Embed Size (px)
Citation preview
SISTEMA DE INFORMACION
VULNERABILIDADES
¿Qué es la seguridad en los sistemas de información?
Es asegurar los recursos del SI de una organización, el cual incluye programas, equipos e información propiamente dicha; se resguarda de esta forma los datos que se consideran importantes para que no sean vistos por cualquier persona no autorizada o dañada por cualquier elemento malicioso.
DEFINICIONES DE DEFINICIONES DE SISTEMAS DE SISTEMAS DE INFORMACIONINFORMACION
SISTEMA: Conjunto de elementos interrelacionados entre si con el objeto de lograr un fin común. El todo, es el resultado del funcionamiento armónico de las partes, basta que una de las partes deje de funcionar o tenga alguna interferencia, para que no se cumpla con el objetivo de un sistema.
SISTEMA: Conjunto de elementos interrelacionados entre si con el objeto de lograr un fin común. El todo, es el resultado del funcionamiento armónico de las partes, basta que una de las partes deje de funcionar o tenga alguna interferencia, para que no se cumpla con el objetivo de un sistema.
DEFINICIONES DE SISTEMAS DE INFORMACION
Video HONDA: Video HONDA:
Propósito u objetivo, todo sistema debe tener un propósito, los elementos que se relacionen entre sí tratan de alcanzar un objetivo. Globalismo o totalidad, la entidad o empresa es un todo orgánico visto como sistema, reaccionará globalmente ante cualquier estímulo producido en cualquier parte del sistema. Entropía, los sistemas tienen la tendencia al desgaste, a la desintegración, cuando aumenta la entropía, los sistemas empresariales se vuelven obsoletos en el tiempo, los nuevos paradigmas remplazan a los antiguos.
Homeostasis, es el equilibrio dinámico entre las partes del sistema, ante cambios del entorno empresarial, los sistemas tienden a adaptarse y alcanzar un nuevo equilibrio interno.
CARACTERISTICAS DE LOS SISTEMAS
En cuanto a su constitución:
Sistemas Concretos o físicos, está compuesto por los activos fijos de la empresa, los materiales, etc. tales como las máquinas, equipos, es decir el Hardware. Sistemas abstractos, está compuesto por planes, hipótesis, conceptos e ideas, está inmerso en el pensamiento de los trabajadores, etc., es decir es el software.
En cuanto a su naturaleza: Sistemas cerrados, no tienen contacto con el medio ambiente que lo rodea, son herméticos ante cualquier influencia ambiental. Sistema abiertos, tienen contacto de intercambio con el ambiente en materia y energía.Sistema natural, (sistema solar, sistema circulatorio, etc)Sistema artificial (la empresa)
TIPOS DE SISTEMA
En cuanto al comportamiento:
Sistema determinista: Sistema con un comportamiento previsible, las partes interactúan de un modo perfectamente previsible, sin dejar lugar a dudas. A partir del ultimo estado del sistema y el programa de información, se puede prever, sin ningún riesgo o error, su próximo estado. Por ejemplo, al mover el timón de un vehículo, se puede prever el movimiento de las ruedas, la palanca, la polea, un programa de computadora.
Sistema probabilística: Sistema con un comportamiento no previsible, no se puede hacer una previsión detallada. Si se estudia intensamente, se puede prever probabilísticamente lo que sucederá en determinadas circunstancias. No esta predeterminado. La previsión se encuadra en las limitaciones lógicas de la probabilidad. Por ejemplo, la reacción de las aves, cuando se le pone alimento en el parque, se podrán acercar, no hacerlo o alejarse, el clima, el sistema económico mundial.
En cuanto al comportamiento:
Sistema determinista: Sistema con un comportamiento previsible, las partes interactúan de un modo perfectamente previsible, sin dejar lugar a dudas. A partir del ultimo estado del sistema y el programa de información, se puede prever, sin ningún riesgo o error, su próximo estado. Por ejemplo, al mover el timón de un vehículo, se puede prever el movimiento de las ruedas, la palanca, la polea, un programa de computadora.
Sistema probabilística: Sistema con un comportamiento no previsible, no se puede hacer una previsión detallada. Si se estudia intensamente, se puede prever probabilísticamente lo que sucederá en determinadas circunstancias. No esta predeterminado. La previsión se encuadra en las limitaciones lógicas de la probabilidad. Por ejemplo, la reacción de las aves, cuando se le pone alimento en el parque, se podrán acercar, no hacerlo o alejarse, el clima, el sistema económico mundial.
