trabajo final

Upload: luis-manco

Post on 14-Jan-2016

19 views

Category:

Documents


1 download

DESCRIPTION

Seguridad Informatica

TRANSCRIPT

  • 1

    UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS

    FACULTAD DE INGENIERA

    DIVISIN DE ESTUDIOS PROFESIONALES PARA EJECUTIVOS

    CARRERA DE INGENIERA DE SISTEMAS

    RIESGOS POR INTERNET.

    TRABAJO PROFESIONAL PRESENTADO POR:

    LUIS HIDER MANCO BERROCAL (U199910555)

    JULIO CESAR VILCA AGUILAR (U201121382)

    CSAR ANDR DEL RISCO VALDIVIESO (U201114970)

    EVARISTO HUERTAS NAVARRO (U820895)

    PARA EL CURSO DE SEGURIDAD Y AUDITORIA DE SISTEMAS

    FACILITADOR:

    YOLFER ROBERTO HERNANDEZ ROJAS

    Lima, Junio de 2015

  • 2

    RESUMEN

    Las organizaciones deben atender su negocio, siendo consciente del nivel de riesgo tanto de la

    informacin como de sus activos. El objetivo primordial de la seguridad informtica es el de

    garantizar que los recursos informticos de una empresa estn disponibles para cumplir su

    propsito y que no se encuentren alterados por factores externos; ya que cuando se presentan

    esos inconvenientes, se puede provocar la prdida o modificacin de la informacin, lo que

    directamente puede representar un dao organizacional y econmico.

    Por ello, en el presente trabajo se analiza la situacin de la seguridad en informtica en lo

    referente a los riesgos en internet, evidenciando las amenazas a las que se encuentran expuestos

    y dando a conocer las posibles consecuencias; para, de esta manera, demostrar la importancia de

    contar con un apropiado esquema de seguridad que reduzca los niveles de vulnerabilidad y riesgo

    existente.

    En base al estudio y anlisis de diversas estadsticas, se demuestra que las organizaciones se

    preocupan por salvaguardar sus activos, sin embargo no tienen los conocimientos ni la

    experiencia necesaria para protegerlos adecuadamente, debido a que generalmente no cuentan

    con una rea de seguridad que se encargue de comprobar que se sigan polticas y procedimientos

    que aseguren y garanticen la seguridad de la informacin, prevea las posibles contingencias,

    regule la gestin de la infraestructura y que en general se dedique a guiar el desarrollo y correcto

    funcionamiento de la organizacin mediante las auditoras correspondientes.

    Al mismo tiempo, se analizan las exposiciones lgicas, fsicas y ambientales ms comunes a las

    que se encuentran vulnerables a las organizaciones y basado en las recomendaciones generales

    y estadsticas sobre los controles ms utilizados y eficientes.

  • 3

    Tambin se promueve un cambio en cuanto a la administracin y manejo de informacin

    implementando una nueva estructura en la organizacin, determinando los roles y las funciones

    que deben cumplir el personal, proponiendo lineamientos para brindar una mejor proteccin y

    manejo de los recursos, adems de la implementacin de los controles de seguridad ms

    apropiados para este tipo de organizaciones.

  • 4

    NDICE

    RESUMEN ................................................................................................................................ 2

    INTRODUCCION ..................................................................................................................... 5

    CAPITULO 8: CASO DE APLICACIN: UPC .................................................................. 7

    8.1. INTRODUCCION ..................................................................................................... 7

    8.2. UPC AS-IS ................................................................................................................ 7

    8.2.1. PROCESOS Y RECURSOS ............................................................................... 8

    8.2.2. AMENAZAS Y VULNERABILIDADES ........................................................ 18

    8.2.3. RIESGOS .......................................................................................................... 23

    8.2.4. MATRIZ DE RIESGOS .................................................................................... 26

    8.2.5. PRIORIZACION ............................................................................................... 27

    8.2.6. CONTROLES DE LA EMPRESA ................................................................... 29

    8.3. UPC TO-BE ............................................................................................................. 32

    8.3.1. POLITICAS DE SEGURIDAD ........................................................................ 32

    8.3.2. CONCIENTIZACION Y EDUCACION DEL PERSONAL ............................ 33

    8.3.3. CONTROL DE DESARROLLO DE APLICACIONES WEB ........................ 33

    8.3.4. CORTES DE FLUIDO ELECTRICO ............................................................... 34

    8.3.5. ETHICAL HACKING ....................................................................................... 34

    8.3.6. CORRECTA EVALUACION DE LOS SISTEMAS ....................................... 36

    8.4. CONCLUSIONES ................................................................................................... 36

    CONCLUSIONES .................................................................................................................. 38

    GLOSARIO DE TERMINOS ................................................................................................. 40

    SIGLARIO .............................................................................................................................. 45

    BIBLIOGRAFIA ..................................................................................................................... 46

  • 5

  • 6

    INTRODUCCIN

    Con el incremento acelerado del uso de computadoras en las organizaciones para almacenar,

    transferir y procesar informacin, se han convertido en un elemento indispensable para el

    adecuado funcionamiento de las mismas. Como consecuencia, la informacin ha tomado un

    valor importante que requiere de proteccin para garantizar el cumplimiento de los objetivos del

    negocio.

    Por tal motivo, los requerimientos en seguridad informtica son cada vez mayores, debido a que

    se busca que los recursos informticos de una organizacin estn disponibles y que no se

    encuentren afectados por personas o situaciones maliciosas. Por lo anterior, resulta importante

    establecer polticas de seguridad que permitan implementar una serie de soluciones tecnologas,

    as como el desarrollo de un plan de accin que nos ayude a actuar de forma rpida y eficaz en

    el manejo de incidentes, recuperacin de informacin y la disminucin del impacto.

    De igual manera es importante la aplicacin de mejores prcticas para crear una cultura de

    seguridad adecuada sobre las necesidades e importancia del aseguramiento de la informacin, al

    igual que de las diversas normas y estndares que se requieren para lograrlo. El presente proyecto

    muestra una investigacin que tiene por objetivo dar a conocer la importancia de la seguridad

    informtica en las organizaciones privadas.

    Este trabajo consta de los siguientes captulos:

    En el captulo 1 se presentan los aspectos tericos que dan a conocer de manera general y sencilla

    los riesgos en internet.

    En el captulo 2 se presenta el anlisis de los procesos y recursos que son afectados por los riesgos

    en internet tanto en hardware como en software

  • 7

    En el captulo 3 se presentan las vulnerabilidades que se pueden detectar en la empresa en lo

    referente a sitios web corporativos y sus posibles implicancias que esta conlleve..

    En el captulo 4 se presentan las amenazas que provienen externa e interna de la red de una

    empresa tanto software como hardware

    En el captulo 5 se presentan los anlisis y las valoraciones de una matriz de riesgos provenientes

    de las probabilidades de ataques y los impactos que ello conlleve.

    En el captulo 6 se presentan los controles de seguridad que pueden ser implementados en la

    empresa con sus respectivas normas e indicaciones que nos permitir salvaguardar y mitigar los

    posibles fallos de seguridad existente

    En el captulo 7 se presentan las evaluaciones de control mediante el cual se aplican

    procedimientos que simulen ataques reales y las posibles vulnerabilidades y/o amenazas que se

    puedan detectar.

