trabajo final

1

UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS

FACULTAD DE INGENIERA

DIVISIN DE ESTUDIOS PROFESIONALES PARA EJECUTIVOS

CARRERA DE INGENIERA DE SISTEMAS

RIESGOS POR INTERNET.

TRABAJO PROFESIONAL PRESENTADO POR:

LUIS HIDER MANCO BERROCAL (U199910555)

JULIO CESAR VILCA AGUILAR (U201121382)

CSAR ANDR DEL RISCO VALDIVIESO (U201114970)

EVARISTO HUERTAS NAVARRO (U820895)

PARA EL CURSO DE SEGURIDAD Y AUDITORIA DE SISTEMAS

FACILITADOR:

YOLFER ROBERTO HERNANDEZ ROJAS

Lima, Junio de 2015

2

RESUMEN

Las organizaciones deben atender su negocio, siendo consciente del nivel de riesgo tanto de la

informacin como de sus activos. El objetivo primordial de la seguridad informtica es el de

garantizar que los recursos informticos de una empresa estn disponibles para cumplir su

propsito y que no se encuentren alterados por factores externos; ya que cuando se presentan

esos inconvenientes, se puede provocar la prdida o modificacin de la informacin, lo que

directamente puede representar un dao organizacional y econmico.

Por ello, en el presente trabajo se analiza la situacin de la seguridad en informtica en lo

referente a los riesgos en internet, evidenciando las amenazas a las que se encuentran expuestos

y dando a conocer las posibles consecuencias; para, de esta manera, demostrar la importancia de

contar con un apropiado esquema de seguridad que reduzca los niveles de vulnerabilidad y riesgo

existente.

En base al estudio y anlisis de diversas estadsticas, se demuestra que las organizaciones se

preocupan por salvaguardar sus activos, sin embargo no tienen los conocimientos ni la

experiencia necesaria para protegerlos adecuadamente, debido a que generalmente no cuentan

con una rea de seguridad que se encargue de comprobar que se sigan polticas y procedimientos

que aseguren y garanticen la seguridad de la informacin, prevea las posibles contingencias,

regule la gestin de la infraestructura y que en general se dedique a guiar el desarrollo y correcto

funcionamiento de la organizacin mediante las auditoras correspondientes.

Al mismo tiempo, se analizan las exposiciones lgicas, fsicas y ambientales ms comunes a las

que se encuentran vulnerables a las organizaciones y basado en las recomendaciones generales

y estadsticas sobre los controles ms utilizados y eficientes.

3

Tambin se promueve un cambio en cuanto a la administracin y manejo de informacin

implementando una nueva estructura en la organizacin, determinando los roles y las funciones

que deben cumplir el personal, proponiendo lineamientos para brindar una mejor proteccin y

manejo de los recursos, adems de la implementacin de los controles de seguridad ms

apropiados para este tipo de organizaciones.

4

NDICE

RESUMEN ................................................................................................................................ 2

INTRODUCCION ..................................................................................................................... 5

CAPITULO 8: CASO DE APLICACIN: UPC .................................................................. 7

8.1. INTRODUCCION ..................................................................................................... 7

8.2. UPC AS-IS ................................................................................................................ 7

8.2.1. PROCESOS Y RECURSOS ............................................................................... 8

8.2.2. AMENAZAS Y VULNERABILIDADES ........................................................ 18

8.2.3. RIESGOS .......................................................................................................... 23

8.2.4. MATRIZ DE RIESGOS .................................................................................... 26

8.2.5. PRIORIZACION ............................................................................................... 27

8.2.6. CONTROLES DE LA EMPRESA ................................................................... 29

8.3. UPC TO-BE ............................................................................................................. 32

8.3.1. POLITICAS DE SEGURIDAD ........................................................................ 32

8.3.2. CONCIENTIZACION Y EDUCACION DEL PERSONAL ............................ 33

8.3.3. CONTROL DE DESARROLLO DE APLICACIONES WEB ........................ 33

8.3.4. CORTES DE FLUIDO ELECTRICO ............................................................... 34

8.3.5. ETHICAL HACKING ....................................................................................... 34

8.3.6. CORRECTA EVALUACION DE LOS SISTEMAS ....................................... 36

8.4. CONCLUSIONES ................................................................................................... 36

CONCLUSIONES .................................................................................................................. 38

GLOSARIO DE TERMINOS ................................................................................................. 40

SIGLARIO .............................................................................................................................. 45

BIBLIOGRAFIA ..................................................................................................................... 46

6

INTRODUCCIN

Con el incremento acelerado del uso de computadoras en las organizaciones para almacenar,

transferir y procesar informacin, se han convertido en un elemento indispensable para el

adecuado funcionamiento de las mismas. Como consecuencia, la informacin ha tomado un

valor importante que requiere de proteccin para garantizar el cumplimiento de los objetivos del

negocio.

Por tal motivo, los requerimientos en seguridad informtica son cada vez mayores, debido a que

se busca que los recursos informticos de una organizacin estn disponibles y que no se

encuentren afectados por personas o situaciones maliciosas. Por lo anterior, resulta importante

establecer polticas de seguridad que permitan implementar una serie de soluciones tecnologas,

as como el desarrollo de un plan de accin que nos ayude a actuar de forma rpida y eficaz en

el manejo de incidentes, recuperacin de informacin y la disminucin del impacto.

De igual manera es importante la aplicacin de mejores prcticas para crear una cultura de

seguridad adecuada sobre las necesidades e importancia del aseguramiento de la informacin, al

igual que de las diversas normas y estndares que se requieren para lograrlo. El presente proyecto

muestra una investigacin que tiene por objetivo dar a conocer la importancia de la seguridad

informtica en las organizaciones privadas.

Este trabajo consta de los siguientes captulos:

En el captulo 1 se presentan los aspectos tericos que dan a conocer de manera general y sencilla

los riesgos en internet.

En el captulo 2 se presenta el anlisis de los procesos y recursos que son afectados por los riesgos

en internet tanto en hardware como en software

7

En el captulo 3 se presentan las vulnerabilidades que se pueden detectar en la empresa en lo

referente a sitios web corporativos y sus posibles implicancias que esta conlleve..

En el captulo 4 se presentan las amenazas que provienen externa e interna de la red de una

empresa tanto software como hardware

En el captulo 5 se presentan los anlisis y las valoraciones de una matriz de riesgos provenientes

de las probabilidades de ataques y los impactos que ello conlleve.

En el captulo 6 se presentan los controles de seguridad que pueden ser implementados en la

empresa con sus respectivas normas e indicaciones que nos permitir salvaguardar y mitigar los

posibles fallos de seguridad existente

En el captulo 7 se presentan las evaluaciones de control mediante el cual se aplican

procedimientos que simulen ataques reales y las posibles vulnerabilidades y/o amenazas que se

puedan detectar.