TIPOS DE SISTEMA
TIPOS DE SISTEMA
Sistemas flexibles, se adaptan a las modificaciones del medio ambiente, tales como: Los sistemas económicos, políticos, sociales, culturales, legales, etc.
Sistemas Rígidos, su concepción y estructura varían muy poco, tales como el sistema solar, sistema biológico del hombre, sistema de carretas, sistema climatológico, etc.
Sistemas flexibles, se adaptan a las modificaciones del medio ambiente, tales como: Los sistemas económicos, políticos, sociales, culturales, legales, etc.
Sistemas Rígidos, su concepción y estructura varían muy poco, tales como el sistema solar, sistema biológico del hombre, sistema de carretas, sistema climatológico, etc.
input
feedback
outputprocesamiento
PARAMETRO DE LOS SISTEMAS
Todo sistema se caracteriza por determinados parámetros que son constantes arbitrarias que caracterizan la dimensión y propiedades de un sistema. Los parámetros de los sistemas son: . Entrada o ingreso (Input)
. Procesamiento o transformación (Throughput)
. Salida o Resultado o producto (Output)
. Retroalimentación (Feedback)
. Ambiente interno y externo (environment)
Todo sistema se caracteriza por determinados parámetros que son constantes arbitrarias que caracterizan la dimensión y propiedades de un sistema. Los parámetros de los sistemas son: . Entrada o ingreso (Input)
. Procesamiento o transformación (Throughput)
. Salida o Resultado o producto (Output)
. Retroalimentación (Feedback)
. Ambiente interno y externo (environment)
1. Comportamiento probabilístico de las organizaciones. Toda organización es afectada por los cambios ambientales, las variables desconocidas e incontrolables son los protagonistas para que la gerencia reaccione al cambio del entorno, el comportamiento humano no es totalmente previsible.
2. Las organizaciones es parte de la sociedad y está constituida por partes menores.
3. Interdependencia de las partes, las unidades orgánicas se encuentran interrelacionadas e interconectadas, un cambio en una de ellas, afecta el comportamiento de las otras.
CARACTERISTICAS DE LAS ORG. COMO SISTEMAS ABIERTOS
4. Homestasis o estado firme, esto se logra cuando las organizaciones presentan: la unidireccionalidad y el progreso. La unidireccionalidad se refiere a que la gerencia busca lograr los mismos resultados ante los cambios del ambiente y el progreso se orienta hacia el fin deseado. 5. Fronteras sin límites, es la línea que demarca lo que está dentro y fuera del sistema.
6. Morfogénesis, todo sistema organizacional tiene la capacidad de modificar su estructura básica para obtener mejores resultados del sistema.
CARACTERISTICAS DE LAS ORG. COMO SISTEMAS ABIERTOS
Interactúa permanentemente con el entorno empresarial. Las variables internas son: - Los Dueños - Los Directivos
Intervienen en el procesamiento, out put, in put y feedback: - Los Trabajadores - Los Recursos Físicos (insumos, máquinas y equipos, capital)
Las variables externas son: Las variables del micro – ambiente o del micro sistema, estas son controlables por la gerencia. - El cliente - La competencia - Los proveedores - Las instituciones financieras - Otras
LA EMPRESA ES UN SISTEMAS ABIERTOS
DirectivosGerentesTrabajadoresRecursos físicos
MICRO
MACRO
Proveedores Competencia
InstitucionesFinancieras Cliente
VariablesSocio-culturales
Variables Económicas
VariablesPolítico-LegalesVariables
tecnológicas
Variables demográficas
Otros
LA EMPRESA ES UN SISTEMAS ABIERTOS
La empresa también puede analizarse como un conjunto de funciones que interactúan entre sí en las diferentes áreas que es parte del proceso administrativo, se puede sintetizar este sistema de la siguiente manera:
LA EMPRESA ES UN SISTEMAS ABIERTOS
Organizar
Controlar
DirigirPlanear
Empresa
Personal
Producción Marketing
Ventas
Finanzas
Insumos
Retroalimentación
logística
Productos
ETAPAS POR LOS QUE PASA LOS SI
ANALISIS DE SISTEMASEl Análisis de Sistemas trata básicamente de determinar los objetivos y límites del sistema objeto de análisis, caracterizar su estructura y funcionamiento, marcar las directrices que permitan alcanzar los objetivos propuestos y evaluar sus consecuencias. Dependiendo de los objetivos del análisis, podemos encontrarnos ante dos problemáticas distintas: -Análisis de un sistema ya existente para comprender, mejorar, ajustar y/o predecir su comportamiento - Análisis como paso previo al diseño de un nuevo sistema-producto
ANALISIS DE SISTEMASEl Análisis de Sistemas trata básicamente de determinar los objetivos y límites del sistema objeto de análisis, caracterizar su estructura y funcionamiento, marcar las directrices que permitan alcanzar los objetivos propuestos y evaluar sus consecuencias. Dependiendo de los objetivos del análisis, podemos encontrarnos ante dos problemáticas distintas: -Análisis de un sistema ya existente para comprender, mejorar, ajustar y/o predecir su comportamiento - Análisis como paso previo al diseño de un nuevo sistema-producto
DISEÑO DE SISTEMASEl Diseño de Sistemas se ocupa de desarrollar las directrices propuestas durante el análisis en función de aquella configuración que tenga más posibilidades de satisfacer los objetivos planteados tanto desde el punto de vista funcional como del no funcional.
