HACKER

CRAKER
PHARMING

mpereyrape2001@yahoo.es

SISTEMA DE
INFORMACION

VULNERABILIDAD
ES

Qu es la seguridad en los sistemas de informacin?

Es asegurar los recursos del SI de una organizacin, el cual incluye programas,
equipos e informacin propiamente dicha; se resguarda de esta forma los datos
que se consideran importantes para que no sean vistos por cualquier persona
no autorizada o daada por cualquier elemento malicioso.

DEFINICIONES DE
SISTEMAS DE
INFORMACION

DEFINICIONES DE SISTEMAS DE INFORMACION

SISTEMA: Conjunto de elementos interrelacionados entre si con

el objeto de lograr un fin comn. El todo, es el resultado del
funcionamiento armnico de las partes, basta que una de las
partes deje de funcionar o tenga alguna interferencia, para que
no se cumpla con el objetivo de un sistema.

Video HONDA:

CARACTERISTICAS DE LOS SISTEMAS

Propsito u objetivo, todo sistema debe tener un propsito, los

elementos que se relacionen entre s tratan de alcanzar un objetivo.
Globalismo o totalidad, la entidad o empresa es un todo orgnico
visto como sistema, reaccionar globalmente ante cualquier estmulo
producido en cualquier parte del sistema.
Entropa, los sistemas tienen la tendencia al desgaste, a la
desintegracin, cuando aumenta la entropa, los sistemas
empresariales se vuelven obsoletos en el tiempo, los nuevos
paradigmas remplazan a los antiguos.
Homeostasis, es el equilibrio dinmico entre
las partes del sistema, ante cambios del entorno
empresarial, los sistemas tienden a adaptarse
y alcanzar un nuevo equilibrio interno.

TIPOS DE SISTEMA
En cuanto a su constitucin:

Sistemas Concretos o fsicos, est compuesto por los activos fijos

la empresa, los materiales, etc. tales como las mquinas, equipos, es
decir el Hardware.
Sistemas abstractos, est compuesto por planes, hiptesis, concep
e ideas, est inmerso en el pensamiento de los trabajadores, etc., es
decir es el software.

En cuanto a su naturaleza:
Sistemas cerrados, no tienen contacto con el medio ambiente que
rodea, son hermticos ante cualquier influencia ambiental.
Sistema abiertos, tienen contacto de intercambio con el ambiente e
materia y energa.
Sistema natural, (sistema solar, sistema circulatorio, etc)
Sistema artificial (la empresa)

TIPOS DE SISTEMA
En cuanto al comportamiento:
Sistema determinista: Sistema con un comportamiento
previsible, las partes interactan de un modo perfectamente
previsible, sin dejar lugar a dudas. A partir del ultimo estado del
sistema y el programa de informacin, se puede prever, sin
ningn riesgo o error, su prximo estado. Por ejemplo, al mover
el timn de un vehculo, se puede prever el movimiento de las
ruedas, la palanca, la polea, un programa de computadora.
Sistema probabilstica: Sistema con un comportamiento no
previsible, no se puede hacer una previsin detallada. Si se
estudia intensamente, se puede prever probabilsticamente lo
que suceder en determinadas circunstancias. No esta
predeterminado. La previsin se encuadra en las limitaciones
lgicas de la probabilidad. Por ejemplo, la reaccin de las aves,
cuando se le pone alimento en el parque, se podrn acercar, no
hacerlo o alejarse, el clima, el sistema econmico mundial.

TIPOS DE SISTEMA

Sistemas flexibles, se adaptan a las modificaciones del medio

ambiente, tales como: Los sistemas econmicos, polticos,
sociales, culturales, legales, etc.
Sistemas Rgidos, su concepcin y estructura varan muy
poco, tales como el sistema solar, sistema biolgico del hombre,
sistema de carretas, sistema climatolgico, etc.

PARAMETRO DE LOS SISTEMAS

Todo sistema se caracteriza por determinados parmetros que

son
constantes arbitrarias que caracterizan la dimensin y
propiedades
de un sistema. Los parmetros de los sistemas son:
. Entrada o ingreso (Input)
. Procesamiento o transformacin (Throughput)
. Salida o Resultado o producto (Output)
. Retroalimentacin (Feedback)
. Ambiente
interno y externoprocesamiento
(environment)
input

feedback

output

CARACTERISTICAS DE LAS ORG. COMO SISTEMAS ABIERTOS

1. Comportamiento probabilstico de las organizaciones.

Toda organizacin es afectada por los cambios ambientales, las
variables desconocidas e incontrolables son los protagonistas
para que
la gerencia reaccione al cambio del entorno, el comportamiento
humano no es totalmente previsible.
2. Las organizaciones es parte de la sociedad y est constituida
por
partes menores.
3. Interdependencia de las partes, las unidades orgnicas se
encuentran
interrelacionadas e interconectadas, un cambio en una de ellas,
afecta
el comportamiento de las otras.

CARACTERISTICAS DE LAS ORG. COMO SISTEMAS ABIERTOS

4. Homestasis o estado firme, esto se logra cuando las organizacione

presentan: la unidireccionalidad y el progreso. La unidireccionalidad
se refiere a que la gerencia busca lograr los mismos resultados
ante los cambios del ambiente y el progreso se orienta hacia
el fin deseado.
5. Fronteras sin lmites, es la lnea que demarca lo que est dentro y
fuera del sistema.
6. Morfognesis, todo sistema organizacional tiene la capacidad de
modificar su estructura bsica para obtener mejores resultados del
sistema.

LA EMPRESA ES UN SISTEMAS ABIERTOS

Interacta permanentemente con el entorno empresarial.
Las variables internas son:
- Los Dueos
- Los Directivos
Intervienen en el procesamiento, out put, in put y feedback:
- Los Trabajadores
- Los Recursos Fsicos (insumos, mquinas y equipos, capital)
Las variables externas son: Las variables del micro ambiente o del
micro sistema, estas son controlables por la gerencia.
- El cliente
- La competencia
- Los proveedores
- Las instituciones financieras
- Otras

LA EMPRESA ES UN SISTEMAS ABIERTOS

Variables
Socio-culturales

Variables
Econmicas

Proveedores

Competencia

Instituciones
Financieras

Cliente
Directivos
Gerentes
Trabajadores
Recursos fsicos

Otros
Variables
demogrficas

MICRO
MACRO

Variables
tecnolgicas

Variables
Poltico-Legales

LA EMPRESA ES UN SISTEMAS ABIERTOS

La empresa tambin puede analizarse como un conjunto de funcione

que interactan entre s en las diferentes reas que es parte del
proceso administrativo, se puede sintetizar este sistema de la
siguiente manera:

Empresa
Organizar

Insumos
Planear
Personal

Productos

Dirigir
Finanzas

Controlar

Produccin

Marketing
logstica

Ventas

Retroalimentacin

ETAPAS POR LOS QUE PASA LOS SI

ANALISIS DE SISTEMAS
El Anlisis de Sistemas trata bsicamente de determinar los
objetivos y lmites del sistema objeto de anlisis, caracterizar su
estructura y funcionamiento, marcar las directrices que permitan
alcanzar los objetivos propuestos y evaluar sus consecuencias.
Dependiendo de los objetivos del anlisis, podemos
encontrarnos ante dos problemticas distintas:
-Anlisis de un sistema ya existente para comprender, mejorar,
ajustar
y/o predecir su comportamiento
- Anlisis como paso previo al diseo de un nuevo sistemaproducto

DISEO DE SISTEMAS
El Diseo de Sistemas se ocupa de desarrollar las directrices
propuestas durante el anlisis en funcin deaquella
configuracin que tenga ms posibilidades de satisfacer los
objetivos planteados tanto desde el punto de vista funcional
como del no funcional.