En el captulo 8 se presentan las aplicaciones de todo lo referente a las amenazas,

vulnerabilidades, impacto, etc., sobre la empresa, Universidad Peruana de Ciencias Aplicadas,

en el cual se ver el AS-IS actual de la empresa y se implementara medidas TOBE para que se

pueda evitar intrusos en las aplicaciones y tener procedimiento adecuados a la hora de resguardar

la informacin y la red.

Con base a lo anterior y con las recomendaciones generales, se propone un esquema

organizacional y tcnica que contengan las recomendaciones especficas para que sean aplicadas

en la organizacin con finalidad de mitigar las posibles amenazas.

8

CAPITULO 8: CASO DE APLICACIN: UPC

8.1. INTRODUCCION

En el presente captulo se har un anlisis completo de la Universidad Peruana de Ciencias

Aplicadas, esta institucin del rubro educacin cuanta con varios procesos de negocio

vinculados con el uso de internet, los cuales se evaluaran a la luz de lo antes expuesto en este

documento.

Como primer paso se har un anlisis de la Universidad tal como est actualmente, para luego

abordar la propuesta de mejora que nos proyectara un estado futuro de esta Universidad.

8.2. UPC

La Universidad Peruana de Ciencias Aplicadas es una institucin educativa de carcter privado

e independiente con amplia experiencia en el campo de la educacin realizando la formacin de

sus alumnos como profesionales competentes y lderes ntegros. Esta formacin se fundamenta

en los principios filosficos de la universidad, de los cuales se desprenden metas que pasan a

constituirse en sus competencias generales. Estas son: orientacin al logro, comunicacin,

pensamiento crtico, ciudadana, creatividad, sentido tico y espritu empresarial.

En la actualidad cuenta con unidades de negocio o servicios brindados para los diferentes tipos

de clientes de la Institucin.

PREGRADO

POSTGRADO

EPE

La realizacin de formacin de las unidades de negocio se brinda en las diferentes sedes ubicadas

en los distritos de Santiago de Surco, Chorrillos, San Miguel, San Borja, San Isidro y San

Miguel.

La universidad cuenta con prestigio en el mercado gracias a la constante innovacin de

aseguramiento de los pilares de la calidad acadmica de la institucin: liderazgo en innovacin

e investigacin acadmica, innovacin pedaggica, cultura del Modelo Educativo y compromiso

con el alumno.

9

8.2.1. PROCESOS Y RECURSOS

INSTALACIONES

La Universidad consta de 4 campus:

Monterrico

San Isidro

Villa

San Miguel

En Monterrico y Villa se encuentra el DataCenter y en cada campus existen servidores con

los distintos sistemas que usa la empresa.

En cada campus, en lo que se refiere a la seguridad fsica

Refrigeracin optimizada para servidores

Seguridad al ingreso

Seguridad entre ambientes mediante tarjeta de proximidad HID

INFRAESTRUCTURA

SERVIDORES

o Campus Monterrico

Servidores Web

Servidores de bases de datos de la empresa

Servidor de Correos en Cloud con Office 365, este servidor est dedicado

exclusivamente para los trabajos de correos

Servidor de Central de Telefona IP Avaya, este servidor est dedicado

exclusivamente para los trabajos de telefona

Servidor CRM, en este servidor se encuentra el CRM de la empresa en

Microsoft Dynamics

o Campus San Isidro

Servidores Web

Servidores de bases de datos de la empresa

Servidor de Central IP Avaya

o Campus Villa

Servidores Web

Servidor Principal, en este servidor se encuentra las BD de datos de la

empresa

9

Servidor de Correos en Cloud con Office 365, este servidor est dedicado

exclusivamente para los trabajos de correos.

Servidor de Central IP Avaya

En cada campus existe:

Un switch Core con ACL (Lista de Control de Acceso, se usan para aplicar una poltica

de seguridad que permite o niega el acceso de cierta parte de la red a otra), que mediante

una VLAN separa los ambientes en Red Acadmica, Red Administrativa, WIFI.

Un IPS (Sistema de Prevencin de Intrusos), que toma accin contra virus, malwares,

phishing, sql injection, etc.

Antispam para correos.

Certificado SSL, con cifrado SHA 256

Los controles se guan bajo la norma ISO 27001 (norma internacional que describe

cmo gestionar la seguridad de una empresa).

Todos los campus estn unidos por un RPV de la empresa Claro

Los servidores de correo y web se encuentran en una DMZ.

Se cuenta con Firewall Fortigate, de la empresa Fortinet, que realiza anlisis peridicos

con su programa FortiAnalyzer, y brinda alertas y reportes sobre ataques detectados.

SOFTWARE

KASPERSKY:

UPC cuenta con el antivirus KASPERSKY, el cual le permite tener un anlisis de

vulnerabilidades y administracin de parches, adems de una administracin centralizada

de la seguridad. Como poltica, cada vez que se conecta un USB a alguna PC, se ejecuta el

antivirus, y solo se puede evitar el escaneo ingresando un password. Este antivirus es

utilizado en apoyo del IPS.

ARANDA:

UPC cuenta ARANDA, el cual le permite tener un control de accesos a dispositivos: USB,

CDs y control de PC, con la finalidad de controlar los accesos a la red y prevenir de un

posible contagio a la red de la empresa.

10

SISTEMAS

PLATAFORMA TECNOLOGICA

Plataforma Principales productos de esa

plataforma

Descripcin

Microsoft/HP Office 365: Brinda soluciones

de correo, portal

colaborativo, mensajera

instantnea

Sistema Operativo: Windows

Server 2012

Hardware: 04 Servidores HP

(ADFS)

Suite de Office 365. Ms

servidores de

autenticacin.

Microsoft /Oracle /HP

/Empaquetado

Sistema Operativo: Windows

Server 2012

Base de datos: Oracle

Enterprise 11G R2

Servidor de aplicaciones:

Scrates

Hardware: 08 Servidores HP

Aplicacin de scrates,

Dynamics CRM,

MicroStrategy.

11

APLICACIONES

Aplicacin Funciones Informacin

Scrates 1.0

Proporcionar accesos a los mdulos

disponibles para al alumno o profesor

dependiendo del perfil de usuario con el

que ingrese

Matrcula del alumno

Consulta de horarios.

Ms de 30 mdulos

desarrollados.

Actualmente lo conocen

ms de 28 personas y

existen 05 roles

(Analista programador,

Analista Soporte,

Analista Senior,

Coordinador y Gerente).

Se encuentra

desarrollado en Oracle

Forms con base de datos

Oracle.

Blackboard

Brindar al alumno un Aula Virtual

donde puede encontrar informacin de

sus cursos, notas, profesores, etc.

relacionados a su mdulo matriculado.

Ms de 5 mdulos

desarrollados.


ms de 5 personas y

existen 04 roles


Analista Soporte,

Analista Senior,

Coordinador).