    En el captulo 8 se presentan las aplicaciones de todo lo referente a las amenazas,

    vulnerabilidades, impacto, etc., sobre la empresa, Universidad Peruana de Ciencias Aplicadas,

    en el cual se ver el AS-IS actual de la empresa y se implementara medidas TOBE para que se

    pueda evitar intrusos en las aplicaciones y tener procedimiento adecuados a la hora de resguardar

    la informacin y la red.

    Con base a lo anterior y con las recomendaciones generales, se propone un esquema

    organizacional y tcnica que contengan las recomendaciones especficas para que sean aplicadas

    en la organizacin con finalidad de mitigar las posibles amenazas.

  • 8

    CAPITULO 8: CASO DE APLICACIN: UPC

    8.1. INTRODUCCION

    En el presente captulo se har un anlisis completo de la Universidad Peruana de Ciencias

    Aplicadas, esta institucin del rubro educacin cuanta con varios procesos de negocio

    vinculados con el uso de internet, los cuales se evaluaran a la luz de lo antes expuesto en este

    documento.

    Como primer paso se har un anlisis de la Universidad tal como est actualmente, para luego

    abordar la propuesta de mejora que nos proyectara un estado futuro de esta Universidad.

    8.2. UPC

    La Universidad Peruana de Ciencias Aplicadas es una institucin educativa de carcter privado

    e independiente con amplia experiencia en el campo de la educacin realizando la formacin de

    sus alumnos como profesionales competentes y lderes ntegros. Esta formacin se fundamenta

    en los principios filosficos de la universidad, de los cuales se desprenden metas que pasan a

    constituirse en sus competencias generales. Estas son: orientacin al logro, comunicacin,

    pensamiento crtico, ciudadana, creatividad, sentido tico y espritu empresarial.

    En la actualidad cuenta con unidades de negocio o servicios brindados para los diferentes tipos

    de clientes de la Institucin.

    PREGRADO

    POSTGRADO

    EPE

    La realizacin de formacin de las unidades de negocio se brinda en las diferentes sedes ubicadas

    en los distritos de Santiago de Surco, Chorrillos, San Miguel, San Borja, San Isidro y San

    Miguel.

    La universidad cuenta con prestigio en el mercado gracias a la constante innovacin de

    aseguramiento de los pilares de la calidad acadmica de la institucin: liderazgo en innovacin

    e investigacin acadmica, innovacin pedaggica, cultura del Modelo Educativo y compromiso

    con el alumno.

  • 9

    8.2.1. PROCESOS Y RECURSOS

    INSTALACIONES

    La Universidad consta de 4 campus:

    Monterrico

    San Isidro

    Villa

    San Miguel

    En Monterrico y Villa se encuentra el DataCenter y en cada campus existen servidores con

    los distintos sistemas que usa la empresa.

    En cada campus, en lo que se refiere a la seguridad fsica

    Refrigeracin optimizada para servidores

    Seguridad al ingreso

    Seguridad entre ambientes mediante tarjeta de proximidad HID

    INFRAESTRUCTURA

    SERVIDORES

    o Campus Monterrico

    Servidores Web

    Servidores de bases de datos de la empresa

    Servidor de Correos en Cloud con Office 365, este servidor est dedicado

    exclusivamente para los trabajos de correos

    Servidor de Central de Telefona IP Avaya, este servidor est dedicado

    exclusivamente para los trabajos de telefona

    Servidor CRM, en este servidor se encuentra el CRM de la empresa en

    Microsoft Dynamics

    o Campus San Isidro

    Servidores Web

    Servidores de bases de datos de la empresa

    Servidor de Central IP Avaya

    o Campus Villa

    Servidores Web

    Servidor Principal, en este servidor se encuentra las BD de datos de la

    empresa

  • 9

    Servidor de Correos en Cloud con Office 365, este servidor est dedicado

    exclusivamente para los trabajos de correos.

    Servidor de Central IP Avaya

    En cada campus existe:

    Un switch Core con ACL (Lista de Control de Acceso, se usan para aplicar una poltica

    de seguridad que permite o niega el acceso de cierta parte de la red a otra), que mediante

    una VLAN separa los ambientes en Red Acadmica, Red Administrativa, WIFI.

    Un IPS (Sistema de Prevencin de Intrusos), que toma accin contra virus, malwares,

    phishing, sql injection, etc.

    Antispam para correos.

    Certificado SSL, con cifrado SHA 256

    Los controles se guan bajo la norma ISO 27001 (norma internacional que describe

    cmo gestionar la seguridad de una empresa).

    Todos los campus estn unidos por un RPV de la empresa Claro

    Los servidores de correo y web se encuentran en una DMZ.

    Se cuenta con Firewall Fortigate, de la empresa Fortinet, que realiza anlisis peridicos

    con su programa FortiAnalyzer, y brinda alertas y reportes sobre ataques detectados.

    SOFTWARE

    KASPERSKY:

    UPC cuenta con el antivirus KASPERSKY, el cual le permite tener un anlisis de

    vulnerabilidades y administracin de parches, adems de una administracin centralizada

    de la seguridad. Como poltica, cada vez que se conecta un USB a alguna PC, se ejecuta el

    antivirus, y solo se puede evitar el escaneo ingresando un password. Este antivirus es

    utilizado en apoyo del IPS.

    ARANDA:

    UPC cuenta ARANDA, el cual le permite tener un control de accesos a dispositivos: USB,

    CDs y control de PC, con la finalidad de controlar los accesos a la red y prevenir de un

    posible contagio a la red de la empresa.

  • 10

    SISTEMAS

    PLATAFORMA TECNOLOGICA

    Plataforma Principales productos de esa

    plataforma

    Descripcin

    Microsoft/HP Office 365: Brinda soluciones

    de correo, portal

    colaborativo, mensajera

    instantnea

    Sistema Operativo: Windows

    Server 2012

    Hardware: 04 Servidores HP

    (ADFS)

    Suite de Office 365. Ms

    servidores de

    autenticacin.

    Microsoft /Oracle /HP

    /Empaquetado

    Sistema Operativo: Windows

    Server 2012

    Base de datos: Oracle

    Enterprise 11G R2

    Servidor de aplicaciones:

    Scrates

    Hardware: 08 Servidores HP

    Aplicacin de scrates,

    Dynamics CRM,

    MicroStrategy.

  • 11

    APLICACIONES

    Aplicacin Funciones Informacin

    Scrates 1.0

    Proporcionar accesos a los mdulos

    disponibles para al alumno o profesor

    dependiendo del perfil de usuario con el

    que ingrese

    Matrcula del alumno

    Consulta de horarios.

    Ms de 30 mdulos

    desarrollados.

    Actualmente lo conocen

    ms de 28 personas y

    existen 05 roles

    (Analista programador,

    Analista Soporte,

    Analista Senior,

    Coordinador y Gerente).

    Se encuentra

    desarrollado en Oracle

    Forms con base de datos

    Oracle.

    Blackboard

    Brindar al alumno un Aula Virtual

    donde puede encontrar informacin de

    sus cursos, notas, profesores, etc.

    relacionados a su mdulo matriculado.

    Ms de 5 mdulos

    desarrollados.

    Actualmente lo conocen

    ms de 5 personas y

    existen 04 roles

    (Analista programador,

    Analista Soporte,

    Analista Senior,

    Coordinador).

    PeopleSoft

    Interactuar con las reas de finanzas y

    contabilidad para revisin de

    presupuestos y flujos de caja.