GESTION DE SISTEMAS
La Gestin de Sistemas se ocupa de integrar, planificar y
controlar los aspectos tcnicos, humanos, organizativos,
comerciales y sociales del proceso completo (desde el anlisis y
el diseo hasta la vida operativa del sistema). Los objetivos
principales de la Gestin de Sistemas suelen ser:
-Planificar y controlar el proceso completo de anlisis, diseo y
operacin del sistema dentro del presupuesto, plazo, calidad y
restantes
condiciones convenidas.
- Controlar la validez de los criterios de diseo.
-Controlar la adecuacin del producto del diseo a los requisitos
establecidos en el anlisis.
- Planificar y desarrollar las necesidades de mantenimiento.
-Planificar y desarrollar las necesidades de formacin del
personal que va a operar el sistema.
- Planificar la supervisin del funcionamiento del sistema.

AMBITO DE LA ING. DE SISTEMAS

La Ingeniera de Sistemas a menudo involucra la utilizacin de mo

y la simulacin de algunos aspectos del sistema propuesto para v
hiptesis o explorar teoras.

Modelo: Es la representacin en pequeo de algo, es la represen

simplificada de alguna parte de la realidad.

AMBITO DE LA ING. DE SISTEMAS

No siempre la construccin de modelos de sistemas extremadam

complejos permite el isomorfismo (los sistemas son isomorfos
cuando su forma es semejante), en especial cuando no existe
la posibilidad de verificarlo.

El sistema debe ser representado por un modelo reducido y simp

aprovechando el homomorfismo del sistema original (los sistem
homomrficos cuando conservan entre s proporcin, aunque no
del mismo tamao). Es el caso de las maquetas o planos de edifi
de circuitos elctricos o electrnicos, organigramas de empresas
de rutinas y procedimientos, modelos matemticos de decisin, e

AMBITO DE LA ING. DE SISTEMAS

Los modelos tambin pueden clasificarse en:
a.- A escala, simulacros de objetos materiales (sean reales o
imaginarios), que conservan sus proporciones relativas, aunque
el tamao es diferente del original. Se basan en la semejanza de
algunas de sus propiedades con las del sistema original.

b.-Analgicos, implican cambios del medio y deben reproducir la

estructura del original, es decir, que sean isomorfos (los sistemas
son isomorfos cuando su forma es semejante) con ste.

AMBITO DE LA ING. DE SISTEMAS

c.- Matemticos, que buscan la aplicacin de funciones y ecuaciones

matemticas para representar el problema original mediante una
transformacin homomrfica (que ocurre cuando los sistemas
conservan entre proporcin en sus formas, aunque no sean siempre del
mismo tamao).

INGENIERIA DE
SISTEMAS

INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS

Modo
de
enfoque
interdisciplinario
que
permite
estudiar
y
comprender la realidad,
con
el
propsito
de
implementar u optimizar
sistemas complejos.

INGENIERA DE SISTEMAS

Ingeniera es el arte de utilizar los instrumentos que nos pr

la ciencia para que a travs del ingenio se generen solucio
que proporcionan bienestar y progreso
Ing. Ral Delgado Sayn

INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS
INGENIERIA
La ingeniera es la profesin que aplica conocimientos y
experiencias para que mediante diseos, modelos y
tcnicas se resuelvan problemas que afectan a la
humanidad a travs del desarrollo de la tecnologa.
SISTEMA
L. von Bertalanffy (1968):
"Un sistema es un conjunto de unidades en
interrelacin".
Conjunto organizado de cosas o partes interactuantes e
interdependientes, que se relacionan formando un todo
unitario y complejo.

INGENIERA DE SISTEMAS

Cmo te imaginas que es un ingenie

Experto en
matemticas,
fsica y qumica y
estudioso,
muuuuy

estudioso

INGENIERA DE SISTEMAS

Qu es un ingeniero?

Ingeniero, ra.
(De ingenio, mquina o artificio).
Hombre que discurre con ingenio
las trazas y modos de conseguir o
ejecutar algo.
Diccionario de la lengua espaola (http://www.rae.es/)

INGENIERA DE SISTEMAS

Un ingeniero es

William Hewlett (1913-2001), David Packard (19121996), ambos ingenieros de la universidad de Stanford,
formaron su empresa en 1939, en un pequeo garaje y
con un capital de US$ 538.
Sergei
Brin,
Larry
Page,
fundadores de Google en 1998.
Ambos ingenieros informticos:
Page por la Universidad dee
Michigan y Brin por la Universidad
de Maryland. La compaa vale
ahora 60 mil milones de dlares.

INGENIERA
DE SISTEMAS
Mark Elliot
Zuckerberg
(14 de mayo de 1984, White Plains,
USA),
ms conocido como Mark
Zuckerberg,
es un programador y empresario
estadounidense conocido por ser el
creador
de Facebook.
Para desarrollar la red, Zuckerberg
cont
con el apoyo de sus compaeros de
Harvard.
Actualmente es el personaje ms
joven
que aparece en la lista anual de
millonarios
de la revista Forbes con una fortuna
valorada
en ms de 13.500 millones de dlares.

INGENIERA DE SISTEMAS

Qu hace un ingeniero?
Busca soluciones, con ingenio, a los problemas de la
vida (muchos mbitos) y hace ms fcil la vida de
los dems. Se pregunta cosas y se interesa por las
respuestas.

INGENIERA DE SISTEMAS

La ingeniera nos rodea

Es una profesin que te puede llevar desde la
profundidad del ocano hasta lo ms lejano del
espacio exterior, desde dentro de la estructura
microscpica de la clula humana hasta la cima del
ms alto rascacielos. Sea un telfono celular, cmara
digital, DVD, o un dispositivo de reconocimiento facial
capaz de detectar a un terrorista en un abarrotado
estadio de ftbol, los ingenieros estn detrs de casi
toda la emocionante tecnologa de hoy.

INGENIERA DE SISTEMAS

Ciencia, Ingeniera y Tecnologa

Cmo se relacionan?

Ciencia

Ingeniera

Soluciones

Tecnologa

INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS

Encuesta elaborada por la Universidad de Lima sobre la demanda de profesionales en 250

de las 4.000 empresas de mayor facturacin en el Per y publicada en El Comercio el
13/11/2007.

INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS

Demanda de profesionales en las empresas

El Comercio - Noviembre 2007

INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS

Carreras que ms necesita el pas

El Comercio - Noviembre 2007

INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS

Profesionales que tendrn ms demanda en 10 aos

El Comercio - Noviembre 2007

Diario Peru21,
Mircoles 25 de mayo del 201

INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS

Qu es un Ingeniero de Sistemas?
Un Ingeniero de Sistemas es el profesional capaz de analizar,
disear,
investigar, desarrollar y administrar cualquier tipo de sistema,
aplicando
las ciencias bsicas, las tecnologas de informacin y
comunicaciones,
y la Teora General de Sistemas.
Fundamentalmente, es capaz de integrar y optimizar los recursos
organizacionales para la adecuada toma de decisiones, adems
de
especificar y desarrollar software base y de aplicacin
generando tecnologa nacional.

INGENIERA DE SISTEMAS
FUNCIONES DEL INGENIERO
Investigacin
Desarrollo
Diseo
Produccin
productos.
Construccin
Operacin
para

:
:
:
:

Busca nuevos conocimientos y tcnicas.

Emplea nuevos conocimientos y tcnicas.
Especificar soluciones.
Transformacin de materias primas en

: Llevar a la realidad la solucin de diseo.

: Proceso de manutencin y administracin

optimizar productividad.
Ventas
: Ofrecer servicios, herramientas y productos.
Administracin
: Participar en solucin de problemas.
Gestin y enseanza.