PeopleSoft

Interactuar con las reas de finanzas y

contabilidad para revisin de

presupuestos y flujos de caja.

Ms de 5 mdulos

desarrollados.


ms de 5 personas y

existen 04 roles


Analista Soporte,

12

Coordinador y Jefe

Financiero).

Tiene una base de datos

Oracle.

Soporte proveedor

Externo (Servicios

Andinos)

Dynamics

CRM

Administracin de relaciones con los

clientes a nivel comercial.

Ms de 10 mdulos

desarrollados.


ms de 10 personas y

existen 05 roles


Analista Soporte,

Analista Senior,

Coordinador y Gerente).

Tiene una base de datos

SQL.

OFISIS

Administracin de los RRHH de la

organizacin (Planilla, vacaciones,

etc.).

Ms de 5 mdulos

desarrollados.


ms de 5 personas y

existen 04 roles


Analista Soporte,

Analista Senior y

Coordinador).

13

SPRING

Facturacin de la organizacin.

Ms de 3 mdulos

desarrollados.


ms de 5 personas y

existen 04 roles


Analista Soporte,

Analista Senior y

Coordinador).

SharePoint

Librera de documentos

Flujos de trabajo

Gestor de contenidos.

Ms de 2 mdulos

desarrollados.


ms de 8 personas y

existen 04 roles


Analista Soporte,

Analista Senior y

Coordinador).

ONBASE

Gestor de contenido documental

Ms de 4 mdulos

desarrollados.


ms de 4 personas y

existen 04 roles


Analista Soporte,

Analista Senior y

Coordinador).

14

Office 365

Gestor de Contenido

Correo electrnico

Mensajera y video conferencia

Ms de 3 soluciones

habilitadas.


ms de 10 personas y

existen 05 roles


Analista Soporte,

Analista de

Infraestructura, Analista

Senior y Coordinador).

15

RECURSOS HUMANOS

ORGANIGRAMA GENERAL

ORGANIGRAMA DE TI

Todas las reas usan internet de una u otra forma.

EXPLOTACION

PROCESOS CORE

Proceso Descripcin

Matrcula Proceso encargado de realizar la inscripcin del alumno en el

programa estudiantil deseado, siendo uno de los principales

procesos debido a partir de ello el alumno puede iniciar sus

actividades estudiantiles. Asimismo, este proceso tiene fecha y

periodos de funcionamiento ya establecidos en base al cronograma

de inicios de clases de cada programa estudiantil. Los roles

identificados en el proceso son: alumno, sistema y asesor de

matrcula.

16

Programacin de

Horarios

El proceso de programacin de horarios consiste en generar los

horarios de los cursos asociados a una seccin, profesor, alumnos

y sede. Este proceso sirve de soporte al proceso de matrcula y es

importante ya que impacta en el clculo de horas acadmicas y

sirve de entrada para otros procesos del negocio. Los roles del

proceso son: operador de sistemas, analista de proceso.

Admisin El proceso de admisin permite el ingreso de los estudiantes a los

diferentes servicios que cuenta la institucin. Este proceso permite

conocer el potencial acadmico del alumno realizando

evaluaciones de conocimiento y entrevista personales.

Aprobacin de

presupuesto

El proceso de aprobacin de presupuesto, comprende todo el flujo

de presentacin y aprobacin de presupuesto para diversas

iniciativas de negocio propuestas por las diversas reas de la

organizacin ante el rea de planeamiento estratgico. Este proceso

se realiza en el tercer trimestre del ao previo del presupuesto a

evaluar. Los roles identificados en el proceso son: Presentador del

proyecto propuesto, evaluador del proyecto, jefe del rea de

planeamiento.

Ventas Directas El proceso de ventas directas es el encargado de la generacin de

oportunidades comerciales dirigidas hacia posibles futuros

alumnos de alguno de los programas estudiantiles ofrecidos por

UPC. El servicio consta en que una operadora se comunica con el

posible cliente y empieza a ofrecerle alguno de los programas de

UPC, en base al inters del posible cliente se empieza a obtener y

registrar su informacin en el CRM, finalizando con una reunin

agendada con el personal de Admisin. Asimismo, este proceso se

encuentra funcionando todos los das laborables del ao con la

finalidad de generar un mnimo de oportunidades comerciales

necesarias para poder incrementar la posibilidad de concretar

oportunidades comerciales estudiantiles. Los roles identificados en

el proceso son: Posibles Alumnos, operadora del call center y

sistema CRM.

17

UNIDADES DE TI

Unidad Descripcin

Administracin y

Control de TI

Brinda los permisos y accesos a los sistemas

Infraestructura y

Plataforma de TI

Garantiza el funcionamiento correcto de los equipos y

recursos centralizados (servidores, software e infraestructura

de conexin)

garantiza la disponibilidad diaria de los sistemas

gestiona las bases de datos

Define y mantiene los sistemas de telecomunicacin

Asegura el funcionamiento correcto de todas las medidas de

seguridad (encriptacin, cortafuegos, etc.)

Servicios de TI

Gestin y supervisin de los servicios que brinda la mesa de

ayuda

Certificacin y control de calidad de las aplicaciones y

desarrollos que sern puestos en produccin

Administracin de accesos y permisos a los diferentes

usuarios

Gestiona el Software y los equipos de la universidad

Soluciones

acadmicas TI

Se encarga del desarrollo, soporte y mantenimiento en

sistemas transaccionales acadmicos.

Desarrolla y mantiene las aplicaciones y bases de datos

internas necesarias para el funcionamiento de los sistemas

transaccionales acadmicos

Evaluacin, gestin e implementacin de aplicaciones

externas relacionadas a los servicios acadmicos

Soluciones de TI

Administrativas y

Financieras

Garantiza la implementacin, mantenimiento, soporte y

desarrollo de los proyectos financieros y administrativos

18

8.2.3. AMENAZAS Y VULNERABILIDADES

Recursos y Procesos Vulnerabilidades Amenazas

Instalaciones

Campus Monterrico Uso de enchufes mltiples

Uso de artefactos como hervidoras o

microondas en las oficinas.

El DataCenter no se encuentra en un

lugar adecuado

Cada del Servicio

Elctrico

Campus San Isidro Uso de enchufes mltiples



Cada del Servicio

Elctrico

Campus Villa Uso de enchufes mltiples



Cada del Servicio

Elctrico

Campus San Miguel Uso de enchufes mltiples



Cada del Servicio

Elctrico

rea de Equipos

(Data Center)

No cuenta con control de acceso con

identificacin de perfiles y

autentificacin

No existe equipos adecuados contra

incendio

Personal de la

organizacin no

autorizado.

19

Infraestructura

Servidor Web Varias aplicaciones se encuentran

alojadas en un servidor.

Proceso ineficiente de realizacin de

backups en algunos casos.