    Ms de 5 mdulos

    desarrollados.

    Actualmente lo conocen

    ms de 5 personas y

    existen 04 roles

    (Analista programador,

    Analista Soporte,

  • 12

    Coordinador y Jefe

    Financiero).

    Tiene una base de datos

    Oracle.

    Soporte proveedor

    Externo (Servicios

    Andinos)

    Dynamics

    CRM

    Administracin de relaciones con los

    clientes a nivel comercial.

    Ms de 10 mdulos

    desarrollados.

    Actualmente lo conocen

    ms de 10 personas y

    existen 05 roles

    (Analista programador,

    Analista Soporte,

    Analista Senior,

    Coordinador y Gerente).

    Tiene una base de datos

    SQL.

    OFISIS

    Administracin de los RRHH de la

    organizacin (Planilla, vacaciones,

    etc.).

    Ms de 5 mdulos

    desarrollados.

    Actualmente lo conocen

    ms de 5 personas y

    existen 04 roles

    (Analista programador,

    Analista Soporte,

    Analista Senior y

    Coordinador).

  • 13

    SPRING

    Facturacin de la organizacin.

    Ms de 3 mdulos

    desarrollados.

    Actualmente lo conocen

    ms de 5 personas y

    existen 04 roles

    (Analista programador,

    Analista Soporte,

    Analista Senior y

    Coordinador).

    SharePoint

    Librera de documentos

    Flujos de trabajo

    Gestor de contenidos.

    Ms de 2 mdulos

    desarrollados.

    Actualmente lo conocen

    ms de 8 personas y

    existen 04 roles

    (Analista programador,

    Analista Soporte,

    Analista Senior y

    Coordinador).

    ONBASE

    Gestor de contenido documental

    Ms de 4 mdulos

    desarrollados.

    Actualmente lo conocen

    ms de 4 personas y

    existen 04 roles

    (Analista programador,

    Analista Soporte,

    Analista Senior y

    Coordinador).

  • 14

    Office 365

    Gestor de Contenido

    Correo electrnico

    Mensajera y video conferencia

    Ms de 3 soluciones

    habilitadas.

    Actualmente lo conocen

    ms de 10 personas y

    existen 05 roles

    (Analista programador,

    Analista Soporte,

    Analista de

    Infraestructura, Analista

    Senior y Coordinador).

  • 15

    RECURSOS HUMANOS

    ORGANIGRAMA GENERAL

    ORGANIGRAMA DE TI

    Todas las reas usan internet de una u otra forma.

    EXPLOTACION

    PROCESOS CORE

    Proceso Descripcin

    Matrcula Proceso encargado de realizar la inscripcin del alumno en el

    programa estudiantil deseado, siendo uno de los principales

    procesos debido a partir de ello el alumno puede iniciar sus

    actividades estudiantiles. Asimismo, este proceso tiene fecha y

    periodos de funcionamiento ya establecidos en base al cronograma

    de inicios de clases de cada programa estudiantil. Los roles

    identificados en el proceso son: alumno, sistema y asesor de

    matrcula.

  • 16

    Programacin de

    Horarios

    El proceso de programacin de horarios consiste en generar los

    horarios de los cursos asociados a una seccin, profesor, alumnos

    y sede. Este proceso sirve de soporte al proceso de matrcula y es

    importante ya que impacta en el clculo de horas acadmicas y

    sirve de entrada para otros procesos del negocio. Los roles del

    proceso son: operador de sistemas, analista de proceso.

    Admisin El proceso de admisin permite el ingreso de los estudiantes a los

    diferentes servicios que cuenta la institucin. Este proceso permite

    conocer el potencial acadmico del alumno realizando

    evaluaciones de conocimiento y entrevista personales.

    Aprobacin de

    presupuesto

    El proceso de aprobacin de presupuesto, comprende todo el flujo

    de presentacin y aprobacin de presupuesto para diversas

    iniciativas de negocio propuestas por las diversas reas de la

    organizacin ante el rea de planeamiento estratgico. Este proceso

    se realiza en el tercer trimestre del ao previo del presupuesto a

    evaluar. Los roles identificados en el proceso son: Presentador del

    proyecto propuesto, evaluador del proyecto, jefe del rea de

    planeamiento.

    Ventas Directas El proceso de ventas directas es el encargado de la generacin de

    oportunidades comerciales dirigidas hacia posibles futuros

    alumnos de alguno de los programas estudiantiles ofrecidos por

    UPC. El servicio consta en que una operadora se comunica con el

    posible cliente y empieza a ofrecerle alguno de los programas de

    UPC, en base al inters del posible cliente se empieza a obtener y

    registrar su informacin en el CRM, finalizando con una reunin

    agendada con el personal de Admisin. Asimismo, este proceso se

    encuentra funcionando todos los das laborables del ao con la

    finalidad de generar un mnimo de oportunidades comerciales

    necesarias para poder incrementar la posibilidad de concretar

    oportunidades comerciales estudiantiles. Los roles identificados en

    el proceso son: Posibles Alumnos, operadora del call center y

    sistema CRM.

  • 17

    UNIDADES DE TI

    Unidad Descripcin

    Administracin y

    Control de TI

    Brinda los permisos y accesos a los sistemas

    Infraestructura y

    Plataforma de TI

    Garantiza el funcionamiento correcto de los equipos y

    recursos centralizados (servidores, software e infraestructura

    de conexin)

    garantiza la disponibilidad diaria de los sistemas

    gestiona las bases de datos

    Define y mantiene los sistemas de telecomunicacin

    Asegura el funcionamiento correcto de todas las medidas de

    seguridad (encriptacin, cortafuegos, etc.)

    Servicios de TI

    Gestin y supervisin de los servicios que brinda la mesa de

    ayuda

    Certificacin y control de calidad de las aplicaciones y

    desarrollos que sern puestos en produccin

    Administracin de accesos y permisos a los diferentes

    usuarios

    Gestiona el Software y los equipos de la universidad

    Soluciones

    acadmicas TI

    Se encarga del desarrollo, soporte y mantenimiento en

    sistemas transaccionales acadmicos.

    Desarrolla y mantiene las aplicaciones y bases de datos

    internas necesarias para el funcionamiento de los sistemas

    transaccionales acadmicos

    Evaluacin, gestin e implementacin de aplicaciones

    externas relacionadas a los servicios acadmicos

    Soluciones de TI

    Administrativas y

    Financieras

    Garantiza la implementacin, mantenimiento, soporte y

    desarrollo de los proyectos financieros y administrativos

  • 18

    8.2.3. AMENAZAS Y VULNERABILIDADES

    Recursos y Procesos Vulnerabilidades Amenazas

    Instalaciones

    Campus Monterrico Uso de enchufes mltiples

    Uso de artefactos como hervidoras o

    microondas en las oficinas.

    El DataCenter no se encuentra en un

    lugar adecuado

    Cada del Servicio

    Elctrico

    Campus San Isidro Uso de enchufes mltiples

    Uso de artefactos como hervidoras o

    microondas en las oficinas.

    Cada del Servicio

    Elctrico

    Campus Villa Uso de enchufes mltiples

    Uso de artefactos como hervidoras o

    microondas en las oficinas.

    Cada del Servicio

    Elctrico

    Campus San Miguel Uso de enchufes mltiples

    Uso de artefactos como hervidoras o

    microondas en las oficinas.