INTRODUCCIN

APLICACIONES DE LA
INGENIERIA DE
SISTEMAS

INTRODUCCIN
APLICACIONES DE LA ING. DE SISTEMAS
RECONOCIMIENTO DE VOZ
El software de reconocimiento del lenguaje hablado
que trae incorporado Windows Vista, el nuevo sistema
operativo de Microsoft; El programa permite
al usuario la ejecucin de tareas normales
sin necesidad de usar el teclado, incluyendo
la redaccin de emails.

Vista entra a competir con otros programas de reconocimiento de

especializados ya existentes en el mercado, de los cuales
los ms populares son Via Voice de IBM, Dragon Naturally Speakin
de Nuance o Voice Pro 11 de Linguatec. Dragon ofrece reconocim
de 44 idiomas, incluyendo espaol, latinoamericano, colombiano
argentino, adems de portugus de Portugal y Brasil, y cataln y

INTRODUCCIN
APLICACIONES DE LA ING. DE SISTEMAS
RECONOCIMIENTO DE IMGENES

Los sistemas de computadoras son cada vez ms potentes y meno

costosos, lo que permite crear nuevas formas de arte que antes
no eran posibles, y algunas otras formas de arte antiguas pueden
verse beneficiadas con novedosas tcnicas asistidas por computad

El reconocimiento de imgenes ha evolucionado a medida que me

tecnologa. Puede encontrarse en numerosos campos.

INTRODUCCIN
APLICACIONES DE LA ING.
DE SISTEMAS
a.- Reconocimiento de caracteres
El reconocimiento ptico de caracteres, conocido tambin como
OCR
(Optical Character Recognition), es un proceso por el cual
en una imagen digital se reconocen los caracteres con la
finalidad
de poder editarla como texto. Este tipo de aplicaciones son
utilizadas
como complemento en escneres y otros dispositivos de captura
de imgenes digitales.
b.- Identificacin de personas para investigaciones
policacas.
Muchas veces en investigaciones de crmenes un testigo puede
describir
con mucho detalle el rostro de un criminal. Un dibujante
profesional
convierte la descripcin verbal del testigo en un dibujo sobre
papel.
El trabajo de la computadora consiste en buscar el rostro del

INTRODUCCIN
APLICACIONES DE LA ING. DE SISTEMAS

c.- Biometra
La biometra es el reconocimiento del cuerpo humano a travs de
caractersticas fsicas, como el tamao de los dedos de la mano,
las huellas dactilares o los patrones en las retinas de los ojos.

Los sistemas de computadoras actuales permiten tener mejores n

de seguridad utilizando la biometra. Por ejemplo, Control de ingre
y salida a la UCSUR.

INTRODUCCIN
APLICACIONES DE LA ING.
DE SISTEMAS
Sistema de reconocimiento facial
Aplicacin dirigida por ordenador para identificar automticamente
a una persona en una imagen digital, mediante la comparacin de
determinadas caractersticas faciales a partir de una imagen digital
o un fotograma de una fuente de vdeo y una base de datos.

Es utilizado principalmente en Sistemas de Seguridad para

el reconocimiento de los usuarios. Consiste en un lector que define
las caractersticas del rostro, y al solicitar acceso se verifica que coin
las caractersticas del usuario con la BD.
Es poco confiable ya que las caractersticas de nuestro rostro al paso
de tiempo tienden a cambiar.
Se suelen utilizar en los sistemas de seguridad y puede ser compara
a otros biometra como huella digital o los sistema de reconocimiento
usando escaneo del iris.

APLICACIONES DE LA ING.
DE SISTEMAS
INTRODUCCIN

PROCESAMIENTO DE IMGENES MEDICAS

El objetivo fundamental del procesamiento de imgenes apunta a una
mejora en la obtencin de informacin mdica, lo que supone una me
de las diagnosis y por tanto de su fiabilidad. Pero todas estas metas
pasan por un estudio de las imgenes partiendo de cero. Es preciso
realizar la segmentacin de las escenas; posteriormente desarrollar
tcnicas ms avanzadas, para finalizar con la reconstruccin
tridimensional.

INTRODUCCIN

ESTEGANOGRAFA
Disciplina en la que se estudian y aplican tcnicas que permiten
el ocultamiento de mensajes u objetos, dentro de otros, llamados
portadores, de modo que no se perciba su existencia. Es una mezc
de artes y tcnicas que se combinan para conformar la prctica
de ocultar y enviar informacin sensible en un portador que pueda
pasar desapercibido.

INTRODUCCIN
APLICACIONES DE LA ING.
DE SISTEMAS
Reconocimiento de Huellas Digitales
Simulacin de Trafico Vehicular, areo, uso de guitarra, etc.
Generacin de Animaciones
Entre Otros.

Ao 2005

Video Nokia y Tele presen

Qu es informacin?

Informacin. Es el principal componente de todo

sistema y su razn de ser, debe ser adaptable a las
personas que lo utilizan y al equipo disponible, de
acuerdo a los procedimientos de trabajo para que
las tareas se lleven a cabo de forma eficaz.

INTRODUCCIN

Dato Vs. Informacin

INTRODUCCIN

Datos son componentes bsicos a partir de los cuales la

informacin es creada.
Informacin son datos insertados en un contexto.
Contexto es la situacin que est siendo analizada.
A partir de la informacin se obtiene conocimiento, el que
permite tomar decisiones.
Que cuando adecuadas, ayudan al negocio a alcanzar
sus objetivos.

INTRODUCCIN
Una compaa puede capturar grandes cantidades de datos
en su trabajo diario:
Estos datos representan el estado actual del negocio.
Es importante derivar informacin de estos datos.
Examinando distintos contextos.
Determinando las relaciones entre los hechos.
Comprendiendo como se reflejan los objetivos de la
empresa en
los datos.

Pero El Contexto Cambia...

INTRODUCCIN

De usuario para usuario

Ejecutivos
Gerentes
Ejecutores
De un escenario competitivo en relacin a otro
Estacionalidad
Cambios en el mercado
Nuevos competidores
Y a menores ciclos de negocio, ms variaciones
En la prctica, hoy es imposible prever cmo los datos
sern utilizados!

INTRODUCCIN

Necesidades de Acceso a Datos

Aplicacin

Aplicacin

Aplicacin

Aplicacin

Aplicacin

Marketing
Ventas
Call Center
Legal
Clientes
Socios
Etc.

INTRODUCCIN

Muchos Datos, Poca Informacin

Qu combinaciones
de productos estn
comprando
mis clientes?

Cmo estn las

ventas comparadas
con el pasado?

Cmo debo
responder a una
accin de un
competidor?

Clientes
Competencia
Inventario
Ventas semanales

Cual es la tendencia
del ndice de
satisfaccin de
los clientes?

Mi conjunto
de productos est
adecuado al
mercado?

Productos, clientes, mercado, riesgo, fraude, tendencias,

comportamiento

JERARQUA
DELALA
INFORMACIN
JERARQUA DE
INFORMACIN

Datos

Valores discretos; deben ser correctos

y precisos; se requieren en forma masiva;
aislados suelen tener poco valor.

JERARQUA DE
INFORMACIN
JERARQUA
DELALA
INFORMACIN

Informacin

Datos

Conjuntos de datos puestos en

relacin entre s, adquieren nuevo
significado y valor operativo en la realidad

JERARQUA DE LA INFORMACIN
JERARQUA DE LA INFORMACIN

Conocimiento
Informacin
Datos

Experiencia que
surge del anlisis y
sntesis de la informacin

JERARQUA
DELALA
INFORMACIN
JERARQUA DE
INFORMACIN

Sabidura
Conocimiento
Informacin
Datos

Cnit

CATEGORIAS DE LA INFORMACION

Se puede clasificar de muchas formas

diferentes pero para una empresa la
importancia que tiene es respecto a quien va
dirigida y para quien es til.