Ataque de Hackers

Ataque de Malwares

Cada de Red

Cada de Servicio

elctrico

Acceso a personal no

autorizado

Servidor de Base de

Datos

Proceso ineficiente de realizacin de

backups en algunos casos.

Ataque de Hackers

Ataque de Malwares

Cada de Red

Cada de Servicio

elctrico


autorizado

Servidor SharePoint Ataque de Hackers

Ataque de Malwares

Cada de Red

Cada de Servicio

elctrico


autorizado

Servidor de Correo Plan incompleto de contingencia para

cloud

Ataque de Hackers

Ataque de Malwares

Cada de Red

Cada de Servicio

elctrico

Spam con fines

publicitarios

20

Servidor de Central

Telefnica

Ataque de Hackers

Ataque de Malwares

Cada de Red

Cada de Servicio

elctrico

Cada del enlace

telefnico

Equipos porttiles Personal que hace mal

uso de los equipos

(juegos, videos)

Equipos de escritorio Personal que hace mal

uso de los equipos

(juegos, videos)

Software de

Seguridad ARANDA

Existen PCs. no gobernadas por el

software

Personal de la empresa

sin capacitacin

adecuada

Microsoft Windows

Server

Sistema operativo no muy seguro

Parches mal instalados o no

actualizados

Personal de TI con bajo

conocimiento en nuevas

versiones

Ataque de Hackers

Ataque de Malwares

CRM Construccin de mdulos muy

personalizados

La no utilizacin de Microsoft

Dynamics CRM en forma nativa

Ataque de Hackers

Ataque de Malwares

21

Desarrollos Internos No existe uniformidad en las

metodologas de desarrollo.

Sistemas sin evaluacin de pruebas

de stress

Validaciones realizadas solo en el

lado del cliente

Colocacin de data sensible en

archivos de configuracin

(Web.config)

Falta de documentacin de los

sistemas o muy poca documentacin

existente

Personal de desarrollo y

TI poco capacitado

RRHH

Personal de TI No se promueven las polticas que

gestionan la interaccin con internet.

Uso de contraseas endebles

Gerencia sin influencia

para promover polticas

Personal de otras

reas

Desconocimiento sobre riesgos de

internet

No se promueven las polticas que

gestionan la interaccin con internet.

Uso de contraseas endebles



Explotacin

Proceso de Gestin de

Estrategia de Servicio

TI

Proceso documentado en forma

parcial

Polticas y procedimientos

desactualizados

Las estrategias no estn totalmente

alineadas con los objetivos



22


Cambios


parcial


desactualizados




Implementacin


parcial


desactualizados



Actualizaciones

realizadas evitando

algunos procedimientos

Proceso de gestin de

la Configuracin


parcial


desactualizados



Uso de versiones no

actualizadas en el

desarrollo de

aplicaciones


Proveedores


parcial


desactualizados



Mala Evaluacin de

proveedores

23

8.2.4. RIESGOS

En este apartado, se realizar el anlisis de riesgo con respecto a la situacin actual de los recursos y procesos que se vienen usando en la

organizacin y que estn ligados a las actividades realizadas en el internet.

24

CUADRO DE PRINCIPALES RIESGOS

Nro Descripcin

R1 Probabilidad de que deje de trabajar el servicio de conexin telefnica

R2 Probabilidad de cada del servicio de internet, originando prdidas en el negocio

R3 Probabilidad de que se produzca una cada de la red, la comunicacin se caiga y afecte la

operacin de la organizacin.

R4

Probabilidad de que un software especializado en captura de datos ingrese a los equipos

de la organizacin que no estn controlados por Aranda y logre extraer y exportar datos

con carcter confidencial.

R5 Probabilidad que un evento fortuito genere problemas en la operacin de la instalacin de

programas.

R6

Probabilidad de que un personal no autorizado ingrese a las instalaciones aprovechando la

forma endeble de los passwords y genere daos fsicos y/o lgicos a las instalaciones y a

la infraestructura tecnolgica (software y hardware).

R7

Probabilidad de que un Hacker ataque a los recursos de hardware y software expuestos a

internet y que puede generar daos fsicos y/o lgicos a la infraestructura tecnolgica o se

apropie de informacin confidencial.

R8

Probabilidad de que un software malware se instale y ejecute en los computadores,

servidores y otros dispositivos, generando daos a la infraestructura tecnolgica o se

apropie de informacin confidencial.

R9 Probabilidad de que no se puedan enfrentar problemas en el software por no contar con

documentacin adecuada.

R10

Probabilidad de que el proveedor responda con tiempos demasiados largos y que

comprometa la operatividad de recursos de infraestructura y con ello la operacin del

negocio.

R11

Probabilidad de que la Gerencia de la organizacin, por dejadez u otros temas, no de

importancia a la direccin y gestin en la ejecucin de los procesos dentro de la

organizacin generando impactos negativos para el negocio.

R12 Probabilidad que una persona mal capacitada ponga en riesgo la eficiencia y eficacia de la

ejecucin de las actividades generando impactos negativos al negocio.

R13 Probabilidad que el servicio elctrico no funcione y cause problemas al negocio por falta

de la misma.

R14 Probabilidad de que un proceso no est regulado o no se apliquen correctamente sus

polticas, debido a dejadez en el procedimiento.

R15 Probabilidad de que una persona ingrese a un lugar que no le corresponde y genere

problemas de operacin.

R16 Probabilidad que colapse el lugar asignado al DataCenter y genere riesgos en la operacin

R17

Probabilidad de se presente una falla en la energa y no se cuente con fluido elctrico

adecuado, debido a la falta de un generador o generadores de respaldo, y que pongan en

peligro las operaciones del negocio.

R18 Probabilidad de colapso de la red de datos, debido a una falta de certificacin de red, y

que ponga en peligro la operacin del negocio.

1

8.2.5. MATRIZ DE RIESGOS

27

8.2.6. PRIORIZACION

Considerando el cuadro de valoracin de del numeral anterior, se ha elaborado en un grfico

de distribucin que nos permite establecer los riesgos con mayores prioridades en base a los

siguientes criterios rangos:

0

29

8.2.7. CONTROLES DE LA EMPRESA

Gestiones en Infraestructura y Operaciones

La gestin de la estrategia de servicio de TI est alineada con los objetivos

estratgicos de la universidad. La gestin es realizada por el rea DINS.

Para la gestin del portafolio de servicios, en la universidad se lleva un inventario

de los servicios en funcionamiento y se monitorean peridicamente mediante

indicadores KPIS.

La gestin financiera es realizada por el rea de Finanzas. Adems, cada rea tiene

asignada una partida presupuestal y tambin por cada proyecto.

El diseo de servicio de TI se maneja a travs de comits entre responsables del

departamento de TI y del negocio para poder disear nuevos servicios de acuerdo a

las necesidades del negocio.

