Beruflich Dokumente
Kultur Dokumente
TALLER No. 4
SENA
BOGOTA
2009
TALLER No. 4
INTRUCTORA
SENA
BOGOTA
2009
CONTENIDO
Pág.
Introducción
Objetivos
Justificación.
Contenido
Glosario
Conclusiones
Bibliografía.
INTRODUCCION
1. Integridad: garantizar que los datos sean los que se supone que son
2. Confidencialidad: asegurar que sólo los individuos autorizados tengan
acceso a los recursos que se intercambian
3. Disponibilidad: garantizar el correcto funcionamiento de los sistemas de
información
4. Evitar el rechazo: garantizar de que no pueda negar una operación
realizada.
5. Autenticación: asegurar que sólo los individuos autorizados tengan acceso
a los recursos
JUSTIFICACION
Este taller se desarrolla con el propósito de conocer he investigar mas de cerca los
sistemas de información en una organización y fuera de ellas, mas exactamente
en nuestra vida diaria, con el fin de plantear nuevos procesos y corregir o mejorar
los ya sabidos.
Este taller servirá para controlar la información manejada por nosotros en las
diferentes intervenciones que tengamos con los sistemas de información ya sean
sistemas de datos enlazados o sistemas personales como los computadores que
usamos a diario.
TALLER No 4
Pág.
Definiciones
HACKER
Hacker, usando la palabra inglesa, quiere decir divertirse con el ingenio [cleverness], usar
la inteligencia para hacer algo difícil. No implica trabajar solo ni con otros necesariamente.
Es posible en cualquier proyecto. No implica tampoco hacerlo con computadoras. Es
posible ser un hacker de las bicicletas. Por ejemplo, una fiesta sorpresa tiene el espíritu
del hack, usa el ingenio para sorprender al homenajeado, no para molestarle.
Hacker, usando la palabra inglesa, quiere decir divertirse con el ingenio [cleverness], usar
la inteligencia para hacer algo difícil. No implica trabajar solo ni con otros necesariamente.
Es posible en cualquier proyecto. No implica tampoco hacerlo con computadoras. Es
posible ser un hacker de las bicicletas. Por ejemplo, una fiesta sorpresa tiene el espíritu
del hack, usa el ingenio para sorprender al homenajeado, no para molestarle.
VIRUS DE COMPUTADORA
TIPOS DE VIRUS.
Al respecto, se trata de virus que no existe y que se utiliza para aterrar a los
novatos especialmente en la Internet a pesar que los rumores lo muestran como
algo muy serio y a veces la información es tomada por la prensa especializada.
Por lo general, como ya se expresó, la difusión se hace por cadenas de e-mail con
terribles e inopinadas advertencias. En realidad el único virus es el mensaje. A
continuación se dan una serie de supuestos "virus", por lo que es aconsejable
ignorar los mensajes que aparecen y no ayudar a replicarlos continuando con la
cadena:
• 3b Trojan (alias PKZIP Virus).
• AOL4Free Virus Hoax.
• Baby New Year Virus Hoax.
• BUDDYLST.ZIP
• BUDSAVER.EXE
• Budweiser Hoax
• Death69
• Deeyenda
• E-Flu
• FatCat Virus Hoax
• Free Money
• Get More Money Hoax
• Ghost
• Good Times
• Hacky Birthday Virus Hoax
• Hairy Palms Virus Hoax
• Irina
• Join the Crew
• Londhouse Virus Hoax
• Microsoft Virus Hoax
• Millenium Time Bomb
• Penpal Greetings
• Red Alert
• Returned or Unable to Deliver
• Teletubbies
• Time Bomb
• Very Cool
• Win a Holiday
• World Domination Hoax
• Yellow Teletubbies
• A.I.D.S. hoax email virus
• AltaVista virus scare
• AOL riot hoax email
• ASP virus hoax
• Back Orifice Trojan horse
• Bill Gates hoax
• Bloat, see MPEG virus hoax
• Budweiser frogs screen-saver scare
• Good Times hoax email virus
• Irina hoax virus
• Java virus scare
• Join the Crew hoax email virus
• 'Millennium' virus misunderstanding
• MPEG virus hoax
• 'My clock says 2097/2098' virus misunderstanding
• New virus debug device hoax email virus with attached Trojan horse
• Open: Very Cool, see A.I.D.S. hoax email virus
• Penpal Greetings, see Good Times hoax email virus
• PKZ300 Trojan virus scare
• Returned or Unable to Deliver hoax email virus
• Walt Disney greeting, see Bill Gates hoax
• Win a Holiday hoax email virus
• Windows ’98 MS Warning.