    Cada del Servicio

    Elctrico

    rea de Equipos

    (Data Center)

    No cuenta con control de acceso con

    identificacin de perfiles y

    autentificacin

    No existe equipos adecuados contra

    incendio

    Personal de la

    organizacin no

    autorizado.

  • 19

    Infraestructura

    Servidor Web Varias aplicaciones se encuentran

    alojadas en un servidor.

    Proceso ineficiente de realizacin de

    backups en algunos casos.

    Ataque de Hackers

    Ataque de Malwares

    Cada de Red

    Cada de Servicio

    elctrico

    Acceso a personal no

    autorizado

    Servidor de Base de

    Datos

    Proceso ineficiente de realizacin de

    backups en algunos casos.

    Ataque de Hackers

    Ataque de Malwares

    Cada de Red

    Cada de Servicio

    elctrico

    Acceso a personal no

    autorizado

    Servidor SharePoint Ataque de Hackers

    Ataque de Malwares

    Cada de Red

    Cada de Servicio

    elctrico

    Acceso a personal no

    autorizado

    Servidor de Correo Plan incompleto de contingencia para

    cloud

    Ataque de Hackers

    Ataque de Malwares

    Cada de Red

    Cada de Servicio

    elctrico

    Spam con fines

    publicitarios

  • 20

    Servidor de Central

    Telefnica

    Ataque de Hackers

    Ataque de Malwares

    Cada de Red

    Cada de Servicio

    elctrico

    Cada del enlace

    telefnico

    Equipos porttiles Personal que hace mal

    uso de los equipos

    (juegos, videos)

    Equipos de escritorio Personal que hace mal

    uso de los equipos

    (juegos, videos)

    Software de

    Seguridad ARANDA

    Existen PCs. no gobernadas por el

    software

    Personal de la empresa

    sin capacitacin

    adecuada

    Microsoft Windows

    Server

    Sistema operativo no muy seguro

    Parches mal instalados o no

    actualizados

    Personal de TI con bajo

    conocimiento en nuevas

    versiones

    Ataque de Hackers

    Ataque de Malwares

    CRM Construccin de mdulos muy

    personalizados

    La no utilizacin de Microsoft

    Dynamics CRM en forma nativa

    Ataque de Hackers

    Ataque de Malwares

  • 21

    Desarrollos Internos No existe uniformidad en las

    metodologas de desarrollo.

    Sistemas sin evaluacin de pruebas

    de stress

    Validaciones realizadas solo en el

    lado del cliente

    Colocacin de data sensible en

    archivos de configuracin

    (Web.config)

    Falta de documentacin de los

    sistemas o muy poca documentacin

    existente

    Personal de desarrollo y

    TI poco capacitado

    RRHH

    Personal de TI No se promueven las polticas que

    gestionan la interaccin con internet.

    Uso de contraseas endebles

    Gerencia sin influencia

    para promover polticas

    Personal de otras

    reas

    Desconocimiento sobre riesgos de

    internet

    No se promueven las polticas que

    gestionan la interaccin con internet.

    Uso de contraseas endebles

    Gerencia sin influencia

    para promover polticas

    Explotacin

    Proceso de Gestin de

    Estrategia de Servicio

    TI

    Proceso documentado en forma

    parcial

    Polticas y procedimientos

    desactualizados

    Las estrategias no estn totalmente

    alineadas con los objetivos

    Gerencia sin influencia

    para promover polticas

  • 22

    Proceso de Gestin de

    Cambios

    Proceso documentado en forma

    parcial

    Polticas y procedimientos

    desactualizados

    Gerencia sin influencia

    para promover polticas

    Proceso de Gestin de

    Implementacin

    Proceso documentado en forma

    parcial

    Polticas y procedimientos

    desactualizados

    Gerencia sin influencia

    para promover polticas

    Actualizaciones

    realizadas evitando

    algunos procedimientos

    Proceso de gestin de

    la Configuracin

    Proceso documentado en forma

    parcial

    Polticas y procedimientos

    desactualizados

    Gerencia sin influencia

    para promover polticas

    Uso de versiones no

    actualizadas en el

    desarrollo de

    aplicaciones

    Proceso de Gestin de

    Proveedores

    Proceso documentado en forma

    parcial

    Polticas y procedimientos

    desactualizados

    Gerencia sin influencia

    para promover polticas

    Mala Evaluacin de

    proveedores

  • 23

    8.2.4. RIESGOS

    En este apartado, se realizar el anlisis de riesgo con respecto a la situacin actual de los recursos y procesos que se vienen usando en la

    organizacin y que estn ligados a las actividades realizadas en el internet.

  • 24

    CUADRO DE PRINCIPALES RIESGOS

    Nro Descripcin

    R1 Probabilidad de que deje de trabajar el servicio de conexin telefnica

    R2 Probabilidad de cada del servicio de internet, originando prdidas en el negocio

    R3 Probabilidad de que se produzca una cada de la red, la comunicacin se caiga y afecte la

    operacin de la organizacin.

    R4

    Probabilidad de que un software especializado en captura de datos ingrese a los equipos

    de la organizacin que no estn controlados por Aranda y logre extraer y exportar datos

    con carcter confidencial.

    R5 Probabilidad que un evento fortuito genere problemas en la operacin de la instalacin de

    programas.

    R6

    Probabilidad de que un personal no autorizado ingrese a las instalaciones aprovechando la

    forma endeble de los passwords y genere daos fsicos y/o lgicos a las instalaciones y a

    la infraestructura tecnolgica (software y hardware).

    R7

    Probabilidad de que un Hacker ataque a los recursos de hardware y software expuestos a

    internet y que puede generar daos fsicos y/o lgicos a la infraestructura tecnolgica o se

    apropie de informacin confidencial.

    R8

    Probabilidad de que un software malware se instale y ejecute en los computadores,

    servidores y otros dispositivos, generando daos a la infraestructura tecnolgica o se

    apropie de informacin confidencial.

    R9 Probabilidad de que no se puedan enfrentar problemas en el software por no contar con

    documentacin adecuada.

    R10

    Probabilidad de que el proveedor responda con tiempos demasiados largos y que

    comprometa la operatividad de recursos de infraestructura y con ello la operacin del

    negocio.

    R11

    Probabilidad de que la Gerencia de la organizacin, por dejadez u otros temas, no de

    importancia a la direccin y gestin en la ejecucin de los procesos dentro de la

    organizacin generando impactos negativos para el negocio.

    R12 Probabilidad que una persona mal capacitada ponga en riesgo la eficiencia y eficacia de la

    ejecucin de las actividades generando impactos negativos al negocio.

    R13 Probabilidad que el servicio elctrico no funcione y cause problemas al negocio por falta

    de la misma.

    R14 Probabilidad de que un proceso no est regulado o no se apliquen correctamente sus

    polticas, debido a dejadez en el procedimiento.

    R15 Probabilidad de que una persona ingrese a un lugar que no le corresponde y genere

    problemas de operacin.

    R16 Probabilidad que colapse el lugar asignado al DataCenter y genere riesgos en la operacin

    R17

    Probabilidad de se presente una falla en la energa y no se cuente con fluido elctrico

    adecuado, debido a la falta de un generador o generadores de respaldo, y que pongan en

    peligro las operaciones del negocio.

    R18 Probabilidad de colapso de la red de datos, debido a una falta de certificacin de red, y

    que ponga en peligro la operacin del negocio.