La gestin de proveedores en TI es realizada por el rea DINS.

La gestin de niveles de servicio se realiza tambin a travs de un comit, en la cual

se definen los tiempos de atencin y SLA para el caso de los servicios que se

encuentran bajo un outsourcing.

Para la gestin de la disponibilidad se realiza mediante un comit y reuniones

semanales y a las que pueden asistir usuarios del negocio y de TI.

Respecto a la gestin de la configuracin se realiza mediante un inventario de los

CI que cuenta la universidad, pero la actualizacin no es realizada de forma

peridica y cada unidad cuenta con su propia vista de informacin utilizando el

software ARANDA.

La gestin de cambios se maneja a travs de un comit de cambios que autoriza o

rechaza los cambios en por infraestructura y desarrollo.

La gestin de liberacin e implementacin es realizada mediante un equipo que

realiza los pases a produccin en los ambientes de desarrollo y certificacin. Las

solicitudes son canalizadas por la unidad de IT Service.

30

Informacin General sobre Seguridad

Accesos

Administracin y control de TI se encarga de la seguridad y los accesos de sistema

de informacin.

Infraestructura y Plataforma TI se encarga de la seguridad perimetral.

Confidencialidad

Se manejan perfiles de accesos, se cuenta con un controlador de Dominio.

Con respecto a la informacin del correo se cuenta con polticas de cambios de

clave, almacenamiento de los archivos OST.

Los accesos a los sistemas de informacin se dan con privilegios de administrador

( existen roles de usuarios)

Incidentes de Seguridad

Ataques a los sistemas web, pueden ser mediante SQL injection. Estos ataques se

dan por vulnerabilidades de mismos lenguaje.

Ataques a los extranet. En este caso existe lmite de tiempo de conexin.

Ataques internos (trfico de red inusual)

Respaldo y recuperacin

RESPALDO INCREMENTAL: Se respaldan los archivos modificados luego del

ltimo respaldo total. Esta poltica de respaldo disminuye el tiempo que emplea el

sistema en realizar el respaldo. Ante la restauracin del sistema se debe volcar

primero el respaldo total, y luego el ltimo respaldo incremental.

RECUPERACIN DE DATOS: Existe un procedimientos en el cual se solicita

al rea de infraestructura y plataforma TI la recuperacin de una determinada data

indicando datos como fecha, hora, aplicacin, servidor.

Auditora

Polticas de Seguridad a nivel institucional y evaluar si estn definidas y aplicadas

en los equipos de seguridad (firewalls, Routers, switches, Servidores de Dominio,

Filtros de Contenido, Wireless).

31

Verificacin que los equipos de seguridad estn configurados de tal forma que no

permitan transferencia de informacin que ponga en riesgo la red Interna, como ser

transferencias de Zonas DNS, publicacin de Direcciones IP, retransmisin de

paquetes a solicitud de ataques de HACKERS etc.

Control adecuado del hardware de los usuarios (perifricos).

Regulacin

Actualmente la UPC est regulada por la ley de proteccin de datos.

32

8.3. UPC TO-BE

En esta unidad, se presentaran una serie de recomendaciones para la empresa, en funcin del

diagnstico obtenido del anlisis de riesgos realizado en la primera parte de este captulo. A

continuacin se enumeraran los mismos:

8.3.1. POLITICAS DE SEGURIDAD

En la universidad existen polticas de seguridad, pero en algunos casos o no se cumplen o estn

mal diseadas. Tambin es posible que no se comuniquen en forma oportuna.

Por ejemplo, para el caso de la realizacin de backups, se han encontrado casos en los que

determinados sistemas tienen polticas de backup bien establecidas y cumplidas a cabalidad,

pero que no seran aplicadas a todos de la misma forma. Se solicit una actualizacin y se

realiz con xito, pero a los dos das, cuando se presentaron errores y se quiso revertir el

proceso, no se encontr el backup correspondiente, o sea que no se cumpli adecuadamente la

gestin de configuracin ni de cambios. Puede ser que aparentemente el sistema en cuestin

no tenga el cuidado requerido, pero en todo caso, en casos de actualizaciones, la poltica de los

backups es importante

En lo que se refiere a seguridad a determinadas zonas de la universidad, se ha detectado que

algunas personas se prestan sus tarjetas de proximidad para ingresar, a pesar de que no les

corresponde el ingreso. A pesar de que puede darse entre amigos, debera haber un mejor

control para evitar problemas.

En cuanto a la gerencia, si existe dejadez o falta de peso en ellas, pues se debe tambin hacerle

el debido seguimiento y control, para que esto no origine problemas futuros.

Peridicamente tambin se debe hacer una evaluacin de las polticas, para saber si siguen

siendo adecuadas o no en este caso, a los procesos de seguridad.

33

8.3.2. CONCIENTIZACION Y EDUCACION DEL PERSONAL

Es sabido que los seres humanos son el eslabn ms dbil en cuanto a seguridad se refiere. Es

por esto que se debe tener especial cuidado en su educacin para la seguridad. En este caso, las

normas de seguridad y otros aspectos relacionados deben ser enviados peridicamente para que

el personal no se olvide de ellos, adems de sealarse las sanciones por su no cumplimiento.

Debera incluso haber una especie de evaluacin con puntaje y la entrega de una constancia de

que se ha realizado y aprobado dicha evaluacin, similar a como se evalan tambin los

conocimientos respecto a los sismos o a la seguridad fsica. Este resultado debera contribuir o

ser una parte de las consideraciones que se tienen en cuenta para los ascensos o mejoras

salariales. Al ser de conocimiento del personal, puede ser tomado como una motivacin.

La concientizacin del personal es importante porque, por ejemplo, en el caso de las

contraseas, a pesar de que la empresa tiene polticas respecto a su creacin y conformidad,

siempre se busca crear una contrasea fcil de recordar y por ello, generalmente, se crea una

con lo mnimo en requisitos solicitados. Entonces, si la persona tiene conocimiento de lo que

puede suceder, puede optar por hacer lo que se le recomienda.

8.3.3. CONTROL DE DESARROLLO DE APLICACIONES WEB

En la empresa existan dos reas encargadas del desarrollo de software o que establecan dicho

desarrollo con terceros (proveedores): DINS (Direccin de Inteligencia y Nuevas Soluciones)

y Sistemas. Sistemas se encargaba de la administracin de los sistemas core (Scrates,

blackboard, CRM, etc) y DINS, de la nueva tecnologa que poda aplicarse, as como tambin

del portal web y otras soluciones. Cada una tena sus propias polticas y metodologas de

trabajo, lo cual no era razonable si consideramos que las polticas deberan cumplirlas todos

los involucrados. Este ao se ha producido recin la fusin de ambas y ahora son una sola

direccin. Esto de todas maneras contribuir a una unicidad de criterios y metodologas, muy

conveniente para la universidad.