CATEGORIAS DE LA INFORMACION
1. Estratgica
Informacin estratgica es un instrumento de cambio.
Enfocada a la planeacin a largo plazo
Orientada a la alta administracin.
2. Tctica
Informacin de control administrativo
Es un tipo de informacin compartida.
Tiene una utilidad a corto plazo.
3. Operacional
Informacin rutinaria.
Muestra la operacin diaria.
Tiene una utilidad a muy corto plazo.

DEFINICIN DE SEGURIDAD
Seguridad: Caracterstica de cualquier sistema informtico que
nos indica que este se encuentra libre de peligro, dao o riesgo.
Se entiende como peligro o dao todo aquello que pueda
afectar su funcionamiento directo a nivel de hardware y software,
la informacin almacenada y los resultados obtenidos.
Para alcanzar la seguridad se utiliza objetos, dispositivos,
medidas, normas, etc., que contribuyen a hacer ms seguro el
funcionamiento o el uso del sistema.

Riesgo: Proximidad o posibilidad de producirse un dao, peligro, etc.

Cada uno de los imprevistos, hechos desafortunados, etc.
Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro.
Vulnerabilidad: Exposicin latente a un riesgo.
existen varios riesgos tales como: ataque de virus, cdigos maliciosos,
gusanos, caballos de troya y hackers; no obstante, con la adopcin de
Internet como instrumento de comunicacin y colaboracin, los riesgos
han evolucionado.

Aspectos fundamentales de la
seguridad
Confidencialidad
Integridad
Disponibilidad
(*) El nivel de importancia que se le
otorga a los aspectos de seguridad en una
aplicacin dependen del tipo de sistema
informtico: Militar, Comercial, Bancario,
Gubernamental, Acadmico, etc.

Confidencialidad
La informacin almacenada en un
sistema no pueda estar disponible o
ser descubierta por o para personas,
entidades o procesos no autorizados.
El diseo de un sistema informtico
debe considerar la posibilidad de
intentos de acceso no autorizado
en el sistema o en alguno de sus
componentes.

INTEGRIDAD
La informacin almacenada en un
sistema
informtico
debe
mantenerse integra para que sea
confiable
para
la
toma
de
decisiones.
La informacin del sistema debe ser
creada, modificada o eliminada
slo por las personas autorizadas.

DISPONIBILIDAD
Disponibilidad significa que el sistema
informtico, tanto HW como SW, se
mantienen funcionando eficientemente
y
son
capaces
de
recuperarse
rpidamente en caso de fallo.
Un sistema vulnerable de ataques no
garantiza estar disponible
a sus
usuarios en el momento que ellos lo
soliciten.

OTROS ASPECTOS
RELACIONADOS A LA
SEGURIDAD

Autenticidad
Imposibilidad de rechazo (no-repudio)
Consistencia
Aislamiento
Auditora

AUTENTICIDAD
Permite asegurar el origen de la
informacin. La identidad del emisor
puede ser validada, de modo que se
puede demostrar que es quien dice ser. Se
debe tratar de evitar que un usuario enve
o consulte informacin del sistema
hacindose pasar por otro.
La forma mas comn de autentificar
un usuario es a travs de una
clave de acceso o contrasea.

IMPOSIBILIDAD DE RECHAZO (NO

REPUDIO)
Cualquier entidad que enva o recibe
informacin, no puede alegar ante
terceros que no la envi o la
recibi.
Esta propiedad y la anterior son
especialmente importantes en el
entorno bancario y en el uso del
comercio electrnico.

CONSISTENCIA
Asegura que el sistema se comporta
como se supone que debe hacerlo
regularmente
con
los
usuarios
autorizados.
Si el software o el hardware de repente
comienzan a comportarse de manera
diferente a la esperada, puede
originarse un desastre que deber ser
alertado y recuperado.

AISLAMIENTO
Regula el acceso al sistema, impidiendo
que personas no autorizadas entren en l.
Este aspecto est relacionado directamente
con la confidencialidad, aunque se centra
ms en el acceso al sistema que a la
informacin que contiene.

AUDITORA

Capacidad
de
determinar
qu
acciones o procesos se han llevado
a cabo en el sistema, y quin y
cundo las han llevado a cabo.
La nica forma de lograr este objetivo
es mantener un registro de las
actividades del sistema, y que este
registro est altamente protegido
contra modificacin.

TRANSMISIN DE DATOS
La transmisin de datos es el intercambio
de datos entre dos dispositivos a travs de
algn medio de transmisin.
En una comunicacin existe un flujo de
informacin desde un origen hacia un
destino.

Mayor detalle: Sesin 11-Seguridad de Red y Telecomunicaciones

ATAQUES

Un ataque es un evento, exitoso o no, que atenta sobre el buen funcion

de un sistema informtico.

Tendencia humana a que

actividades se digitalicen.

todas

las

 Ataque de Software
Su objetivo es atacar una aplicacin, un
sistema operativo, o un protocolo, con el
fin de ganar acceso a un sistema o red.
Los distintos tipos son usados por
separado o en combinacin con otros.

 Ataque de Hardware
Su objetivo es atacar el hardware de
la
victima,
a
travs
de
penetraciones fsicas.

 Los ataques se pueden clasificar en:

- Interrupcin
- Intercepcin
- Modificacin
- Fabricacin

Interrupcin
La informacin del sistema es destruida o llega a ser
inutilizable.
Este ataque atenta contra la disponibilidad.
Ejem: Destruccin de una pieza de HW, cortar
los medios de comunicacin o deshabilitar los
sistemas.

INTERRUPCIN

INTERCEPCIN
Es cuando una entidad no autorizada
consigue acceso a un recurso de
nuestro sistema informtico.
Refiere
una
participacin
sin
autorizacin por parte de una
persona, computadora o programa
en una comunicacin.
Este
ataque
atenta
contra
la
confidencialidad.

INTERCEPCIN

MODIFICACIN
Una entidad no autorizada no slo
consigue acceder a un recurso, sino que
es capaz de manipularlo y alterarlo.
Este es un ataque contra la integridad.

MODIFICACIN

Nuevo_Presupuesto.
xls

FABRICACIN
Una entidad no autorizada inserta
objetos falsificados en el sistema.
Este es un ataque contra la autenticidad.

FABRICACIN

DISPOSITIVOS PARA
ACCEDER A INTERNET
PDA PERSONAL DIGITAL
ASSISTANT

TELFONO
S
CELULARE
S

COMPUTADO
RA
PERSONAL

89

PROBLEMTICA ACTUAL

Problemtica actual

Intercepcin de informacin.
Suplantacin de identidad.
Envo de emails falsos.
Phishing.
Troyanos.
Exploits.
Corrupcin Accesos a sitios con
contenidos prohibitivos.

INTERCEPCIN DE INFORMACIN
Haciendo uso de un software llamado sniffer, el
atacante copia a su computadora la informacin que
es enviada a travs de la red por los diferentes
dispositivos.
Un packet sniffer es un programa de captura de
las tramas de red. Generalmente se usa para
monitorizar y analizar el trfico en una red de
computadoras, detectando los cuellos de botella y
problemas que existan, aunque tambin es utilizado
para interceptar, lcitamente o no, los datos que son
transmitidos en la red.
Destacan por su importancia los siguientes sniffers:
TCPDUMP , DARKSTAT Y TRAFFIC-VIS, NGREP, SNORT,
NWATCH, ETHEREAL, ETTERCAP y KISMET

SUPLANTACIN DE IDENTIDAD
Consiste en acceder a un sistema
informtico de manera regular, pero
hacindose pasar por otro usuario
autorizado.
Usualmente se emplea para obtener
informacin confidencial del usuario o del
sistema. Es difcil de detectar si es que
no se realizan modificaciones importantes
en
la
data,
que
sean
fcilmente
identificables.