Por último, cabe destacar que los HOAX están diseñados únicamente para asustar
a los novatos (y a los que no lo son tanto). Otros como el mensaje del carcinoma
cerebral de Jessica, Jessica Mydek, Anabelle, Ana, Billy y otros personajes
imaginarios tampoco son reales como tampoco lo es la dirección
ACS[arroba]aol.com, ya que fueron creados para producir congestionamiento en
la Internet.
MANTENIMIENTO DE SOFTWARE
Cualquier esfuerzo de Ingeniería del Software – si termina con éxito – acaba por
producir un determinado producto software, orientado a satisfacer ciertos
requisitos previamente establecidos. El mantenimiento en este contexto se
entiende de manera general como las actividades de cambio de ese producto.
Ahora bien, el cambio se puede entender de diferentes maneras. Comenzando por
lo básico, la definición de Mantenimiento del Software “El mantenimiento del
software es la modificación de un producto software después de la entrega para
corregir fallos, para mejorar el rendimiento u otros atributos, o para adaptar el
producto a un entorno modificado”.
ENCRIPTACION
Cifrado, codificación). La encriptación es el proceso para volver ilegible información considera importante. La
información una vez encriptada sólo puede leerse aplicándole una clave.
Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no
debería ser accesible a terceros. Pueden ser contraseñas, nros. de tarjetas de crédito, conversaciones
privadas, etc.
Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una
clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.
Se prefiere el uso de la palabra "cifrado" en lugar de "encriptación", debido a que esta última es una mala
traducción del inglés encrypt.
SOFTWARE ANTIVIRUS
DESINFECTADOR:
Programa que una vez localizado el virus y desactivada su estructura procede a
eliminarlo, procediendo a reparar sus efectos en el sistema. Hay que reseñar que esto
último no siempre es posible, dependiendo del tipo de virus y los efectos producidos.
Esto como características principales, pero por lo normal tienen muchas más, como .la
posibilidad de actualizarse vía Internet (muy importante), confección de informes y
estadísticas, cuarentena de infectados, creación de disquetes de arranque, programación
de tareas, etc...
Parece ser, entonces, que la amplitud de la base de datos del antivirus y la frecuencia y
rapidez con que se añaden las definiciones de los virus a la misma es el mejor indicativo
de la calidad del programa. Sí, pero no del todo. Hay otras funciones a valorar en un
antivirus:
Su protección frente a los medios externos (Internet, Correo) es de vital importancia,
análisis heurístico, o la capacidad de reconocimiento (parcial en muchos casos, ya que los
códigos de estos nunca coincidirán completamente con los de la base de datos del
programa) ante nuevos tipos de virus o mutaciones de los existentes, se trata de un
análisis adicional que solamente algunos programas antivirus pueden realizar, para
detectar virus que en ese momento son desconocidos, velocidad de escaneo, integración
con el sistema operativo, consumo de recursos...
Habremos de ponderar todo esto a la hora de elegir nuestro antivirus, pero como norma
de oro tendremos en cuenta que es necesario tener siempre instalado un antivirus en
nuestro sistema.
Recordemos que el concepto de antivirus es el de un programa que nos brinda protección
íntegramente, es decir, desde que arrancamos el ordenador y mientras efectuamos con él
cualquier actividad. Por ello es importante mantener siempre su actividad desde el inicio
del sistema.
Secuwared Applications
Otro concepto de antivirus
La proliferación de virus en Internet, más de 57.000, a razón de 800 nuevos virus cada
mes, es el terrible panorama al que se enfrentan las empresas españolas.
Ante está situación, Secuware presenta una solución destinada a fortalecer los sistemas
de seguridad informática.
Secuwared Applications es un software antivirus genérico que no necesita actualización y
que permite la ejecución de programas o macros autorizados por la empresa mediante
una huella digital.
De esta forma, evita que cualquier software, código o macro descargado de Internet se
pueda ejecutar porque no está autorizado por el administrador.
Por supuesto, esto incluye programas infectados o troyanos.
En la actualidad, las organizaciones necesitan que sus empleados utilicen el software
corporativo y no programas o aplicaciones que cada usuario considere importante y
decida instalarlas en su equipo sin ningún tipo de supervisión.