Las sugerencias a tener en cuenta son:

Documentar debidamente las aplicaciones. En estos momentos, existe poca documentacin

o poco hbito de hacerla, pues se prioriza que los proyectos se terminen lo antes posible y

la documentacin se dejaba para despus. En muchos casos dicha documentacin se

34

entregaba incompleta. Esto resulta contraproducente, pues afecta la realizacin de cambios

o actualizaciones, adems de que, en casos de ataque y dependiendo del tipo, afectara

enormemente desconocer la arquitectura del sistema para realizar su reparacin.

Tener una adecuada y nica metodologa para los proyectos de desarrollo. Por ejemplo,

actualmente no se tiene un sistema nico con el cual administrar los proyectos. Dicho

sistema debera ser conocido por todo el equipo y usarse siempre para lograr eficiencia y

eficacia.

Utilizar las Guas OWASP para el apoyo en el desarrollo de las aplicaciones web, con la

finalidad de tener en cuenta las mejores prcticas en codificacin de aplicaciones frente a

ataques.

8.3.4. CORTES DE FLUIDO ELECTRICO

Las cadas de fluido elctrico no son frecuentes, pero es algo que puede suceder. Se recomienda

contar con grupos electrgenos o generadores que puedan incluso funcionar como un backup

el uno del otro, pues se han dado casos en los que ha faltado fludo elctrico contando incluso

con un generador. Este generador debera tener tambin un adecuado cronograma de

mantenimiento, para que se pueda contar con l en todo momento.

8.3.5. ETHICAL HACKING

En la universidad, peridicamente se detectan ataques de hackers u otras amenazas. Es por esto

que sera importante establecer como poltica la realizacin de anlisis de vulnerabilidades y

amenazas usando el Ethical Hacking. Los beneficios que las organizaciones adquieren con la

realizacin de un Ethical Hacking son muchos, de manera muy general los ms importantes

son:

Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de

informacin, lo cual es de gran ayuda al momento de aplicar medidas correctivas.

Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los

sistemas (equipos de cmputo, switches, Routers, firewalls) que pudieran desencadenar

problemas de seguridad en las organizaciones.

Identificar sistemas que son vulnerables a causa de la falta de actualizaciones.

35

Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la

organizacin.

Las pruebas de penetracin es un conjunto de metodologas y tcnicas para realizar un

diagnstico integral de las debilidades de los sistemas informticos de la organizacin. Estas

pruebas pueden ser:

Prueba externa: Permite evaluar el estado de la seguridad de una organizacin desde

Internet como si lo hiciera un intruso real.

Prueba interna: Permite evaluar el estado de la seguridad dentro de la organizacin.

Generalmente, este proceso se encarga a una empresa externa, por lo que es muy importante

tener en cuenta los aspectos legales en la realizacin de un Ethical hacking, los cuales deben

tenerse muy presentes tanto por las organizaciones que prestan el servicio como por quienes lo

contratan.

Estos aspectos se relacionan estrechamente con la confidencialidad, es decir, que a la

informacin que los encargados del proceso encuentren no se le d un mal manejo o uso ms

all de los fines previstos por las pruebas. Se deben indicar claramente en el contrato los

objetivos especficos de las pruebas de penetracin para evitar futuros malos entendidos.

En lo que respeta a la universidad, sta debe garantizar que la informacin que se provee a la

empresa encargada es fidedigna, para que los resultados sean congruentes y certeros. Sin

embargo, dada la naturaleza de las pruebas de penetracin es limitada la posibilidad de probar

toda la gama de tcnicas y mecanismos que los crackers o hackers pudieran emplear para

vulnerar un sistema informtico y en ocasiones se pueden obtener "falsos positivos", es decir,

resultados que indiquen una vulnerabilidad que realmente no es explotable.

Al ejecutar este proceso, se debe fidelizar a los empleados participantes de los procesos

evaluados, sobre todo si no conocen del tema, para que colaboren con el proceso en s. En

ocasiones, puede suceder que por el da a da, los empleados tengan muchas tareas urgentes

que realizar, y que demorarse en esto les parezca que atenta contra el cumplimiento oportuno

de sus procesos.

36

As tambin, es recomendable que la empresa enve a capacitacin sobre Ethical Hacking a

personal interno, pues, o bien ellos podrn hacer estos anlisis o sern los encargados de

trabajar a la par con la empresa auditora, para cerciorarse de que est realizando solo su trabajo

y no, por ejemplo, labores de espionaje.

8.3.6. CORRECTA EVALUACION DE LOS SISTEMAS

Al comprar un sistema enlatado, siempre se debe considerar que la empresa tiene que adecuar

sus procesos a l y no al revs. En el caso del CRM, se compr y, como para ciertos procesos

ya establecidos no funcionaba tal cual, se comenzaron a hacer modificaciones para que se

acomode a los procesos de UPC, lo cual origin que no se pueda usar CRM a toda su potencia,

o sea, que no se le pueda aprovechar al mximo. Lo que se recomienda es hacer un estudio

previo de lo que se necesita y, una vez realizado el estudio, decidir la mejor herramienta a usar.

8.4. CONCLUSIONES

El interactuar con internet es imprescindible para toda empresa. Por esto, las

organizaciones siempre deben tener claro que, as como realizar negocios por internet

les trae muchos beneficios, tambin les traer amenazas. Entonces, usar un sistema de

seguridad debe ser una de sus prioridades.

Segn hemos visto, el software sirve de mucho en el desarrollo de una empresa, por los

beneficios que puede darle; pero tambin puede tornarse malicioso si, bajo las

instrucciones de un hacker o cracker, causa daos en la empresa.

Prevenir siempre es mejor que lamentar. Hacer evaluaciones, pruebas, etc. siempre es

costoso, pero este costo siempre suele ser mnimo comparado muchas veces con los

daos producidos por una vulnerabilidad o amenaza. Tampoco hay que gastar por

gastar, sino medir las vulnerabilidades y proponer la seguridad adecuada.

La mejora de la tecnologa y la comunicacin provoca tambin la aparicin de nuevos

medios y formas de ataque que hacen de internet un medio peligroso para cualquier

organizacin que la utilice. Es por esto que tambin es necesaria la evaluacin

permanente de los sistemas de seguridad, para saber si siguen siendo competentes o si

deben ser mejorados.

Hemos visto que el Ethical Hacking es muy importante para las empresas, ya que les

permite analizar y conocer los mtodos y herramientas que el enemigo va a utilizar, y

as, poder defenderse mejor. Aqu podramos decir que siempre es mejor Conocerse a

37

s mismo

OWASP nos da la oportunidad de crear aplicaciones web seguras y dada la coyuntura,

es algo que no se debe desaprovechar.