ENVO DE E-MAILS FALSOS

El atacante enva correos electrnicos
hacindose pasar por diferentes personas.
Se trata de suplantar la identidad del
remitente para lograr algn fin especfico.

PHISHING (PESCANDO)

Adquirir informacin confidencial de

forma fraudulenta, como puede ser una
contrasea o informacin detallada
sobre datos personales, tarjetas de
crdito, contraseas, u otra informacin
bancaria.
El estafador, mejor conocido como phisher,
se hace pasar por una persona o empresa de
confianza en una aparente comunicacin
oficial electrnica, por lo comn un correo
electrnico o algn sistema de mensajera
instantnea.

TIPOS DE PHISHING
BASADO EN EMAILS:
1. Correo enviado al cliente simulando ser el negocio
legtimo.
2.El correo aparenta ser un correo oficial de la
organizacin a la cual se hace referencia en el email.
3.El mensaje induce al cliente a digitar sus datos
personales mediante una supuesta actualizacin o
ejecucin de una transaccin.
4.El link lleva al cliente a un sitio Web falso
diseado para parecer el sitio original.
5. La informacin registrada en ese sitio es
transmitida directamente al estafador.
6. El estafador ingresa al sitio Web verdadero para
hacer transacciones con los datos del cliente.

 POR TELFONO:
1. El estafador llama a un cliente fingiendo
pertenecer a una entidad financiera.
2. Se le indica al cliente que su cuenta
sera cerrada por problemas tcnicos a
menos que colabore proporcionando:
Nmero de Cuenta, DNI, contrasea y
otros datos valiosos.
3. El estafador luego de tomar los datos,
ingresa al sitio Web verdadero para hacer
las transacciones con los datos
capturados, hacindose pasar por el
cliente.

PHISHING

MODALIDAD DE HURTO AGRAVADO, CONSISTE EN

EL ENVIO MASIVO DE CORREOS ELECTONICOS,
SUPUESTAMENTE REMITIDOS POR LAS ENTIDADES
BANCARIAS, EN DONDE APARECEN SUS PAGINAS
WEB, CON UN MENSAJE PARA SUS CLIENTES,
COMO QUE ESTAN ACTUALIZANDO LOS DATOS
PORQUE SU SISTEMA INFORMATICO HA TENIDO
ALGUNAS AVERIAS O FALLAS, O QUE HAN GANADO
UN PREMIO, ETC.
CON ESTA INFORMACION SE REALIZAN LAS
TRANSFERENCIAS,
PAGOS
DE
SERVICIOS,
COMPRAS Y RECARGAS VIRTUALES, A TRAVES DE
LA INTERNET.

PHISHING - CASOS

PHISHING

PHISHING

El link de este correo falso te llevaba a la siguiente pgina falsa que se haca pasar por
nuestra pgina de Operaciones en lnea:

PHISHING

Ganador de la Lotera
Euro Millions Lottery.
Hoge Wei 28, 2011 Zaventem,
Belgium.
Euro Millions are Affiliate of Belgium National (BNL).
Sir/Madam,
CONGRATULATIONS: YOU WON 1,000,000.00 EUROS.
We are pleased to inform you of the result of Euro Millions, which was held
on the 27th, July 2006. Your e-mail address attached to e-ticket number:
05-32-44-45-50 (01-07), with Prize Number (match 3): 106000007 drew a
prize
of 1,000,000.00 (One Million Euros).
This lucky draw came first in the 2nd Category of the Sweepstake.
Bank: Laagste Heypotheekofferte Bank. N.L.
Attention: Dirk Garvin.
Karspeldreef 6A, 1101 CJ, Amsterdam, Netherlands.
E-mail: laagstbankernlin@aim.com
Telephone: +31617 636 209.
Fax
: (+3184) 735-9610.
Furnish them with the following:
(i). your name(s),
(ii) Your telephone and fax numbers
(iii) Your contact address
(iv) Your winning information (including amount won).
Congratulations. Yours Faithfully
Vjertis Von Adrian (Ms.) CPA.

Dinero Abandonado
FROM DENNIS LONGMANAUDITING
MANAGERINTERBANK SERVICES
LONDON
UNITED KINGDOM
DEAR PARTNERI
DR DENNIS LONGMAN, THE AUDITING MANAGER INTERBANK SERVICES
LONDON,I AM WRITING THIS LETTER TO ASK FOR YOUR SUPPORT AND
COOPERATION TO CARRY OUT THIS BUSINESS OPPORTUNITY IN MY
DEPARTMENT.WE DISCOVERED AN ABANDONED SUM OF (FIFTEEN
MILLION UNITED STATES DOLLARS ONLY) IN AN ACCOUNT THAT BELONGS
TO ONE OF OUR FOREIGN CUSTOMERS WHO DIED ALONG WITH HIS
ENTIRE IN AIR CRASH, ALASKA AIRLINE FLIGHT 261 IN 2000.SINCE WE
HEARD OF THISDEATH,NOBODY HAS COME FOR ANY CLAIMS AS NOBODY
KNEW OF THE ACCOUNT.THE NAME OF OUR LATE CUSTOMER IS MORRIS
THOMPSON, HIS WIFE'S NAME THELMAN THOMPSON, DAUGHTER'S NAME
SHERYL THOMPSON,THE OWNER OF DOYON LTD, IN ALASKA.
http://www.cnn.com/2000/US/02/01/alaska.airlines.list/
http://www.nativefederation.org/history/people/mThompson.htmWE HAVE
BEEN EXPECTING HIS NEXT OF KIN TO COME OVER AND FILE FOR CLAIMS
FOR HIS MONEY AS THE HEIR, BECAUSE WE CANNOT RELEASE THE
FUNDS FROM HIS ACCOUNT UNLESS SOMEONE APPLIES FOR CLAIM AS
THE NEXT OF KIN TO THE DECEASED AS INDICATED IN OUR BANKING
GUIDELINES AND THAT IS THE REASON WHY I HAVE CONTARTED YOU TO
ACT AS THE NEXT OF KINTO COMMENCE THIS TRANSACTION, WE REQUIRE
YOU TO IMMEDIATELY INDICATE YOUR INTEREST BY A RETURN E-MAIL AND
ENCLOSE YOUR PRIVATE CONTACT TELEPHONE NUMBER, FAX NUMBER
FULL NAME AND ADDRESS AND YOUR DESIGNATEDBANK COORDINATES
TO ENABLE US FILE LETTER OF CLAIM TO THE APPROPRIATE DEPARTMENT

Cuenta en
Western Union
Dear Western Union Client :
We are encountered some tehnical errors in our database, Please update
your profile .
You can access your profile at
https://wumt.westernunion.com/asp/regLogin.asp/.
This process is mandatory, and if not completed within the nearest time
your account
may be subject for temporary suspension.
For help please contact Western Union Customer Service immediately by
email at customerservice@westernunion.com or call us at 1-877-9893268 .
Thank you for using westernunio

Cuenta Bancaria
Dear Bank of America Client :
We are encountered some tehnical errors in our database, Please update your profile .
You can access your profile at https://www.bankofamerica.com
This process is mandatory, and if not completed within the nearest time your account
may be subject for temporary suspension.
For help please contact Bank of America Customer Service immediately by
email at customerservice@bankofamerica.com or call us at 1-800-552-7302 .
Thank you for using bankofamerica.com!

MEDIDAS DE SEGURIDAD
CONTRA EL PHISHING:
Verificar la fuente de la informacin.
Escribir la direccin en su navegador de
Internet.
Reforzar su seguridad (descarga de
actualizaciones de seguridad del fabricante de su
Sistema Operativo).
Comprobar que la pgina web en la que ha
entrado es una direccin segura.
Hacer doble clic sobre el candado de Zona
Segura para tener acceso al certificado digital
que confirma que la web corresponde a la que est
visitando.
Revisar peridicamente sus cuentas y
cambiar las contraseas.