DISEÑO DE SISTEMASEl Diseño de Sistemas se ocupa de desarrollar las directrices propuestas durante el análisis en función de aquella configuración que tenga más posibilidades de satisfacer los objetivos planteados tanto desde el punto de vista funcional como del no funcional.
GESTION DE SISTEMASLa Gestión de Sistemas se ocupa de integrar, planificar y controlar los aspectos técnicos, humanos, organizativos, comerciales y sociales del proceso completo (desde el análisis y el diseño hasta la vida operativa del sistema). Los objetivos principales de la Gestión de Sistemas suelen ser: -Planificar y controlar el proceso completo de análisis, diseño y operación del sistema dentro del presupuesto, plazo, calidad y restantes condiciones convenidas. - Controlar la validez de los criterios de diseño. -Controlar la adecuación del producto del diseño a los requisitos establecidos en el análisis. - Planificar y desarrollar las necesidades de mantenimiento. -Planificar y desarrollar las necesidades de formación del personal que va a operar el sistema. - Planificar la supervisión del funcionamiento del sistema.
GESTION DE SISTEMASLa Gestión de Sistemas se ocupa de integrar, planificar y controlar los aspectos técnicos, humanos, organizativos, comerciales y sociales del proceso completo (desde el análisis y el diseño hasta la vida operativa del sistema). Los objetivos principales de la Gestión de Sistemas suelen ser: -Planificar y controlar el proceso completo de análisis, diseño y operación del sistema dentro del presupuesto, plazo, calidad y restantes condiciones convenidas. - Controlar la validez de los criterios de diseño. -Controlar la adecuación del producto del diseño a los requisitos establecidos en el análisis. - Planificar y desarrollar las necesidades de mantenimiento. -Planificar y desarrollar las necesidades de formación del personal que va a operar el sistema. - Planificar la supervisión del funcionamiento del sistema.
La Ingeniería de Sistemas a menudo involucra la utilización de modelos y la simulación de algunos aspectos del sistema propuesto para validar hipótesis o explorar teorías.
Modelo: Es la representación en pequeño de algo, es la representación simplificada de alguna parte de la realidad.
AMBITO DE LA ING. DE SISTEMAS
No siempre la construcción de modelos de sistemas extremadamente complejos permite el isomorfismo (los sistemas son isomorfos cuando su forma es semejante), en especial cuando no existe la posibilidad de verificarlo.
El sistema debe ser representado por un modelo reducido y simplificado, aprovechando el homomorfismo del sistema original (los sistemas son homomórficos cuando conservan entre sí proporción, aunque no siempre del mismo tamaño). Es el caso de las maquetas o planos de edificios, diagramas de circuitos eléctricos o electrónicos, organigramas de empresas, flujogramas de rutinas y procedimientos, modelos matemáticos de decisión, etc.
AMBITO DE LA ING. DE SISTEMAS
AMBITO DE LA ING. DE SISTEMAS
Los modelos también pueden clasificarse en:
a.- A escala, simulacros de objetos materiales (sean reales o imaginarios), que conservan sus proporciones relativas, aunque el tamaño es diferente del original. Se basan en la semejanza de algunas de sus propiedades con las del sistema original.
b.-Analógicos, implican cambios del medio y deben reproducir la estructura del original, es decir, que sean isomorfos (los sistemas son isomorfos cuando su forma es semejante) con éste.
c.- Matemáticos, que buscan la aplicación de funciones y ecuaciones matemáticas para representar el problema original mediante una transformación homomórfica (que ocurre cuando los sistemas conservan entre proporción en sus formas, aunque no sean siempre del mismo tamaño).