En el lado opuesto, los empleados defienden el derecho a la intimidad en sus puestos de
trabajo, con reiteradas quejas cobre los sistemas de filtrado de los contenidos de Internet
o de monitorización del correo electrónico.
Este hecho conlleva importantes consecuencias ya que todo software no corporativo
puede ser "pirata", producir pérdidas de datos o de productividad y pueden ser la puerta
de entrada de virus y troyanos, facilitando ataques por parte de los hackers.
Por ello, la solución Secuwared Applications controla las aplicaciones instaladas en los PC
corporativos según la política de seguridad de cada compañía.
El funcionamiento de Secuwared Applications es sencillo e intuitivo, al crear una huella
digital de todas las aplicaciones instaladas en un PC, el administrador del sistema puede
establecer cuáles de estas aplicaciones podrán ejecutarse y a cuáles debe estar
restringido el acceso.
De este modo, impide que un virus contamine la plataforma al impedir que se ejecute en
el sistema al no estar autorizado.
Tras la pantalla de bienvenida y una vez instalado el programa, el proceso de
configuración se relativamente sencillo para las posibilidades que ofrece.
Todas las opciones de configuración se llevan a cabo desde una consola desde la que se
pueden establecer las directivas de seguridad, tanto para el equipo y los usuarios locales,
como para los equipos y los usuarios remotos.
En la configuración de la directiva de seguridad de equipos, disponemos de tres opciones
diferentes. La primera opción es "Aplicaciones iniciadas cada vez que se inicia Windows",
y permite administrar qué aplicaciones se iniciarán automáticamente en cada arranque.
A cada aplicación se le debe asignar un nombre y se debe especificar la ruta y los
parámetros del archivo ejecutable. La segunda opción a configurar es "aplicaciones
iniciadas en el próximo inicio de Windows" y se diferencia de la anterior en que
únicamente afectará al próximo inicio del PC.
La tercera y última opción hace referencia a los servicios iniciados al arrancar Windows y
se configura de la misma manera que las dos anteriores.
Una vez que las directivas de seguridad relativas al equipo se hayan configurado
satisfactoriamente, el siguiente paso es configurar las opciones de usuario local, en la que
las tres primeras opciones se corresponden con las ya configuradas en el equipo.
La cuarta opción "Ejecutar sólo aplicaciones Windows permitidas" permite especificar las
únicas aplicaciones que podrán ser ejecutadas por el usuario.
La quinta opción, "Impedir herramientas de edición del registro", evita el uso de
herramientas que puedan modificar el registro de Windows y la sexta y última opción
"Restricciones para MS-DOS" está dividida en dos apartados; "Desactivar el símbolo de
MS-DOS" para evitar el uso de comandos bajo MS-DOS en una sesión paralela a la del
propio Windows y "Desactivar apicaciones en moodo único MS-DOS" que impide la
ejecución de antiguos programas basados en DOS Secuwared Applications monitoriza la
apertura de documentos de World y hojas de excel, bloqueando el acceso a estos
archivos en caso de que el administrador no los haya validado.
Todas estas características hacen de Secuwared Applications una herramienta
recomendada para su uso en cibercafés o aulas de informática en centros de enseñanza
donde sea preciso restringir el acceso a las funciones del sistema, limitando el uso de
aplicaciones ajenas a los intereses de las empresas.
Su facilidad de implantación en cualquier entorno corporativo convierten a Secuwared
Applications en una herramienta versátil, que requiere poco mantenimiento y permite
gestionar invididualmente cada puesto desde un sólo punto, ya sea mediante la red local
o mediante Internet.
Entre las ventajas de Secuwared Applications frente a un producto antivirus cabe destacar
que no precisa actualización, únicamente requiere la supervisión por parte de un
administrador que regule las directivas de seguridad.
Los requerimientos mínimos del sistema para ejecutar Secuwared Applications son PC
con procesador Intel o similar, sistema operativo Windows 95, Windows 98, Windows NT
4.0 y Windows 2000, 16 MB de RAM, el espacio que ocupa en dispo no supera 1 MB y
admite la administración remota mediante Secuwared Console, herramienta que es capaz
de administrar prácticamente la totalidad de soluciones que ofrede Secuware, como
Secuwared Internet y Secuwared Files.
Con respecto al precio de Secuwared Applications, al ser una solución escalable, su
precio va igualmente en escala, dependiendo del número de puestos de trabajo en los
que se vaya a instalar el producto.