HURTO AGRAVADO
MODALIDADES
-A TRAVES DEL INTERNET
* PHISHING
* PHARMING O TROYANO
-CLONACION DE TARJETAS BANCARIAS
-CAMBIAZO
-USO INDEBIDO DE TARJETAS BANCARIAS

Malware
Malware (del ingls malicious software), tambin llamado badware,
cdigo maligno, software malicioso o software malintencionado,
tipo de sw que tiene como objetivo infiltrarse o daar una pc sin el
consentimiento de su propietario.
El trmino es muy utilizado por profesionales de la informtica
para referirse a una variedad de software hostil, intrusivo o molesto.
El sw se considera malware en funcin de los efectos que, pensados
por el creador, provoque en un computador. El trmino malware incluye
virus, gusanos, troyanos, la mayor parte de los rootkits, scareware,
spyware, adware intrusivo, crimeware y otros softwares maliciosos
e indeseables.

Malware
Los Malware son mas complejos
Variantes ms rpidas
Diseados para atacar vulnerabilidades en:
- S.O. especficos
- Programas especficos
- Redes especificas
Ataques dirigidos
Ganancia Financiera

Malware
Inicialmente
- Diversin
- Demostrar
capacidades
tcnicas
- Notoriedad
- Fama
Hoy
- GANANCIAS

TIFF
are
QuickTime
needed
(Uncompressed)
toand
see a
thisdecompressor
picture.

Malware

Como hacen dinero?

Spyware
SPAM
Phishing
Robando informacin financiera
Robando datos sensitivos
Sirviendo como hosts de phishing
Centros de control Bot
Ataques distribuidos

Malware
El siglo que vivimos peligrosamente

2000: Love
2001: Klez
2001: Code Red
2003: SQL Slammer
2003: Blaster
2004: Sasser
2004: Netsky-A, Netsky-B, . Netsky-*
2005: Kamasutra
2007: Incontables..................
2008 y 2009 .

Malware

Malware

Spam:
Es un fin: Venta
Es un medio:
Para infectar mquinas con troyanos
adjuntos
Para inducir a visitar pginas de
ataque

Troyanos:
Es un fin: Controlar la mquina
Es un medio:
Para hacer phishing
Para enviar ms spam
Para reclutar zombies para botnets

Malware
Soluciones Antivirus

Malware
Soluciones - Defensa en profundidad

Polticas de seguridad
Proteccin en el permetro
Proteccin en los servidores
Proteccin en los desktops
Mnimo privilegio posible
Mnimo punto de exposicin

Malware
Soluciones - Defensa en profundidad
El malware de hoy en da necesita de una solucin integrada:

Anti-Virus

Anti-Spam

Firewall

AntiSpyware

 Cdigos Maliciosos:
1. Los atacantes infectan las computadoras de los
clientes con un cdigo malicioso (troyano o Key
Logger).
2. Estos programas se instalan automticamente, sin
que el cliente lo sepa, al ingresar a determinados sitios
Web o luego de haber hecho click en el adjunto de un
e-mail que contiene este programa.
3. Cuando el cliente visita el sitio Web de la organizacin,
el cdigo se activa y almacena la informacin
digitada por el cliente en el servidor (es) del hacker.
4. El estafador ingresa al sitio Web verdadero para
hacer transacciones con los datos capturados del
cliente.

 Pharming:
1. Entra dentro de la categora de cdigos
maliciosos.
2. Se diferencia de los dems por que cuando
se activa redirige al usuario hacia el sitio
Web falso del hacker a pesar de digitarse
la direccin de la pgina en el browser.
3. Si una empresa que accede a Internet a
travs de un mismo servidor (proxy) tiene
una mquina infectada puede dirigir
masivamente a todos sus usuarios a sitios
web falsos.

ENVO DE CORREO MASIVO, INVITANDO A LOS

USUARIOS DE CORREO, DESCARGAR UN ARCHIVO EN
SU COMPUTADORA, EL MISMO QUE LE VA A PERMITIR
ACELERAR
SU
NAVEGADOR;
TAMBIEN
SUPUESTAMENTE LOS MEDIOS DE COMUNICACION DE
PRESTIGIO LE ENVIAN NOTICIAS, PRIMICIAS O ALGUNA
INFORMACION QUE LLAME MUCHO LA ATENCION.

PHARMING O TROYANO

ESTE
ARCHIVO
QUE
CONTIENE
OCULTO
UN
TROYANO VA A MODIFICAR EL ARCHIVO HOST, O VA
A CREAR CARPETAS QUE CONTIENEN ARCHIVOS CON
LAS PAGINAS WEB CLONADAS DE LOS BANCOS, PARA
QUE CUANDO LA VCTIMA ESCRIBA EN LA BARRA DE
DIRECCIONES DEL EXPLORADOR LA DIRECCIN WEB
DE
SU
BANCO,
ESTE
AUTOMTICAMENTE
ES
REDIRECCIONADO A DICHA PGINA WEB CLONADA.-

PHARMING O TROYANO
EN ESTA PGINA WEB FALSA SE SOLICITA A LOS
USUARIOS INGRESAR SU INFORMACIN CONFIDENCIAL
LA CUAL VA A PARAR A UN CORREO, B.D. O SERVIDOR
VIRTUAL.
ES CON ESTA INFORMACION QUE SE PRODUCEN LAS
TRANSFERENCIAS, COMPRAS, RECARGAS VIRTUALES O
PAGO DE SERVICIOS, A TRAVES DE LA INTERNET.
POR CONSIGUIENTE AFECTAN LAS CUENTAS BANCARIAS
DE LOS CLIENTES DE LOS DIFERENTES BANCOS, NO
SOLAMENTE DEL PAIS SINO TAMBIEN DEL EXTRANJERO.

PHARMING O TROYANO CASOS

"LA CANTANTE SHAKIRA, AL BORDE DE LA MUERTE"
"URGENTE: IMPLEMENTE SU SEGURIDAD, EVITE SER
ESTAFADO"
"ABSOLVIERON A ALBERTO FUJIMORI"
"PRIMERA DAMA SUFRE INFARTO CEREBRAL"
"SHAKIRA Y CARLOS VIVES ALBOROTAN LETICIA"
"RISAS Y MIRADAS (VIDEO DEL EX PRESIDENTE
ALBERTO FUJIMORI Y VLADIMIRO MONTESINOS"
"RICKY MARTIN SE SUICIDA"
"FALLECI FAMOSO CANTANTE GIANMARCO"
"VIDEO INDRID BETACOURT"
CHILE DECLARA LA GUERRA AL PERU
MAGALY MEDINA SUFRE ATENTADO EN CARCEL
TONGO EN ESTADO DE COMA
SE SUICIDA EL PUMA CARRANZA Y MATA A UNA DE
SUS HIJAS
FOQUITA FARFAN AL BORDE DE LA MUERTE

COMANDANTE PNP Andrs ASTETE VARGAS

COMANDANTE PNP Andrs ASTETE VARGAS

TROYANOS
Se denomina troyano (Caballo de Troya o
Troyan Horse) a un programa malicioso
capaz de alojarse en un computador o
dispositivo y permitir el acceso a usuarios
externos, a travs de una red local o de
Internet, con el fin de recabar informacin
o controlar remotamente a la mquina
anfitriona.
Un troyano no es en s un virus, an
cuando
tericamente
pueda
ser
distribuido y funcionar como tal.