  • 1

    8.2.5. MATRIZ DE RIESGOS

  • 27

    8.2.6. PRIORIZACION

    Considerando el cuadro de valoracin de del numeral anterior, se ha elaborado en un grfico

    de distribucin que nos permite establecer los riesgos con mayores prioridades en base a los

    siguientes criterios rangos:

    0

  • 2

  • 29

    8.2.7. CONTROLES DE LA EMPRESA

    Gestiones en Infraestructura y Operaciones

    La gestin de la estrategia de servicio de TI est alineada con los objetivos

    estratgicos de la universidad. La gestin es realizada por el rea DINS.

    Para la gestin del portafolio de servicios, en la universidad se lleva un inventario

    de los servicios en funcionamiento y se monitorean peridicamente mediante

    indicadores KPIS.

    La gestin financiera es realizada por el rea de Finanzas. Adems, cada rea tiene

    asignada una partida presupuestal y tambin por cada proyecto.

    El diseo de servicio de TI se maneja a travs de comits entre responsables del

    departamento de TI y del negocio para poder disear nuevos servicios de acuerdo a

    las necesidades del negocio.

    La gestin de proveedores en TI es realizada por el rea DINS.

    La gestin de niveles de servicio se realiza tambin a travs de un comit, en la cual

    se definen los tiempos de atencin y SLA para el caso de los servicios que se

    encuentran bajo un outsourcing.

    Para la gestin de la disponibilidad se realiza mediante un comit y reuniones

    semanales y a las que pueden asistir usuarios del negocio y de TI.

    Respecto a la gestin de la configuracin se realiza mediante un inventario de los

    CI que cuenta la universidad, pero la actualizacin no es realizada de forma

    peridica y cada unidad cuenta con su propia vista de informacin utilizando el

    software ARANDA.

    La gestin de cambios se maneja a travs de un comit de cambios que autoriza o

    rechaza los cambios en por infraestructura y desarrollo.

    La gestin de liberacin e implementacin es realizada mediante un equipo que

    realiza los pases a produccin en los ambientes de desarrollo y certificacin. Las

    solicitudes son canalizadas por la unidad de IT Service.

  • 30

    Informacin General sobre Seguridad

    Accesos

    Administracin y control de TI se encarga de la seguridad y los accesos de sistema

    de informacin.

    Infraestructura y Plataforma TI se encarga de la seguridad perimetral.

    Confidencialidad

    Se manejan perfiles de accesos, se cuenta con un controlador de Dominio.

    Con respecto a la informacin del correo se cuenta con polticas de cambios de

    clave, almacenamiento de los archivos OST.

    Los accesos a los sistemas de informacin se dan con privilegios de administrador

    ( existen roles de usuarios)

    Incidentes de Seguridad

    Ataques a los sistemas web, pueden ser mediante SQL injection. Estos ataques se

    dan por vulnerabilidades de mismos lenguaje.

    Ataques a los extranet. En este caso existe lmite de tiempo de conexin.

    Ataques internos (trfico de red inusual)

    Respaldo y recuperacin

    RESPALDO INCREMENTAL: Se respaldan los archivos modificados luego del

    ltimo respaldo total. Esta poltica de respaldo disminuye el tiempo que emplea el

    sistema en realizar el respaldo. Ante la restauracin del sistema se debe volcar

    primero el respaldo total, y luego el ltimo respaldo incremental.

    RECUPERACIN DE DATOS: Existe un procedimientos en el cual se solicita

    al rea de infraestructura y plataforma TI la recuperacin de una determinada data

    indicando datos como fecha, hora, aplicacin, servidor.

    Auditora

    Polticas de Seguridad a nivel institucional y evaluar si estn definidas y aplicadas

    en los equipos de seguridad (firewalls, Routers, switches, Servidores de Dominio,

    Filtros de Contenido, Wireless).

  • 31

    Verificacin que los equipos de seguridad estn configurados de tal forma que no

    permitan transferencia de informacin que ponga en riesgo la red Interna, como ser

    transferencias de Zonas DNS, publicacin de Direcciones IP, retransmisin de

    paquetes a solicitud de ataques de HACKERS etc.

    Control adecuado del hardware de los usuarios (perifricos).

    Regulacin

    Actualmente la UPC est regulada por la ley de proteccin de datos.

  • 32

    8.3. UPC TO-BE

    En esta unidad, se presentaran una serie de recomendaciones para la empresa, en funcin del

    diagnstico obtenido del anlisis de riesgos realizado en la primera parte de este captulo. A

    continuacin se enumeraran los mismos:

    8.3.1. POLITICAS DE SEGURIDAD

    En la universidad existen polticas de seguridad, pero en algunos casos o no se cumplen o estn

    mal diseadas. Tambin es posible que no se comuniquen en forma oportuna.

    Por ejemplo, para el caso de la realizacin de backups, se han encontrado casos en los que

    determinados sistemas tienen polticas de backup bien establecidas y cumplidas a cabalidad,

    pero que no seran aplicadas a todos de la misma forma. Se solicit una actualizacin y se

    realiz con xito, pero a los dos das, cuando se presentaron errores y se quiso revertir el

    proceso, no se encontr el backup correspondiente, o sea que no se cumpli adecuadamente la

    gestin de configuracin ni de cambios. Puede ser que aparentemente el sistema en cuestin

    no tenga el cuidado requerido, pero en todo caso, en casos de actualizaciones, la poltica de los

    backups es importante

    En lo que se refiere a seguridad a determinadas zonas de la universidad, se ha detectado que

    algunas personas se prestan sus tarjetas de proximidad para ingresar, a pesar de que no les

    corresponde el ingreso. A pesar de que puede darse entre amigos, debera haber un mejor

    control para evitar problemas.

    En cuanto a la gerencia, si existe dejadez o falta de peso en ellas, pues se debe tambin hacerle

    el debido seguimiento y control, para que esto no origine problemas futuros.

    Peridicamente tambin se debe hacer una evaluacin de las polticas, para saber si siguen

    siendo adecuadas o no en este caso, a los procesos de seguridad.

  • 33

    8.3.2. CONCIENTIZACION Y EDUCACION DEL PERSONAL

    Es sabido que los seres humanos son el eslabn ms dbil en cuanto a seguridad se refiere. Es

    por esto que se debe tener especial cuidado en su educacin para la seguridad. En este caso, las

    normas de seguridad y otros aspectos relacionados deben ser enviados peridicamente para que

    el personal no se olvide de ellos, adems de sealarse las sanciones por su no cumplimiento.

    Debera incluso haber una especie de evaluacin con puntaje y la entrega de una constancia de

    que se ha realizado y aprobado dicha evaluacin, similar a como se evalan tambin los

    conocimientos respecto a los sismos o a la seguridad fsica. Este resultado debera contribuir o

    ser una parte de las consideraciones que se tienen en cuenta para los ascensos o mejoras

    salariales. Al ser de conocimiento del personal, puede ser tomado como una motivacin.

    La concientizacin del personal es importante porque, por ejemplo, en el caso de las

    contraseas, a pesar de que la empresa tiene polticas respecto a su creacin y conformidad,

    siempre se busca crear una contrasea fcil de recordar y por ello, generalmente, se crea una

    con lo mnimo en requisitos solicitados. Entonces, si la persona tiene conocimiento de lo que

    puede suceder, puede optar por hacer lo que se le recomienda.