MEDIDAS DE SEGURIDAD
Uso de la Computadora
Se debe observar el uso adecuado de la computadora y su software que puede ser
susceptible a:
• tiempo de máquina para uso ajeno
• copia de programas de la organización para fines de comercialización (copia pirata)
• acceso directo o telefónico a bases de datos con fines fraudulentos
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a
las computadoras de acuerdo a:
• nivel de seguridad de acceso
• empleo de las claves de acceso
• evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de
acceso mayor costo
Control de Programación
Se debe tener conocer que el delito más común está presente en el momento de la
programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe
controlar que:
• los programas no contengan bombas lógicas
• los programas deben contar con fuentes y sus ultimas actualizaciones
• los programas deben contar con documentación técnica, operativa y de emergencia
Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que
están ligadas al sistema de información de forma directa y se deberá contemplar
principalmente:
• la dependencia del sistema a nivel operativo y técnico
• evaluación del grado de capacitación operativa y técnica
• contemplar la cantidad de personas con acceso operativo y administrativo
• conocer la capacitación del personal en situaciones de emergencia
Medios de Control
Se debe contemplar la existencia de medios de control para conocer cuando se produce
un cambio o un fraude en el sistema.
También se debe observar con detalle el sistema ya que podría generar indicadores que
pueden actuar como elementos de auditoría inmediata, aunque esta no sea una
especificación del sistema.
Rasgos del Personal
Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya
que pueden surgir:
• malos manejos de administración
• malos manejos por negligencia
• malos manejos por ataques deliberados
Instalaciones
Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto
grado de riesgo. Para lo cual se debe verificar:
• la continuidad del flujo eléctrico
• efectos del flujo eléctrico sobre el software y hardware
• evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
• verificar si existen un diseño, especificación técnica, manual o algún tipo de
documentación sobre las instalaciones
Control de Residuos
Observar como se maneja la basura de los departamentos de mayor importancia, donde
se almacena y quien la maneja.
Establecer las Areas y Grados de Riesgo
Es muy importante el crear una conciencia en los usuarios de la organización
sobre el riesgo que corre la información y hacerles comprender que la seguridad
es parte de su trabajo. Para esto se deben conocer los principales riesgos que
acechan a la función informática y los medios de prevención que se deben tener,
para lo cual se debe:
Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio)
Este estudio se realiza considerando el costo que se presenta cuando se pierde la
información vs el costo de un sistema de seguridad.
Para realizar este estudio se debe considerar lo siguiente:
• clasificar la instalación en términos de riesgo (alto, mediano, pequeño)
• identificar las aplicaciones que tengan alto riesgo
• cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con
un alto riesgo
• formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que
se requiera
• la justificación del costo de implantar las medidas de seguridad
Conclusión
Cuando se ha definido el grado de riesgo se debe elaborar una lista de los
sistemas con las medidas preventivas que se deben tomar y las correctivas
en casi de desastre, señalando la prioridad de cada uno. Con el objetivo
que en caso de desastres se trabajen los sistemas de acuerdo a sus
prioridades.
Consideración y Cuantificación del Riesgo a Nivel Institucional
(importante)
Ahora que se han establecido los riesgos dentro la organización, se debe
evaluar su impacto a nivel institucional, para lo cual se debe:
• Clasificar la información y los programas de soporte en cuanto a su disponibilidad y
recuperación.
• Identificar la información que tenga un alto costo financiero en caso de perdida o pueda
tener impacto a nivel ejecutivo o gerencial.
• Determinar la información que tenga un papel de prioridad en la organización a tal
punto que no pueda sobrevivir sin ella.
Higiene
Otro aspecto que parece de menor importancia es el de orden e higiene, que debe
observarse con mucho cuidado en las áreas involucradas de la organización
(centro de computo y demás dependencias), pues esto ayudará a detectar
problemas de disciplina y posibles fallas en la seguridad.
También podemos ver que la higiene y el orden son factores que elevan la moral
del recurso humano, evita la acumulación de desperdicios y limita las posibilidades
de accidentes. (ejm del rastrillo)
Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel
formal como informal.
Cultura Personal
Cuando hablamos de información, su riesgo y su seguridad, siempre se debe
considerar al elemento humano, ya que podría definir la existencia o no de los más
altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia
del personal, al menos de los cargos de mayor dependencia o riesgo.
