del_desarrollo_de_software

[13]http://qatecnico.blogspot.com/2011/09/pruebas-de-rendimiento-
concurrencia.html

[14]http://www.informatica-
juridica.com/trabajos/Propuesta_Procedimiento_para_realizar_pruebas_Caja_B
lanca_aplicaciones_desarrollan_lenguaje_Python.asp

[15] http://www.uhu.es/raul.jimenez/EMPOTRADO/verificacion.pdf
[16]http://www.informatica-
juridica.com/trabajos/Propuesta_Procedimiento_para_realizar_pruebas_Caja_B
lanca_aplicaciones_desarrollan_lenguaje_Python.asp

[17] http://www.uhu.es/raul.jimenez/EMPOTRADO/verificacion.pdf

[18] http://www.uhu.es/raul.jimenez/EMPOTRADO/verificacion.pdf

[19] http://es.wikipedia.org/wiki/Prueba_unitaria

[20] http://www.slideshare.net/CarlosGarca/pruebas-de-estress

[21] http://protejete.wordpress.com/gdr_principal/definicion_si/

[22] http://es.wikipedia.org/wiki/Seguridad_inform
%C3%A1ticaAQAQASQQQQAAWQWSZSW