 La diferencia fundamental entre un troyano y

un virus consiste en su finalidad. Para que
un programa sea un "troyano" solo tiene que
acceder y controlar la mquina anfitriona sin
ser advertido, normalmente bajo una
apariencia inocua.
Al contrario que un virus, que es un husped
destructivo, el troyano no necesariamente
provoca daos porque no es su objetivo.

 Suele ser un programa alojado dentro de

una aplicacin, una imagen, un archivo
de msica u otro elemento de apariencia
inocente, que se instala en el sistema al
ejecutar el archivo que lo contiene.
Una vez instalado parece realizar una
funcin til (aunque cierto tipo de troyanos
permanecen ocultos y por tal motivo los
antivirus o anti troyanos no los eliminan) pero
internamente realiza otras tareas de las
que el usuario no es consciente, de igual
forma que el Caballo de Troya que los griegos
regalaron a los troyanos.

132

 Habitualmente se utiliza para espiar, usando la tcnica para

instalar un software de acceso remoto que permite monitorizar
lo que el usuario legtimo de la computadora hace (en este
caso el troyano es un spyware o programa espa) y, por
ejemplo, capturar las pulsaciones del teclado con el fin de
obtener contraseas (cuando un troyano hace esto se le
cataloga de keylogger) u otra informacin sensible.
La mejor defensa contra los troyanos es no ejecutar nada de
lo cual se desconozca el origen y mantener software
antivirus actualizado; es recomendable tambin instalar
algn software anti troyano.
Otra solucin bastante eficaz contra los troyanos es tener
instalado un firewall. Otra manera de detectarlos es
inspeccionando frecuentemente la lista de procesos
activos en memoria en busca de elementos extraos, vigilar
accesos a disco innecesarios, etc.

 Lo peor de todo es que ltimamente los troyanos

estn siendo diseados de tal manera que, es
imposible poder detectarlos excepto por programas
que a su vez contienen otro tipo de troyano.
Inclusive existen troyanos dentro de los programas
comerciales, para poder saber cual es el tipo de uso
que se les da y poder sacar mejores herramientas al
mercado llamados tambin "troyanos sociales"

EXPLOITS
Exploit (del ingls to exploit: explotar o aprovechar)
es un programa informtico malicioso, o parte de
un programa, que trata de forzar alguna deficiencia o
vulnerabilidad de otro programa (llamados bugs).
El fin puede ser la destruccin o inhabilitacin
del sistema atacado, aunque normalmente se trata
de violar las medidas de seguridad para poder
acceder al mismo de forma no autorizada y
emplearlo en beneficio propio o como origen de otros
ataques a terceros.
Un "exploit" es usado normalmente para explotar una
vulnerabilidad en un sistema y acceder a l, lo que es
llamado como "rootear". Tambin lo llaman
oportunista.

Criptografa
Es el arte o ciencia de cifrar y descifrar
informacin
utilizando
tcnicas
matemticas que hagan posible el
intercambio de mensajes de manera que
slo puedan ser ledos por las personas a
quienes van dirigidos.

Certificado digital
Un Certificado Digital es un documento
digital emitido por una Autoridad de
Certificacin o Autoridad Certificante (AC
o CA por sus siglas en ingls Certification
Authority) que garantiza la vinculacin
entre la identidad de un sujeto o entidad.
http://www.verisign.com/
http://www.thawte.com/
http://www.positivessl.com/
http://www.digicert.com/

Cmo identifico un sitio

seguro?

https://mi.ing.udep.edu
.pe

Cmo identifico un sitio

seguro?

Cmo identifico un sitio

seguro?

Cmo identifico un certificado no

vlido?

Certificados
invlidos

SEGURIDAD DE
AUTENTIFICACIN
La

autentificacin
consiste
en
identificarse
como
un
usuario
autorizado
de
una
aplicacin,
demostrando que la persona que est
accediendo al sistema es quien dice
ser.
ser
La manera ms comn de autentificarse
en una aplicacin Web consiste en
ingresar un nombre de usuario y
una contrasea privada y secreta.

Ahora

ya no se trata de determinar
solamente que el usuario es quien dice
ser, sino que adems se trata de una
persona (un ser humano), y no de una
aplicacin maliciosa que intenta
acceder a nuestro sistema.
Una forma para garantizar que quin
accede a nuestra aplicacin es una
persona real, consiste en incluir en las
ventanas de acceso, elementos que
slo podrn ser identificados por
una persona, a travs de sus
sentidos.
sentidos

Proteccin contra accesos no

autorizados

Lo

mas importante con respecto al

control de accesos es concientizar a
los usuarios de la importancia de
mantener en estricta reserva los
nombres
de
usuario
y
las
contraseas utilizadas para acceder a
una aplicacin Web.
Nunca
deben
revelarse
las
contraseas a otra persona, a travs
de otra aplicacin Web, o respondiendo
un correo electrnico.
Por seguridad, ninguna aplicacin
Web real solicita ingresar la
contrasea personal en una ventana

Contraseas - Soluciones
1.

Ticket de ingreso: Consiste en proveer un

ticket a cada inicio de sesin, de modo que el
usuario deber ingresar el cdigo de ticket
(letras y/o nmeros) luego de or o leer su
contenido.
De esta manera, se evita que un programa
malicioso suplante la identidad de un usuario
y enve repetitivamente los parmetros
solicitados (nombre de usuario y contrasea),
generando contraseas
aleatoriamente,
intentando iniciar una sesin de manera
fraudulenta.
La forma comn de mostrar un ticket es
generando una cadena random de caracteres
y luego transformarla en una imagen, la cual
ser mostrada en el formulario de ingreso al
sistema.

El usuario visualiza o escucha el

contenido de la imagen mostrada e
ingresa este cdigo en el campo
solicitado en el formulario de registro.
Antes de validar el nombre de usuario y
la contrasea, la aplicacin verificar
que el cdigo ingresado coincide con el
cdigo que mostr en el formulario.
Debido a que hay algoritmos que
realizan la terea contraria, generando
la cadena de caracteres a partir de una
imagen, la manera mas usual de
presentar estas imgenes en los
formularios es distorsionndolas para
que sea ms difcil descifrarlas por

Formulario con ticket en imagen

regular

Formulario con ticket en imagen distorsionada y

opcin para escuchar el contenido del ticket

Formulario de inicio de sesin en una cuenta de gmail con

muchos intentos de acceso no exitosos.
La aplicacin lleva un contador de los intentos fallidos sucesivos
para una misma cuenta. En un inicio no aparece la imagen del
ticket.
Recin la presenta en el formulario cuando se supera el nmero
lmite de accesos fallidos.

Otra manera de cuidar la seguridad en una aplicacin web es

indicndole al usuario el nivel de seguridad de la contrasea
elegida.

Las maneras mas utilizadas para restablecer una contrasea

requieren una cuenta de correo electrnico secundaria, a la
cual enviarn la nueva contrasea; o el registro de una
pregunta y una respuesta secreta.

La manera mas segura para evitar los troyanos y los keyloggers

es insertando un teclado numrico dinmico en el formulario
para que no se conozcan las teclas pulsadas.
Al hacer que los nmeros cambien de posicin se evita que se
pueda deducir una clave en funcin a la zona de la pantalla en
la que se hace click.
Cuando se acceda a una aplicacin web desde un computador
inseguro, debern revisar que no tenga un programa keylogger
ejecutndose.
Teclear las contraseas con el teclado en pantalla que nos
presentan como opcin los sistemas operativos es la mejor
manera de evitar que conozcan nuestras contraseas.

Es por la existencia de un nmero importante de amenazas y riesgos,

que la infraestructura de red y recursos informticos de una organizacin
deben estar protegidos bajo un esquema de seguridad que reduzca
los niveles de vulnerabilidad y permita una eficiente administracin del riesgo.
Para ello, resulta importante establecer polticas de seguridad, las cuales van
desde el monitoreo de la infraestructura de red, los enlaces de
telecomunicaciones, la realizacin del respaldo de datos y hasta el
reconocimiento de las propias necesidades de seguridad, para establecer
los niveles de proteccin de los recursos.