    8.3.3. CONTROL DE DESARROLLO DE APLICACIONES WEB

    En la empresa existan dos reas encargadas del desarrollo de software o que establecan dicho

    desarrollo con terceros (proveedores): DINS (Direccin de Inteligencia y Nuevas Soluciones)

    y Sistemas. Sistemas se encargaba de la administracin de los sistemas core (Scrates,

    blackboard, CRM, etc) y DINS, de la nueva tecnologa que poda aplicarse, as como tambin

    del portal web y otras soluciones. Cada una tena sus propias polticas y metodologas de

    trabajo, lo cual no era razonable si consideramos que las polticas deberan cumplirlas todos

    los involucrados. Este ao se ha producido recin la fusin de ambas y ahora son una sola

    direccin. Esto de todas maneras contribuir a una unicidad de criterios y metodologas, muy

    conveniente para la universidad.

    Las sugerencias a tener en cuenta son:

    Documentar debidamente las aplicaciones. En estos momentos, existe poca documentacin

    o poco hbito de hacerla, pues se prioriza que los proyectos se terminen lo antes posible y

    la documentacin se dejaba para despus. En muchos casos dicha documentacin se

  • 34

    entregaba incompleta. Esto resulta contraproducente, pues afecta la realizacin de cambios

    o actualizaciones, adems de que, en casos de ataque y dependiendo del tipo, afectara

    enormemente desconocer la arquitectura del sistema para realizar su reparacin.

    Tener una adecuada y nica metodologa para los proyectos de desarrollo. Por ejemplo,

    actualmente no se tiene un sistema nico con el cual administrar los proyectos. Dicho

    sistema debera ser conocido por todo el equipo y usarse siempre para lograr eficiencia y

    eficacia.

    Utilizar las Guas OWASP para el apoyo en el desarrollo de las aplicaciones web, con la

    finalidad de tener en cuenta las mejores prcticas en codificacin de aplicaciones frente a

    ataques.

    8.3.4. CORTES DE FLUIDO ELECTRICO

    Las cadas de fluido elctrico no son frecuentes, pero es algo que puede suceder. Se recomienda

    contar con grupos electrgenos o generadores que puedan incluso funcionar como un backup

    el uno del otro, pues se han dado casos en los que ha faltado fludo elctrico contando incluso

    con un generador. Este generador debera tener tambin un adecuado cronograma de

    mantenimiento, para que se pueda contar con l en todo momento.

    8.3.5. ETHICAL HACKING

    En la universidad, peridicamente se detectan ataques de hackers u otras amenazas. Es por esto

    que sera importante establecer como poltica la realizacin de anlisis de vulnerabilidades y

    amenazas usando el Ethical Hacking. Los beneficios que las organizaciones adquieren con la

    realizacin de un Ethical Hacking son muchos, de manera muy general los ms importantes

    son:

    Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de

    informacin, lo cual es de gran ayuda al momento de aplicar medidas correctivas.

    Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los

    sistemas (equipos de cmputo, switches, Routers, firewalls) que pudieran desencadenar

    problemas de seguridad en las organizaciones.

    Identificar sistemas que son vulnerables a causa de la falta de actualizaciones.

  • 35

    Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la

    organizacin.

    Las pruebas de penetracin es un conjunto de metodologas y tcnicas para realizar un

    diagnstico integral de las debilidades de los sistemas informticos de la organizacin. Estas

    pruebas pueden ser:

    Prueba externa: Permite evaluar el estado de la seguridad de una organizacin desde

    Internet como si lo hiciera un intruso real.

    Prueba interna: Permite evaluar el estado de la seguridad dentro de la organizacin.

    Generalmente, este proceso se encarga a una empresa externa, por lo que es muy importante

    tener en cuenta los aspectos legales en la realizacin de un Ethical hacking, los cuales deben

    tenerse muy presentes tanto por las organizaciones que prestan el servicio como por quienes lo

    contratan.

    Estos aspectos se relacionan estrechamente con la confidencialidad, es decir, que a la

    informacin que los encargados del proceso encuentren no se le d un mal manejo o uso ms

    all de los fines previstos por las pruebas. Se deben indicar claramente en el contrato los

    objetivos especficos de las pruebas de penetracin para evitar futuros malos entendidos.

    En lo que respeta a la universidad, sta debe garantizar que la informacin que se provee a la

    empresa encargada es fidedigna, para que los resultados sean congruentes y certeros. Sin

    embargo, dada la naturaleza de las pruebas de penetracin es limitada la posibilidad de probar

    toda la gama de tcnicas y mecanismos que los crackers o hackers pudieran emplear para

    vulnerar un sistema informtico y en ocasiones se pueden obtener "falsos positivos", es decir,

    resultados que indiquen una vulnerabilidad que realmente no es explotable.

    Al ejecutar este proceso, se debe fidelizar a los empleados participantes de los procesos

    evaluados, sobre todo si no conocen del tema, para que colaboren con el proceso en s. En

    ocasiones, puede suceder que por el da a da, los empleados tengan muchas tareas urgentes

    que realizar, y que demorarse en esto les parezca que atenta contra el cumplimiento oportuno

    de sus procesos.

  • 36

    As tambin, es recomendable que la empresa enve a capacitacin sobre Ethical Hacking a

    personal interno, pues, o bien ellos podrn hacer estos anlisis o sern los encargados de

    trabajar a la par con la empresa auditora, para cerciorarse de que est realizando solo su trabajo

    y no, por ejemplo, labores de espionaje.

    8.3.6. CORRECTA EVALUACION DE LOS SISTEMAS

    Al comprar un sistema enlatado, siempre se debe considerar que la empresa tiene que adecuar

    sus procesos a l y no al revs. En el caso del CRM, se compr y, como para ciertos procesos

    ya establecidos no funcionaba tal cual, se comenzaron a hacer modificaciones para que se

    acomode a los procesos de UPC, lo cual origin que no se pueda usar CRM a toda su potencia,

    o sea, que no se le pueda aprovechar al mximo. Lo que se recomienda es hacer un estudio

    previo de lo que se necesita y, una vez realizado el estudio, decidir la mejor herramienta a usar.

    8.4. CONCLUSIONES

    El interactuar con internet es imprescindible para toda empresa. Por esto, las

    organizaciones siempre deben tener claro que, as como realizar negocios por internet

    les trae muchos beneficios, tambin les traer amenazas. Entonces, usar un sistema de

    seguridad debe ser una de sus prioridades.

    Segn hemos visto, el software sirve de mucho en el desarrollo de una empresa, por los

    beneficios que puede darle; pero tambin puede tornarse malicioso si, bajo las

    instrucciones de un hacker o cracker, causa daos en la empresa.

    Prevenir siempre es mejor que lamentar. Hacer evaluaciones, pruebas, etc. siempre es

    costoso, pero este costo siempre suele ser mnimo comparado muchas veces con los

    daos producidos por una vulnerabilidad o amenaza. Tampoco hay que gastar por

    gastar, sino medir las vulnerabilidades y proponer la seguridad adecuada.

    La mejora de la tecnologa y la comunicacin provoca tambin la aparicin de nuevos

    medios y formas de ataque que hacen de internet un medio peligroso para cualquier

    organizacin que la utilice. Es por esto que tambin es necesaria la evaluacin

    permanente de los sistemas de seguridad, para saber si siguen siendo competentes o si

    deben ser mejorados.