Conclusión
1. Falta capacitación para Controlar posibles fallas tanto humanos como
sistemáticos para, así dar el rendimiento requerido por la implementación y
manejo de dicho control y seguridad de los sistemas de información.
2. Las perdidas de información es debido al desconocimiento en el manejo y
manipulación de los sistemas de información.
3. Encontrar y evitar posibles situaciones de roce entre el recurso humano y
la organización y lograr una mejor comunicación entre ambos.
4. Implementar las medidas necesarias y requeridas de seguridad y control
frente a los sistemas de información.
5. Familiarizarnos con los conceptos de sistemas de información.
GLOSARIO
Acceso a Internet: A lo largo de los años, la tecnología para acceder a internet ha cambiado
adaptándose a las necesidades de las personas y de los recursos. El principal motivo de cambio
de los distintos tipos de accesos a internet ha sido la velocidad de conexión. Actualmente se
necesita una muy buena velocidad si se quieren aprovechar todos los recursos de internet al
máximo: animaciones, televisión online, realidad virtual, 3D, videoconferencia, etc.
Activación del producto: (software activation, product activation, activación del producto).
Procedimiento y acción de validar una aplicación de software para poder utilizarla plenamente.
Administrador: Un administrador suele tener privilegios que ningún otro usuario tiene. Incluso
es el encargado de otorgar los permisos para el resto de los usuarios.
Backup: (Copia de seguridad) Es la copia total o parcial de información importante del disco
duro, CDs, bases de datos u otro medio de almacenamiento. Esta copia de respaldo debe ser
guardada en algún otro sistema de almacenamiento masivo, como ser discos duros, CDs, DVDs
o cintas magnéticas (DDS, Travan, AIT, SLR,DLT y VXA).
Bandeja de entrada:Los backups se utilizan para tener una o más copias de información
considerada importante y así poder recuperarla en el caso de pérdida de la copia original.
La bandeja de entrada, es el lugar o carpeta donde se almacenan los e-mails que se han recibido
de una o más cuentas de correo electrónico.
En general, la bandeja de entrada es la carpeta o ubicación por defecto donde se reciben los e-
mails, excepto que se aplique algún filtro que redireccione los e-mails a otra cuenta, a otra
carpeta/ubicación, a los elementos eliminados o al correo basura.
Por defecto los e-mails se ordenan por orden de llegada, aunque el usuario generalmente puede
cambiar estas preferencias a su gusto y ordenar por asunto, por remitente, por prioridad del e-
mail, etc.
La Bandeja de entrada, dependiendo del servicio o el programa de e-mail que se utilice, también
puede llamarse "Elementos de salida", "Mensajes sin enviar", "Unsent Messages", etc.
Forma ejecutable de un fichero/programa que sólo puede ser interpretado por una computadora,
lo contrario de código fuente.
Caballo de troya: (troyano). Programa tipo virus que queda activo en el sistema y abre un
puerto de entrada a esa computadora. De esta manera la PC queda expuesta y puede ser
accedida remotamente.
E-mail: (Electronic mail) Correo electrónico. Servicio muy utilizado en internet que permite el
intercambio gratis de mensajes entre usuarios. Junto con el mensaje se pueden adjuntar
archivos. Para enviar un mensaje de e-mail es necesario tener la dirección de nuestro
destinatario. Una dirección de e-mail tiene la forma: nombredecliente@nombredeproveedor.com.
Flujo de control: Canal que transfiere controles. Desde un flujo de control sólo pueden
esperarse señales tipo instrucciones para controlar u operar algo. Desde un flujo de control
nunca pueden llegar datos.
Flujo de datos: Canal de transferencia de datos. Desde un flujo de datos sólo pueden
esperarse datos y no señales de control (flujo de control).
Google: Empresa especializada en búsquedas por internet y publicidad online. Posee 12.238
empleados (31 de marzo de 2007) y está radicada en Mountain View, California (EE.UU.).
Gusano: Existen distintos tipos de gusanos:
Gusanos de emails, gusanos de IRC, gusanos de mensajeros instantáneos, gusanos de redes de
intercambio de archivos, gusanos de internet en general.
El objetivo de los gusanos puede ser desde la simple replicación, o hacer propagandas, colapsar
una red, etc.
BIBLIOGRAFIA
http://www.alegsa.com.ar/Dic/s.htm
http://es.kioskea.net/contents/secu/secuintro.php3
http://www.scribd.com/doc/7596190/Sistemas-de-InformaciOn