Pasos de las polticas de seguridad:

Identificar y seleccionar lo que se debe proteger (informacin sensi

Establecer niveles de prioridad e importancia sobre esta informaci

Conocer las consecuencias que traera a la compaa, en lo que se
a costos y productividad, la prdida de datos sensibles .
Identificar las amenazas, as como los niveles de vulnerabilidad de

Realizar un anlisis de costos en la prevencin y recuperacin

de la informacin, en caso de sufrir un ataque y perderla.
Implementar respuesta a incidentes y recuperacin para disminuir
el impacto.

SEGURIDAD DE LA INFORMACION
Importancia de la informacin
Cuando se habla de la funcin informtica generalmente se tiende a hablar de
tecnologa nueva, de nuevas aplicaciones, nuevos dispositivos de hardware, nuevas
formas de elaborar informacin ms consistente, etc.
Sin embargo se suele pasar por alto o se tiene muy implcita la base que hace
posible la existencia de los anteriores elementos. Esta base es la informacin.
Es muy importante conocer su significado dentro la funcin informtica, de forma
esencial cuando su manejo esta basado en tecnologa moderna, para esto se debe
conocer que la informacin:
Esta almacenada y procesada en computadoras.
Puede ser confidencial para algunas personas o a escala institucional.
Puede ser mal utilizada o divulgada.
Puede estar sujeta a robos, sabotaje o fraudes.
Los primeros puntos nos muestran que la informacin esta centralizada y que puede
tener un alto valor y los ltimos puntos nos muestran que se puede provocar la
destruccin total o parcial de la informacin, que incurre directamente
en su disponibilidad que puede causar retrasos de alto costo.

Pensemos por un momento que pasara si se sufre un accidente en el centro de

computo o el lugar donde se almacena la informacin.
Ahora preguntmonos:
Cunto tiempo pasara para que la organizacin este nuevamente en operacin?
Es necesario tener presente que el lugar donde se centraliza la informacin con
frecuencia el centro de cmputo puede ser el activo ms valioso y al mismo tiempo el
ms vulnerable.

Delitos accidentales e incidentales

Los delitos cometidos utilizando la computadora han crecido en tamao, forma y
variedad.
En la actualidad los delitos cometidos tienen la peculiaridad de ser descubiertos en un
95% de forma casual. Podemos citar a los principales delitos hechos por computadora
o por medio de computadoras estos son:
Fraudes.
Falsificacin.
Venta de informacin.
Entre los hechos criminales ms famosos en los E.E.U.U. estn:

El caso del Banco Wells Fargo donde se evidencio que la proteccin de archivos era
inadecuada, cuyo error costo US 21.3 millones.
El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.
El caso de un muchacho de 15 aos que entrando a la computadora de la Universidad
de Berkeley en California destruyo gran cantidad de archivos.
Tambin se menciona el caso de un estudiante de una escuela que ingreso a una red
canadiense con un procedimiento de admirable sencillez, otorgndose una
identificacin como un usuario de alta prioridad, y tomo el control de una
embotelladora de Canad.
Tambin el caso del empleado que vendi la lista de clientes de una compaa de
venta de libros, lo que causo una perdida de US 3 millones.

El activo ms importante que se posee es la informacin, y por lo tanto deben existir

tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los
equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que
consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a
los datos y slo permiten acceder a ellos a las personas autorizadas para hacerlo.
Los objetivos para conseguirlo son:
Restringir el acceso (de personas de la organizacin y de las que no lo son) a los
programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisin minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos con el
procedimiento elegido.
Asegurar que la informacin transmitida sea la misma que reciba el destinatario
al cual se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisin
entre diferentes puntos.
Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas
y permisos bien establecidos, en todos y cada uno de los sistemas o softwares
empleados.

Paradigmas sobre la seguridad

Es muy importante que se conozca los paradigmas que existen en las organizaciones
sobre la seguridad, para no encontrarse con un contrincante desconocido.
Generalmente se tiene la idea que los procedimientos de auditora es responsabilidad
del personal del centro de computo, pero se debe cambiar este paradigma y conocer
que estas son responsabilidades del usuario y del departamento de auditora interna.
Tambin muchas compaas cuentan con dispositivos de seguridad fsica para los
computadores y se tiene la idea que los sistemas no pueden ser violados si no se
ingresa al centro de computo, ya que no se considera el uso de terminales ni
sistemas remotos.
Se piensa tambin que los casos de seguridad que tratan de seguridad de incendio o
robo que "eso no me puede suceder a m" o "es poco probable que suceda".
Tambin se cree que los computadores y los programas son tan complejos que nadie
fuera de su organizacin los va a entender y no les van a servir, ignorando
las personas que puedan captar y usarla para otros fines.

 Los sistemas de seguridad generalmente no consideran la posibilidad de fraude

interno que es cometido por el mismo personal en el desarrollo de sus funciones.
Generalmente se piensa que la seguridad por clave de acceso es inviolable pero no
se considera a los delincuentes sofisticados.
Se suele suponer que los defectos y errores son inevitables.
Tambin se cree que se hallan fallas porque nada es perfecto.
Y la creencia que la seguridad se aumenta solo con la inspeccin.

Consideraciones inmediatas para la Seguridad de la Informacin

Uso de la Computadora
Se debe observar el uso adecuado de la computadora y su software que puede ser
susceptible a: tiempo de mquina para uso ajeno, copia de programas de la
organizacin para fines de comercializacin (copia pirata), acceso directo o telefnico
a bases de datos con fines fraudulentos.
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los
accesos a las computadoras de acuerdo a: nivel de seguridad de acceso, empleo de
las claves de acceso, evaluar la seguridad contemplando la relacin costo, ya que
a mayor tecnologa de acceso mayor costo.

Cantidad y Tipo de Informacin

El tipo y la cantidad de informacin que se introduce en las computadoras debe
considerarse como un factor de alto riesgo ya que podran producir que:
la informacin este en manos de algunas personas, la alta dependencia en caso de
perdida de datos.
Control de Programacin
Se debe tener conocimiento que el delito ms comn est presente en el momento de
la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se
debe controlar que:
los programas no contengan bombas lgicas, los programas deben contar con
fuentes y sus ultimas actualizaciones, los programas deben contar con
documentacin tcnica, operativa y de emergencia.

Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de las personas
que estn ligadas al sistema de informacin de forma directa y se deber contemplar
principalmente:
la dependencia del sistema a nivel operativo y tcnico, evaluacin del grado de
capacitacin operativa y tcnica, contemplar la cantidad de personas con acceso
operativo y administrativo, conocer la capacitacin del personal en situaciones de
emergencia.
Medios de Control
Se debe contemplar la existencia de medios de control para conocer cuando se
produce un cambio o un fraude en el sistema.
Tambin se debe observar con detalle el sistema ya que podra generar indicadores
que pueden actuar como elementos de auditora inmediata, aunque esta no sea una
especificacin del sistema.

TEMA: ANALISIS DE SEGURIDAD DE SISTEMAS DE INFORMACION

OBJETIVO DEL TRABAJO: Conocer de cerca y experimentar el anlisis de Seg

en los Sistemas de Informacin de la empresa donde labora o la institucin don
desee evaluar.

ESQUEMA A SEGUIR:
Datos Generales de la Organizacin (Resea histrica, misin, visin, valores,
Estratgicos, organigrama, Informacin del Personal, equipos de TI, Infraest
entre otros).
Anlisis de vulnerabilidades de la organizacin.
Conclusiones.
Recomendaciones.
FORMA DE PRESENTACION:
Trabajo impreso en word
Exposicin en Power Point