AMBITO DE LA ING. DE SISTEMAS
INGENIERIA DE INGENIERIA DE SISTEMASSISTEMAS
INGENIERÍA DE SISTEMAS
Modo de enfoque Modo de enfoque interdisciplinario que interdisciplinario que permite estudiar y permite estudiar y comprender la realidad, comprender la realidad, con el propósito de con el propósito de implementar u optimizar implementar u optimizar sistemas complejos.sistemas complejos.
INGENIERÍA DE SISTEMAS
“Ingeniería es el arte de utilizar los instrumentos que nos provee la ciencia para que a través del ingenio se generen soluciones que proporcionan bienestar y progreso”
Ing. Raúl Delgado Sayán
INGENIERÍA DE SISTEMAS
INGENIERÍA DE SISTEMAS
INGENIERIALa ingeniería es la profesión que aplica conocimientos y experiencias para que mediante diseños, modelos y técnicas se resuelvan problemas que afectan a la humanidad a través del desarrollo de la tecnología.
SISTEMA
L. von Bertalanffy (1968): "Un sistema es un conjunto de unidades en interrelación".
Conjunto organizado de cosas o partes interactuantes e interdependientes, que se relacionan formando un todo unitario y complejo.
INGENIERIALa ingeniería es la profesión que aplica conocimientos y experiencias para que mediante diseños, modelos y técnicas se resuelvan problemas que afectan a la humanidad a través del desarrollo de la tecnología.
SISTEMA
L. von Bertalanffy (1968): "Un sistema es un conjunto de unidades en interrelación".
Conjunto organizado de cosas o partes interactuantes e interdependientes, que se relacionan formando un todo unitario y complejo.
INGENIERÍA DE SISTEMAS
¿Cómo te imaginas que es un ingeniero?
Experto en matemáticas, física y química y estudioso, muuuuy
estudioso …
INGENIERÍA DE SISTEMAS
Ingeniero, ra. (De ingenio, máquina o artificio).
Hombre que discurre con ingenio las trazas y modos de conseguir o ejecutar algo.
Diccionario de la lengua española (http://www.rae.es/)
¿Qué es un ingeniero?
INGENIERÍA DE SISTEMAS
Un ingeniero es …
Sergei Brin, Larry Page, fundadores de Google en 1998. Ambos ingenieros informáticos: Page por la Universidad dee Michigan y Brin por la Universidad de Maryland. La compañía vale ahora 60 mil milones de dólares.
William Hewlett (1913-2001), David Packard (1912-1996), ambos ingenieros de la universidad de Stanford, formaron su empresa en 1939, en un pequeño garaje y con un capital de US$ 538.
INGENIERÍA DE SISTEMAS
INGENIERÍA DE SISTEMASMark Elliot Zuckerberg (14 de mayo de 1984, White Plains, USA), más conocido como Mark Zuckerberg, es un programador y empresario estadounidense conocido por ser el creador de Facebook.
Para desarrollar la red, Zuckerberg contó con el apoyo de sus compañeros de Harvard.
Actualmente es el personaje más joven que aparece en la lista anual de millonarios de la revista Forbes con una fortuna valorada en más de 13.500 millones de dólares.
Fue nombrado como Persona del Año en 2010 por la revista estadounidense Time Magazine.
¿Qué hace un ingeniero? Busca soluciones, con ingenio, a los problemas de la vida (muchos ámbitos) y hace más fácil la vida de los demás. Se pregunta cosas y se interesa por las respuestas.
INGENIERÍA DE SISTEMAS
La ingeniería nos rodeaEs una profesión que te puede llevar desde la profundidad del océano hasta lo más lejano del espacio exterior, desde dentro de la estructura microscópica de la célula humana hasta la cima del más alto rascacielos. Sea un teléfono celular, cámara digital, DVD, o un dispositivo de reconocimiento facial capaz de detectar a un terrorista en un abarrotado estadio de fútbol, los ingenieros están detrás de casi toda la emocionante tecnología de hoy.
INGENIERÍA DE SISTEMAS
Ciencia, Ingeniería y Tecnología¿Cómo se relacionan?