38

CONCLUSIONES

El interactuar con internet es imprescindible para toda empresa. Por esto, las

organizaciones siempre deben tener claro que, as como realizar negocios por internet

les trae muchos beneficios, tambin les traer amenazas. Entonces, usar un sistema de

seguridad debe ser una de sus prioridades.

Segn hemos visto, el software sirve de mucho en el desarrollo de una empresa, por los

beneficios que puede darle; pero tambin puede tornarse malicioso si, bajo las

instrucciones de un hacker o cracker, causa daos en la empresa.

La mejora de la tecnologa y la comunicacin provoca tambin la aparicin de nuevos

medios y formas de ataque que hacen de internet un medio peligroso para cualquier

organizacin que la utilice. Es por esto que tambin es necesaria la evaluacin

permanente de los sistemas de seguridad, para saber si siguen siendo competentes o si

deben ser mejorados.

La proteccin de los recursos informticos de una organizacin requiere que se tenga

alguna idea de los mtodos y herramientas que el enemigo va a utilizar. Conocer cmo

funcionan los ataques permite defenderse de los mismos. De hecho, muchas

organizaciones utilizan las mismas herramientas que los atacantes utilizan para ayudar

a identificar los puntos dbiles que deben abordar. Siempre es mejor encontrar

debilidades en su propio entorno antes que un atacante lo haga.

Actualmente existe la necesidad de crear aplicaciones Web seguras, por ello para cubrir

este objetivo la comunidad OWASP ofrece diferentes cursos y/o herramientas gratuitas

que pueden ser aplicados en todas las etapas del ciclo de vida del software por los

diferentes roles participantes: desarrolladores, arquitectos, especialistas de Calidad,

responsables de Seguridad informtica, etc.

39

El mundo de los riesgos y amenazas a la seguridad de la informacin de los usuarios a

travs de internet es muy amplia y se actualiza constantemente. Sin embargo, siempre

existe algn mecanismo que permita minimizar el impacto.

El costo en el que se incurre suele ser mnima comparados con aquellos luego de

producido un dao. El desconocimiento y la falta de informacin son el principal

inconveniente cuando se evala la inclusin de seguridad como parte de un sistema. Lo

que tambin la empresa siempre debe considerar es si la seguridad que maneja es

suficiente o manejable. Invertir en seguridad no es barato y se debe evaluar los procesos

ms crticos para su aplicacin.

Es urgente legislar un marco legal adecuado, no solo que castigue a los culpables sino

que desaliente acciones hostiles futuras.

40

GLOSARIO DE TERMINOS

World Wide Web

Asociacin de informacin independiente bases de datos accesibles a travs de Internet. A

menudo llamada la Web o WWW.

Hacker

Apodo comn para una persona no autorizada que irrumpe o intenta entrar en un sistema

informtico eludiendo sus protecciones de seguridad.

Scripts

En informtica es un archivo de rdenes o archivo de procesamiento por lotes usualmente

simple que por lo regular se almacena en un archivo de texto plano.

Malwares

El malware (del ingls malicious software), tambin llamado badware, cdigo maligno,

software malicioso o software malintencionado, es un tipo de software que tiene como objetivo

infiltrarse o daar una computadora o sistema de informacin sin el consentimiento de su

propietario.

Phishing

Es un trmino informtico que denomina un modelo de abuso informtico y que se comete

mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir informacin

confidencial de forma fraudulenta, principalmente basado en la suplantacin de identidad.

Spyware

Es un software que recopila informacin de un ordenador y despus transmite esta informacin

a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.

Se pueden clasificar como: system monitors, trojans, adware y tracking cookies.

41

Bugs

Problemas de calidad de sus aplicativos generados de manera malintencionada o por omisin

por parte de los proveedores de software.

Botnet

Ataques generados por fuera de la empresa con el fin de tomar control de los equipos.

Spam

Correo basura enviado con el objetivo de saturar el servidor de correo.

DOS

Ataques de denegacin de servicio para inhabilitacin de los servicios, mediante mltiples

peticiones de acceso.

Cross-Site Scripting

Forzar a un sitio Web para replicar programas ejecutables orientados a los clientes del

navegador.

Suplantacin de Contenido

Tcnica para engaar a los usuarios presentando informacin falsa en sitios Web autnticos.

Fuga de Informacin

Revelacin y robo de informacin privada y sensible de la empresa por parte de empleados o

terceros usando mtodos de transferencia electrnica.

Intrusin remota

Ingreso externo no autorizado a un equipo de cmputo usando la infraestructura de

conectividad de la empresa.

Fuerza Bruta

Proceso de ingreso de credenciales de autenticacin de forma masiva para violar sistemas de

seguridad.

42

Desbordamiento de Buffer

Alteracin del normal funcionamiento de un sistema o programa mediante la sobre escritura de

espacios de memoria.

Inyeccin LDAP

Violentar el acceso a sitios que implementan autenticacin va LDAP mediante enviando

credenciales de autenticacin falsas del directorio.

Inyeccin de Comandos.-

Envo de comandos dirigidos al sistema operativo y a travs de los componentes de ingreso de

informacin a la aplicacin.

Inyeccin de SQL

Envo de sentencias de SQL a travs de los componentes de ingreso de informacin a la

aplicacin, para ser ejecutados en la base de datos.

Hub (concentrador)

Es el dispositivo de conexin ms bsico. Es utilizado en redes locales con un nmero muy

limitado de mquinas. No es ms que una toma mltiple RJ45 que amplifica la seal de la red

(base 10/100).

Switch (o conmutador)

Equipo que trabaja en las dos primeras capas del modelo OSI, es decir que ste distribuye los

datos a cada mquina de destino, mientras que el hub enva todos los datos a todas las mquinas

que responden.

Router

Equipo de comunicacin que permite el uso de varias clases de direcciones IP dentro de una

misma red. De este modo permite la creacin de sub redes.

IDC

International Data Corporation

43

ISO

International Organization for Standardization

ONGEI

Oficina Nacional de Gobierno Electrnico e Informtica

C.P.U

Del ingls Central Processing Unit, unidad central de procesamiento, es el componente

principal de una computadora interpreta las instrucciones contenidas en los programas y

procesa los datos

Protocolo TCP/IP

TCP/IP es una denominacin que permite identificar al grupo de protocolos de red que

respaldan a Internet y que hacen posible la transferencia de datos entre redes de ordenadores.

En concreto, puede decirse que TCP/IP hace referencia a los dos protocolos ms trascendentes

de este grupo: el conocido como Protocolo de Control de Transmisin (o TCP) y el llamado

Protocolo de Internet (presentado con la sigla IP).

Protocolo ARP

El protocolo ARP (Address Resolution Protocol) tiene un importante papel entre los protocolos

de comunicaciones relacionados con TCP/IP. Su principal objetivo es conocer la direccin

fsica (MAC) de una tarjeta de interfaz de red correspondiente a una direccin IP (Internet

Protocol). De ah viene su nombre: Protocolo de Resolucin de Direccin (Address Resolution

Protocol).