    Hemos visto que el Ethical Hacking es muy importante para las empresas, ya que les

    permite analizar y conocer los mtodos y herramientas que el enemigo va a utilizar, y

    as, poder defenderse mejor. Aqu podramos decir que siempre es mejor Conocerse a

  • 37

    s mismo

    OWASP nos da la oportunidad de crear aplicaciones web seguras y dada la coyuntura,

    es algo que no se debe desaprovechar.

  • 38

    CONCLUSIONES

    El interactuar con internet es imprescindible para toda empresa. Por esto, las

    organizaciones siempre deben tener claro que, as como realizar negocios por internet

    les trae muchos beneficios, tambin les traer amenazas. Entonces, usar un sistema de

    seguridad debe ser una de sus prioridades.

    Segn hemos visto, el software sirve de mucho en el desarrollo de una empresa, por los

    beneficios que puede darle; pero tambin puede tornarse malicioso si, bajo las

    instrucciones de un hacker o cracker, causa daos en la empresa.

    La mejora de la tecnologa y la comunicacin provoca tambin la aparicin de nuevos

    medios y formas de ataque que hacen de internet un medio peligroso para cualquier

    organizacin que la utilice. Es por esto que tambin es necesaria la evaluacin

    permanente de los sistemas de seguridad, para saber si siguen siendo competentes o si

    deben ser mejorados.

    La proteccin de los recursos informticos de una organizacin requiere que se tenga

    alguna idea de los mtodos y herramientas que el enemigo va a utilizar. Conocer cmo

    funcionan los ataques permite defenderse de los mismos. De hecho, muchas

    organizaciones utilizan las mismas herramientas que los atacantes utilizan para ayudar

    a identificar los puntos dbiles que deben abordar. Siempre es mejor encontrar

    debilidades en su propio entorno antes que un atacante lo haga.

    Actualmente existe la necesidad de crear aplicaciones Web seguras, por ello para cubrir

    este objetivo la comunidad OWASP ofrece diferentes cursos y/o herramientas gratuitas

    que pueden ser aplicados en todas las etapas del ciclo de vida del software por los

    diferentes roles participantes: desarrolladores, arquitectos, especialistas de Calidad,

    responsables de Seguridad informtica, etc.

  • 39

    El mundo de los riesgos y amenazas a la seguridad de la informacin de los usuarios a

    travs de internet es muy amplia y se actualiza constantemente. Sin embargo, siempre

    existe algn mecanismo que permita minimizar el impacto.

    El costo en el que se incurre suele ser mnima comparados con aquellos luego de

    producido un dao. El desconocimiento y la falta de informacin son el principal

    inconveniente cuando se evala la inclusin de seguridad como parte de un sistema. Lo

    que tambin la empresa siempre debe considerar es si la seguridad que maneja es

    suficiente o manejable. Invertir en seguridad no es barato y se debe evaluar los procesos

    ms crticos para su aplicacin.

    Es urgente legislar un marco legal adecuado, no solo que castigue a los culpables sino

    que desaliente acciones hostiles futuras.

  • 40

    GLOSARIO DE TERMINOS

    World Wide Web

    Asociacin de informacin independiente bases de datos accesibles a travs de Internet. A

    menudo llamada la Web o WWW.

    Hacker

    Apodo comn para una persona no autorizada que irrumpe o intenta entrar en un sistema

    informtico eludiendo sus protecciones de seguridad.

    Scripts

    En informtica es un archivo de rdenes o archivo de procesamiento por lotes usualmente

    simple que por lo regular se almacena en un archivo de texto plano.

    Malwares

    El malware (del ingls malicious software), tambin llamado badware, cdigo maligno,

    software malicioso o software malintencionado, es un tipo de software que tiene como objetivo

    infiltrarse o daar una computadora o sistema de informacin sin el consentimiento de su

    propietario.

    Phishing

    Es un trmino informtico que denomina un modelo de abuso informtico y que se comete

    mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir informacin

    confidencial de forma fraudulenta, principalmente basado en la suplantacin de identidad.

    Spyware

    Es un software que recopila informacin de un ordenador y despus transmite esta informacin

    a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.

    Se pueden clasificar como: system monitors, trojans, adware y tracking cookies.

  • 41

    Bugs

    Problemas de calidad de sus aplicativos generados de manera malintencionada o por omisin

    por parte de los proveedores de software.

    Botnet

    Ataques generados por fuera de la empresa con el fin de tomar control de los equipos.

    Spam

    Correo basura enviado con el objetivo de saturar el servidor de correo.

    DOS

    Ataques de denegacin de servicio para inhabilitacin de los servicios, mediante mltiples

    peticiones de acceso.

    Cross-Site Scripting

    Forzar a un sitio Web para replicar programas ejecutables orientados a los clientes del

    navegador.

    Suplantacin de Contenido

    Tcnica para engaar a los usuarios presentando informacin falsa en sitios Web autnticos.

    Fuga de Informacin

    Revelacin y robo de informacin privada y sensible de la empresa por parte de empleados o

    terceros usando mtodos de transferencia electrnica.

    Intrusin remota

    Ingreso externo no autorizado a un equipo de cmputo usando la infraestructura de

    conectividad de la empresa.

    Fuerza Bruta

    Proceso de ingreso de credenciales de autenticacin de forma masiva para violar sistemas de

    seguridad.

  • 42

    Desbordamiento de Buffer

    Alteracin del normal funcionamiento de un sistema o programa mediante la sobre escritura de

    espacios de memoria.

    Inyeccin LDAP

    Violentar el acceso a sitios que implementan autenticacin va LDAP mediante enviando

    credenciales de autenticacin falsas del directorio.

    Inyeccin de Comandos.-

    Envo de comandos dirigidos al sistema operativo y a travs de los componentes de ingreso de

    informacin a la aplicacin.

    Inyeccin de SQL

    Envo de sentencias de SQL a travs de los componentes de ingreso de informacin a la

    aplicacin, para ser ejecutados en la base de datos.

    Hub (concentrador)

    Es el dispositivo de conexin ms bsico. Es utilizado en redes locales con un nmero muy

    limitado de mquinas. No es ms que una toma mltiple RJ45 que amplifica la seal de la red

    (base 10/100).

    Switch (o conmutador)

    Equipo que trabaja en las dos primeras capas del modelo OSI, es decir que ste distribuye los

    datos a cada mquina de destino, mientras que el hub enva todos los datos a todas las mquinas

    que responden.

    Router

    Equipo de comunicacin que permite el uso de varias clases de direcciones IP dentro de una

    misma red. De este modo permite la creacin de sub redes.

    IDC

    International Data Corporation

  • 43

    ISO

    International Organization for Standardization

    ONGEI

    Oficina Nacional de Gobierno Electrnico e Informtica

    C.P.U

    Del ingls Central Processing Unit, unidad central de procesamiento, es el componente

    principal de una computadora interpreta las instrucciones contenidas en los programas y

    procesa los datos

    Protocolo TCP/IP

    TCP/IP es una denominacin que permite identificar al grupo de protocolos de red que

    respaldan a Internet y que hacen posible la transferencia de datos entre redes de ordenadores.

    En concreto, puede decirse que TCP/IP hace referencia a los dos protocolos ms trascendentes

    de este grupo: el conocido como Protocolo de Control de Transmisin (o TCP) y el llamado

    Protocolo de Internet (presentado con la sigla IP).