CienciaCiencia
SolucionesSoluciones
IngenieríaIngeniería TecnologíaTecnología
INGENIERÍA DE SISTEMAS
Encuesta elaborada por la Universidad de Lima sobre la demanda de profesionales en 250 de las 4.000 empresas de mayor facturación en el Perú y publicada en El Comercio el 13/11/2007.
INGENIERÍA DE SISTEMASINGENIERÍA DE SISTEMAS
El Comercio - Noviembre 2007
Ingeniero46.8%
Administrador17.6%
Contador12.0%
Abogado3.2%
Otro20.4%
Demanda de profesionales en las empresas
INGENIERÍA DE SISTEMASINGENIERÍA DE SISTEMAS
El Comercio - Noviembre 2007
Carreras que más necesita el país
Ingeniería33.2%
Negocios internacionales
15.6%
Administración12.4%
Economía6.4%
Educación6.0%
Medicina4.0%
Otras19.6%
No contesta2.8%
INGENIERÍA DE SISTEMASINGENIERÍA DE SISTEMAS
El Comercio - Noviembre 2007
Profesionales que tendrán más demanda en 10 años
Ingeniero42.8%
Administrador16.0%
Contador8.8%
Marketing5.6%
Negocios internacionales
4.8%
Otro22.0%
INGENIERÍA DE SISTEMASINGENIERÍA DE SISTEMAS
Diario Peru21, Miércoles 25 de mayo del 2011
¿Qué es un Ingeniero de Sistemas?
Un Ingeniero de Sistemas es el profesional capaz de analizar, diseñar,investigar, desarrollar y administrar cualquier tipo de sistema, aplicandolas ciencias básicas, las tecnologías de información y comunicaciones,y la Teoría General de Sistemas.
Fundamentalmente, es capaz de integrar y optimizar los recursos organizacionales para la adecuada toma de decisiones, además de especificar y desarrollar software base y de aplicación generando tecnología nacional.
¿Qué es un Ingeniero de Sistemas?
Un Ingeniero de Sistemas es el profesional capaz de analizar, diseñar,investigar, desarrollar y administrar cualquier tipo de sistema, aplicandolas ciencias básicas, las tecnologías de información y comunicaciones,y la Teoría General de Sistemas.
Fundamentalmente, es capaz de integrar y optimizar los recursos organizacionales para la adecuada toma de decisiones, además de especificar y desarrollar software base y de aplicación generando tecnología nacional.
INGENIERÍA DE SISTEMASINGENIERÍA DE SISTEMAS
Investigación : Busca nuevos conocimientos y técnicas. Desarrollo : Emplea nuevos conocimientos y técnicas. Diseño : Especificar soluciones. Producción : Transformación de materias primas en productos. Construcción : Llevar a la realidad la solución de diseño. Operación : Proceso de manutención y administración para optimizar productividad. Ventas : Ofrecer servicios, herramientas y productos. Administración : Participar en solución de problemas.Gestión y enseñanza.
FUNCIONES DEL INGENIERO
INGENIERÍA DE SISTEMAS
INTRODUCCIÓN
APLICACIONES DE LA APLICACIONES DE LA INGENIERIA DE INGENIERIA DE
SISTEMASSISTEMAS
INTRODUCCIÓN
APLICACIONES DE LA ING. DE SISTEMAS
RECONOCIMIENTO DE VOZ
El software de reconocimiento del lenguaje hablado que trae incorporado Windows Vista, el nuevo sistema operativo de Microsoft; El programa permite al usuario la ejecución de tareas normales sin necesidad de usar el teclado, incluyendo la redacción de emails.
Vista entra a competir con otros programas de reconocimiento de voz especializados ya existentes en el mercado, de los cuales los más populares son Via Voice de IBM, Dragon Naturally Speaking 9 de Nuance o Voice Pro 11 de Linguatec. Dragon ofrece reconocimiento de 44 idiomas, incluyendo español, latinoamericano, colombiano y argentino, además de portugués de Portugal y Brasil, y catalán y vasco.
INTRODUCCIÓN
RECONOCIMIENTO DE IMÁGENES
Los sistemas de computadoras son cada vez más potentes y menoscostosos, lo que permite crear nuevas formas de arte que antes no eran posibles, y algunas otras formas de arte antiguas pueden ahora verse beneficiadas con novedosas técnicas asistidas por computadora.
El reconocimiento de imágenes ha evolucionado a medida que mejora latecnología. Puede encontrarse en numerosos campos.