Smishing

Los smishers son los atacantes que realizan phishing a travs de mensajes de texto. Buscan a

travs de Ingeniera Social que las vctimas hagan una de tres cosas:

Hagan clic en un hipervnculo

Llamen a un nmero de telfono

Respondan a un mensaje de texto

44

Vishing

Es la prctica de obtener informacin o generar una accin a travs de un telfono celular o

VoIP, y puede realizarse a travs de prcticas como Spoofing (suplantacin de identidad).

45

SIGLARIO

World Wide Web

Hacker

Scripts

Malwares

Phishing

Spyware

Bugs

Botnet

Spam

DOS

Cross-Site Scripting

Suplantacin de Contenido

Fuga de Informacin

Intrusin remota

Fuerza Bruta

Desbordamiento de Buffer

Inyeccin LDAP

Inyeccin de Comandos.-

Inyeccin de SQL

Hub (concentrador)

Switch (o conmutador)

Router

IDC

ISO

ONGEI

C.P.U

46

BIBLIOGRAFIA

[1] KIOSKEA (2014) Protocolos (consulta: 17 de mayo de 2015)

(http://es.kioskea.net/contents/275-protocolos)

[2] Principales elementos de una red (2012) (consulta: 17 de mayo de 2015)

(http://elementosderedadpq.blogspot.com/2012/10/principales-componentes-de-una-

red.html)

[3] KIOSKEA (2014) Servidor Proxy (consulta: 17 de mayo de 2015)

(http://es.kioskea.net/contents/297-servidores-proxy-y-servidores-de-proxy-inversos)

[4] Raggio, Juan (2011) DESARROLLO DE PROCESOS DE GESTIN DE SERVICIOS

DE EXPLOTACIN SIGUIENDO EL MODELO CMMI. Universidad Politcnica de

Madrid

[5] ESET (2011) Troyanos y gusanos: el reinado del malvare (consulta: 23 de mayo de

2015) (http://www.welivesecurity.com/wp-content/uploads/2014/01/troyanos-y-

gusanos-el-reinado-del-malware.pdf)

[6] (2003) Elementos terico-prcticos tiles para conocer los virus informticos.

En: ACIMED, Vol 11, Nro 5, pg 55-67, Centro Nacional de Informacin de Ciencias

Medicas

[7] Panda Security (2012) Gusanos Informticos (consulta: 23 de mayo de 2015)

(http://www.pandasecurity.com/peru/homeusers/security-info/classic-malware/worm/)

[8] KASPERSKY (2012) Qu es un troyano? (consulta: 22 de mayo de 2015)

(http://www.kaspersky.es/internet-security-center/threats/trojans)

[9] Portal Data kraft (2012) qu es el spyware? (consulta: 23 de mayo de 2015)

(http://www.datacraft.com.ar/internet-spyware.html)

[10] Wikipedia (2013) Spoofing (consulta: 23 de mayo de 2015)

(http://es.wikipedia.org/wiki/Spoofing)

47

[11] (2015) The BIG VIRUS GUIDE En: Micro Mart, Vol 1354, Nro 44, Dennis Publishing

Ltd

[12] INFORMATICAHOY (2010) Seguridad Informtica: Qu es Ingenieria Social?

(consulta: 24 de mayo de 2015) (http://www.informatica-hoy.com.ar/software-

seguridad-virus-antivirus/Ingenieria-Social-Seguridad-Informatica.php)

[13] WELIVESECURITY (2014) Las tcnicas de Ingeniera Social evolucionaron, presta

atencin! (consulta: 24 de mayo de 2015) (http://www.welivesecurity.com/la-

es/2014/05/21/tecnicas-ingenieria-social-evolucionaron-presta-atencion/)

[14] Julian, Guillermo (2012) Son los ataques DDoS efectivos como medio de protesta?

(consulta: 24 de mayo de 2015) En: Genbeta (http://www.genbeta.com/web/son-los-

ataques-ddos-efectivos-como-medio-de-protesta)

[15] Panda Antivirus (2010) Qu es Phishing? (consulta: 24 de mayo de 2015) En: Genbeta

(http://www.pandasecurity.com/peru/homeusers/security-info/cybercrime/phishing/)

[16] Araya, Kenyie (2006) Introduccin al Cross-Site-Scripting (consulta: 24 de mayo de

2015) En: Desarrolloweb (http://www.desarrolloweb.com/articulos/introduccion-

cross-site-scripting.html)

[17] Segu-Info (2012) Spam (consulta: 23 de mayo de 2015) (http://www.segu-

info.com.ar/malware/spam.htm)

[18] USUARIO CASERO (2012) Pharming (consulta: 22 de mayo de 2015)

(http://www.seguridad.unam.mx/usuario-casero/eduteca/main.dsc?id=194)

[19] Wikipedia (2013) Hacker (consulta: 23 de mayo de 2015)

(http://es.wikipedia.org/wiki/Hacker_%28seguridad_inform%C3%A1tica%29)

[20] INFORMATICAHOY (2010) Qu es un cracker? (consulta: 24 de mayo de 2015)

(http://www.informatica-hoy.com.ar/aprender-informatica/Que-es-un-Cracker.php)

[21] OSI-OFICINA NACIONAL DEL INTERNAUTA (2014) Qu es una botnet o una red

zombi de ordenadores? (consulta: 24 de mayo de 2015)

(https://www.osi.es/es/actualidad/blog/2014/03/14/que-es-una-botnet-o-una-red-

zombi-de-ordenadores)

48

[22] Shackleford, Dave (2013) Pruebas de penetracin en ingeniera social: cuatro tcnicas

efectivas (consulta: 26 de mayo de 2015) En: SearchDataCenter

(http://searchdatacenter.techtarget.com/es/consejo/Pruebas-de-penetracion-en-

ingenieria-social-cuatro-tecnicas-efectivas)

[23] (2013) Tutorial de Seguridad Informtica (consulta: 26 de mayo de 2015)

(http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap2.html)

[24] L. Allen, S. Ali y T. Heriyanto, Kali Linux Assuring Security by Penetration Testing,

PACKT Publishing. Open Source, 2014.

[25] J. Broad y A. Bindner, Hacking with Kali. Practical Penetration Testing Techniques,

Syngress, 2013.

[26] P. Gonzlez, G. Snchez y J. M. Soriano, Pentesting con Kali, 0xWord, 2013.

[27] W. L. Pritchett y D. De Smet, Kali Linux Cookbook, Packt Publishing

Open Source, 2013.

[28] A. Singh, Instant Kali Linux, Packt Publishing, 2013.

[29] Segu-Info (2012) Firewall / Cortafuegos (consulta: 31 de mayo de 2015)

(http://www.segu-info.com.ar/firewall/firewall.htm)

trabajo final

Documents