    Protocolo ARP

    El protocolo ARP (Address Resolution Protocol) tiene un importante papel entre los protocolos

    de comunicaciones relacionados con TCP/IP. Su principal objetivo es conocer la direccin

    fsica (MAC) de una tarjeta de interfaz de red correspondiente a una direccin IP (Internet

    Protocol). De ah viene su nombre: Protocolo de Resolucin de Direccin (Address Resolution

    Protocol).

    Smishing

    Los smishers son los atacantes que realizan phishing a travs de mensajes de texto. Buscan a

    travs de Ingeniera Social que las vctimas hagan una de tres cosas:

    Hagan clic en un hipervnculo

    Llamen a un nmero de telfono

    Respondan a un mensaje de texto

  • 44

    Vishing

    Es la prctica de obtener informacin o generar una accin a travs de un telfono celular o

    VoIP, y puede realizarse a travs de prcticas como Spoofing (suplantacin de identidad).

  • 45

    SIGLARIO

    World Wide Web

    Hacker

    Scripts

    Malwares

    Phishing

    Spyware

    Bugs

    Botnet

    Spam

    DOS

    Cross-Site Scripting

    Suplantacin de Contenido

    Fuga de Informacin

    Intrusin remota

    Fuerza Bruta

    Desbordamiento de Buffer

    Inyeccin LDAP

    Inyeccin de Comandos.-

    Inyeccin de SQL

    Hub (concentrador)

    Switch (o conmutador)

    Router

    IDC

    ISO

    ONGEI

    C.P.U

  • 46

    BIBLIOGRAFIA

    [1] KIOSKEA (2014) Protocolos (consulta: 17 de mayo de 2015)

    (http://es.kioskea.net/contents/275-protocolos)

    [2] Principales elementos de una red (2012) (consulta: 17 de mayo de 2015)

    (http://elementosderedadpq.blogspot.com/2012/10/principales-componentes-de-una-

    red.html)

    [3] KIOSKEA (2014) Servidor Proxy (consulta: 17 de mayo de 2015)

    (http://es.kioskea.net/contents/297-servidores-proxy-y-servidores-de-proxy-inversos)

    [4] Raggio, Juan (2011) DESARROLLO DE PROCESOS DE GESTIN DE SERVICIOS

    DE EXPLOTACIN SIGUIENDO EL MODELO CMMI. Universidad Politcnica de

    Madrid

    [5] ESET (2011) Troyanos y gusanos: el reinado del malvare (consulta: 23 de mayo de

    2015) (http://www.welivesecurity.com/wp-content/uploads/2014/01/troyanos-y-

    gusanos-el-reinado-del-malware.pdf)

    [6] (2003) Elementos terico-prcticos tiles para conocer los virus informticos.

    En: ACIMED, Vol 11, Nro 5, pg 55-67, Centro Nacional de Informacin de Ciencias

    Medicas

    [7] Panda Security (2012) Gusanos Informticos (consulta: 23 de mayo de 2015)

    (http://www.pandasecurity.com/peru/homeusers/security-info/classic-malware/worm/)

    [8] KASPERSKY (2012) Qu es un troyano? (consulta: 22 de mayo de 2015)

    (http://www.kaspersky.es/internet-security-center/threats/trojans)

    [9] Portal Data kraft (2012) qu es el spyware? (consulta: 23 de mayo de 2015)

    (http://www.datacraft.com.ar/internet-spyware.html)

    [10] Wikipedia (2013) Spoofing (consulta: 23 de mayo de 2015)

    (http://es.wikipedia.org/wiki/Spoofing)

  • 47

    [11] (2015) The BIG VIRUS GUIDE En: Micro Mart, Vol 1354, Nro 44, Dennis Publishing

    Ltd

    [12] INFORMATICAHOY (2010) Seguridad Informtica: Qu es Ingenieria Social?

    (consulta: 24 de mayo de 2015) (http://www.informatica-hoy.com.ar/software-

    seguridad-virus-antivirus/Ingenieria-Social-Seguridad-Informatica.php)

    [13] WELIVESECURITY (2014) Las tcnicas de Ingeniera Social evolucionaron, presta

    atencin! (consulta: 24 de mayo de 2015) (http://www.welivesecurity.com/la-

    es/2014/05/21/tecnicas-ingenieria-social-evolucionaron-presta-atencion/)

    [14] Julian, Guillermo (2012) Son los ataques DDoS efectivos como medio de protesta?

    (consulta: 24 de mayo de 2015) En: Genbeta (http://www.genbeta.com/web/son-los-

    ataques-ddos-efectivos-como-medio-de-protesta)

    [15] Panda Antivirus (2010) Qu es Phishing? (consulta: 24 de mayo de 2015) En: Genbeta

    (http://www.pandasecurity.com/peru/homeusers/security-info/cybercrime/phishing/)

    [16] Araya, Kenyie (2006) Introduccin al Cross-Site-Scripting (consulta: 24 de mayo de

    2015) En: Desarrolloweb (http://www.desarrolloweb.com/articulos/introduccion-

    cross-site-scripting.html)

    [17] Segu-Info (2012) Spam (consulta: 23 de mayo de 2015) (http://www.segu-

    info.com.ar/malware/spam.htm)

    [18] USUARIO CASERO (2012) Pharming (consulta: 22 de mayo de 2015)

    (http://www.seguridad.unam.mx/usuario-casero/eduteca/main.dsc?id=194)

    [19] Wikipedia (2013) Hacker (consulta: 23 de mayo de 2015)

    (http://es.wikipedia.org/wiki/Hacker_%28seguridad_inform%C3%A1tica%29)

    [20] INFORMATICAHOY (2010) Qu es un cracker? (consulta: 24 de mayo de 2015)

    (http://www.informatica-hoy.com.ar/aprender-informatica/Que-es-un-Cracker.php)

    [21] OSI-OFICINA NACIONAL DEL INTERNAUTA (2014) Qu es una botnet o una red

    zombi de ordenadores? (consulta: 24 de mayo de 2015)

    (https://www.osi.es/es/actualidad/blog/2014/03/14/que-es-una-botnet-o-una-red-

    zombi-de-ordenadores)

  • 48

    [22] Shackleford, Dave (2013) Pruebas de penetracin en ingeniera social: cuatro tcnicas

    efectivas (consulta: 26 de mayo de 2015) En: SearchDataCenter

    (http://searchdatacenter.techtarget.com/es/consejo/Pruebas-de-penetracion-en-

    ingenieria-social-cuatro-tecnicas-efectivas)

    [23] (2013) Tutorial de Seguridad Informtica (consulta: 26 de mayo de 2015)

    (http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap2.html)

    [24] L. Allen, S. Ali y T. Heriyanto, Kali Linux Assuring Security by Penetration Testing,

    PACKT Publishing. Open Source, 2014.

    [25] J. Broad y A. Bindner, Hacking with Kali. Practical Penetration Testing Techniques,

    Syngress, 2013.

    [26] P. Gonzlez, G. Snchez y J. M. Soriano, Pentesting con Kali, 0xWord, 2013.

    [27] W. L. Pritchett y D. De Smet, Kali Linux Cookbook, Packt Publishing

    Open Source, 2013.

    [28] A. Singh, Instant Kali Linux, Packt Publishing, 2013.

    [29] Segu-Info (2012) Firewall / Cortafuegos (consulta: 31 de mayo de 2015)

    (http://www.segu-info.com.ar/firewall/firewall.htm)