APLICACIONES DE LA ING. DE SISTEMAS
INTRODUCCIÓN
a.- Reconocimiento de caracteresEl reconocimiento óptico de caracteres, conocido también como OCR(Optical Character Recognition), es un proceso por el cual en una imagen digital se reconocen los caracteres con la finalidad de poder editarla como texto. Este tipo de aplicaciones son utilizadas como complemento en escáneres y otros dispositivos de captura de imágenes digitales.b.- Identificación de personas para investigaciones policíacas.Muchas veces en investigaciones de crímenes un testigo puede describir con mucho detalle el rostro de un criminal. Un dibujante profesional convierte la descripción verbal del testigo en un dibujo sobre papel. El trabajo de la computadora consiste en buscar el rostro del criminal en una base de datos de imágenes. En las investigaciones policíacas también se utiliza la búsqueda de huellas dactilares en una base de datos.
APLICACIONES DE LA ING. DE SISTEMAS
INTRODUCCIÓN
c.- BiometríaLa biometría es el reconocimiento del cuerpo humano a través de ciertascaracterísticas físicas, como el tamaño de los dedos de la mano, las huellas dactilares o los patrones en las retinas de los ojos.
Los sistemas de computadoras actuales permiten tener mejores niveles de seguridad utilizando la biometría. Por ejemplo, Control de ingreso y salida a la UCSUR.
APLICACIONES DE LA ING. DE SISTEMAS
INTRODUCCIÓN
Sistema de reconocimiento facial Aplicación dirigida por ordenador para identificar automáticamente a una persona en una imagen digital, mediante la comparación de determinadas características faciales a partir de una imagen digital o un fotograma de una fuente de vídeo y una base de datos.
Es utilizado principalmente en Sistemas de Seguridad para el reconocimiento de los usuarios. Consiste en un lector que define las características del rostro, y al solicitar acceso se verifica que coincidan las características del usuario con la BD.Es poco confiable ya que las características de nuestro rostro al paso de tiempo tienden a cambiar.Se suelen utilizar en los sistemas de seguridad y puede ser comparado a otros biometría como huella digital o los sistema de reconocimiento usando escaneo del iris.
APLICACIONES DE LA ING. DE SISTEMAS
INTRODUCCIÓNPROCESAMIENTO DE IMÁGENES MEDICASEl objetivo fundamental del procesamiento de imágenes apunta a una mejora en la obtención de información médica, lo que supone una mejora de las diagnosis y por tanto de su fiabilidad. Pero todas estas metas pasan por un estudio de las imágenes partiendo de cero. Es preciso realizar la segmentación de las escenas; posteriormente desarrollar técnicas más avanzadas, para finalizar con la reconstrucción tridimensional.
APLICACIONES DE LA ING. DE SISTEMAS
INTRODUCCIÓN
ESTEGANOGRAFÍA Disciplina en la que se estudian y aplican técnicas que permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. Es una mezcla de artes y técnicas que se combinan para conformar la práctica de ocultar y enviar información sensible en un portador que pueda pasar desapercibido.
INTRODUCCIÓN
Reconocimiento de Huellas Digitales Simulación de Trafico Vehicular, aéreo, uso de guitarra, etc. Generación de Animaciones Entre Otros.
APLICACIONES DE LA ING. DE SISTEMAS
Video Nokia y Tele presencia
Año 2005
Información. Es el principal componente de todo sistema y su razón de ser, debe ser adaptable a las personas que lo utilizan y al equipo disponible, de acuerdo a los procedimientos de trabajo para que las tareas se lleven a cabo de forma eficaz.
¿Qué es información?
INTRODUCCIÓN
INTRODUCCIÓNDato Vs. Información Datos son componentes básicos a partir de los cuales la información es
creada. Información son datos insertados en un contexto. Contexto es la situación que está siendo analizada. A partir de la información se obtiene conocimiento, el que permite
tomar decisiones. Que cuando adecuadas, ayudan al negocio a alcanzar sus objetivos.
INTRODUCCIÓNUna compañía puede capturar grandes cantidades de datos en su trabajo diario:Estos datos representan el estado actual del negocio.Es importante derivar información de estos datos.Examinando distintos contextos.Determinando las relaciones entre los hechos.Comprendiendo como se reflejan los objetivos de la empresa en los datos.
INTRODUCCIÓN
De usuario para usuario Ejecutivos Gerentes Ejecutores
De un escenario competitivo en relación a otro Estacionalidad Cambios en el mercado Nuevos competidores
Y a menores ciclos de negocio, más variaciones En la práctica, ¡hoy es imposible prever cómo los datos serán utilizados!
Pero El Contexto Cambia...
INTRODUCCIÓN
• Marketing• Ventas• Call Center• Legal• Clientes• Socios• Etc.
Aplicación
Aplicación
Aplicación
Aplicación
Aplicación
Necesidades de Acceso a Datos
INTRODUCCIÓN
¿Qué combinaciones¿Qué combinaciones de productos están de productos están
comprando comprando mis clientes?mis clientes?
Ventas semanalesVentas semanalesInventarioInventario
ClientesClientesCompetenciaCompetencia
¿Cómo están las¿Cómo están las ventas comparadas ventas comparadas
con el pasado?con el pasado?
¿Cómo debo¿Cómo debo responder a unaresponder a una
acción de unacción de un competidor?competidor?
¿Cual es la tendencia¿Cual es la tendencia del índice de del índice de satisfacción desatisfacción de
los clientes?los clientes?
¿Mi conjunto¿Mi conjunto de productos estáde productos está
adecuado al adecuado al mercado?mercado?
Muchos Datos, Poca Información
Productos, clientes, mercado, riesgo, fraude, tendencias, comportamiento
Datos
JERARQUÍA DE LA INFORMACIÓN
Valores discretos; deben ser correctos y precisos; se requieren en forma masiva;
aislados suelen tener poco valor.
JERARQUÍA DE LA INFORMACIÓN
• Información
• Datos
Conjuntos de datos puestos en relación entre sí, adquieren nuevo
significado y valor operativo en la realidad
JERARQUÍA DE LA INFORMACIÓNJERARQUÍA DE LA INFORMACIÓN
• Conocimiento
• Información
• Datos
Experiencia quesurge del análisis y
síntesis de la información
JERARQUÍA DE LA INFORMACIÓNJERARQUÍA DE LA INFORMACIÓN
• Sabiduría
• Conocimiento
• Información
• Datos
Cénit
JERARQUÍA DE LA INFORMACIÓNJERARQUÍA DE LA INFORMACIÓN
Se puede clasificar de muchas formas diferentes pero para una empresa la importancia que tiene es respecto a quien va dirigida y para quien es útil.
CATEGORIAS DE LA INFORMACION
1. Estratégica • Información estratégica es un instrumento de cambio. • Enfocada a la planeación a largo plazo • Orientada a la alta administración. 2. Táctica • Información de control administrativo • Es un tipo de información compartida. • Tiene una utilidad a corto plazo.3. Operacional • Información rutinaria. • Muestra la operación diaria. • Tiene una utilidad a muy corto plazo.
CATEGORIAS DE LA INFORMACION
DEFINICIÓN DE SEGURIDADSeguridad: Característica de cualquier sistema informático que nos indica que este se encuentra libre de peligro, daño o riesgo. •Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo a nivel de hardware y software, la información almacenada y los resultados obtenidos.
•Para alcanzar la seguridad se utiliza objetos, dispositivos, medidas, normas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso del sistema.
Riesgo: Proximidad o posibilidad de producirse un daño, peligro, etc.Cada uno de los imprevistos, hechos desafortunados, etc.Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.
Vulnerabilidad: Exposición latente a un riesgo. existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado.
Aspectos fundamentales de la seguridadAspectos fundamentales de la seguridad
• Confidencialidad• Integridad• Disponibilidad
(*) El nivel de importancia que se le otorga a los aspectos de seguridad en una aplicación dependen del tipo de sistema informático: Militar, Comercial, Bancario, Gubernamental, Académico, etc.
Confidencialidad La información almacenada en un sistema no
pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados.
El diseño de un sistema informático debe considerar la posibilidad de intentos de acceso no autorizado en el sistema o en alguno de sus componentes.
INTEGRIDAD• La información almacenada en un sistema
informático debe mantenerse integra para que sea confiable para la toma de decisiones.La información del sistema debe ser creada, modificada o eliminada sólo por las personas autorizadas.
DISPONIBILIDAD• Disponibilidad significa que el sistema
informático, tanto HW como SW, se mantienen funcionando eficientemente y son capaces de recuperarse rápidamente en caso de fallo.Un sistema vulnerable de ataques no garantiza estar disponible a sus usuarios en el momento que ellos lo soliciten.
OTROS ASPECTOS RELACIONADOS A LA SEGURIDAD
• Autenticidad• Imposibilidad de rechazo (no-repudio)• Consistencia• Aislamiento• Auditoría
AUTENTICIDAD Permite asegurar el origen de la información. La
identidad del emisor puede ser validada, de modo que se puede demostrar que es quien dice ser. Se debe tratar de evitar que un usuario envíe o consulte información del sistema haciéndose pasar por otro.
La forma mas común de autentificar un usuario es a través de una clave de acceso o contraseña.
IMPOSIBILIDAD DE RECHAZO (NO REPUDIO)• Cualquier entidad que envía o recibe
información, no puede alegar ante terceros que no la envió o la recibió.
• Esta propiedad y la anterior son especialmente importantes en el entorno bancario y en el uso del comercio electrónico.
CONSISTENCIA• Asegura que el sistema se comporta como se
supone que debe hacerlo regularmente con los usuarios autorizados.
• Si el software o el hardware de repente comienzan a comportarse de manera diferente a la esperada, puede originarse un desastre que deberá ser alertado y recuperado.
AISLAMIENTO• Regula el acceso al sistema, impidiendo que
personas no autorizadas entren en él. Este aspecto está relacionado directamente con la confidencialidad, aunque se centra más en el acceso al sistema que a la información que contiene.
AUDITORÍA• Capacidad de determinar qué acciones o
procesos se han llevado a cabo en el sistema, y quién y cuándo las han llevado a cabo.
• La única forma de lograr este objetivo es mantener un registro de las actividades del sistema, y que este registro esté altamente protegido contra modificación.
TRANSMISIÓN DE DATOS La transmisión de datos es el intercambio de
datos entre dos dispositivos a través de algún medio de transmisión.
En una comunicación existe un flujo de información desde un origen hacia un destino.
Mayor detalle: Sesión 11-Seguridad de Red y Telecomunicaciones
Tendencia humana a que todas las actividades se Tendencia humana a que todas las actividades se digitalicen.digitalicen.
ATAQUES
Un ataque es un evento, exitoso o no, que atenta sobre el buen funcionamiento de un sistema informático.
Ataque de SoftwareAtaque de Software Su objetivo es atacar una aplicación, un sistema Su objetivo es atacar una aplicación, un sistema
operativo, o un protocolo, con el fin de ganar acceso operativo, o un protocolo, con el fin de ganar acceso a un sistema o red. Los distintos tipos son usados por a un sistema o red. Los distintos tipos son usados por separado o en combinación con otros.separado o en combinación con otros.
Ataque de HardwareAtaque de Hardware
Su objetivo es atacar el hardware de la Su objetivo es atacar el hardware de la victima, a través de penetraciones físicas.victima, a través de penetraciones físicas.
• Los ataques se pueden clasificar en:- Interrupción- Intercepción- Modificación- Fabricación
Interrupción• La información del sistema es destruida o llega a ser inutilizable. • Este ataque atenta contra la disponibilidad.Ejem: Destrucción de una pieza de HW, cortarlos medios de comunicación o deshabilitar los sistemas.
INTERRUPCIÓN
INTERCEPCIÓN
• Es cuando una entidad no autorizada consigue acceso a un recurso de nuestro sistema informático.
• Refiere una participación sin autorización por parte de una persona, computadora o programa en una comunicación.
• Este ataque atenta contra la confidencialidad.
INTERCEPCIÓN
MODIFICACIÓN
• Una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo y alterarlo.
• Este es un ataque contra la integridad.
MODIFICACIÓN
Nuevo_Presupuesto.xls
FABRICACIÓN
• Una entidad no autorizada inserta objetos falsificados en el sistema.
• Este es un ataque contra la autenticidad.
FABRICACIÓN
DISPOSITIVOS PARA ACCEDER A INTERNET
89
PDA – PERSONAL DIGITAL ASSISTANT
TELÉFONOS CELULARES
COMPUTADORA PERSONAL
PROBLEMÁTICA ACTUAL
Problemática actual• Intercepción de información.• Suplantación de identidad.• Envío de emails falsos.• Phishing.• Troyanos.• Exploits.• Corrupción – Accesos a sitios con contenidos
prohibitivos.
INTERCEPCIÓN DE INFORMACIÓN Haciendo uso de un software llamado sniffer, el atacante
copia a su computadora la información que es enviada a través de la red por los diferentes dispositivos.
Un packet sniffer es un programa de captura de las tramas de red. Generalmente se usa para monitorizar y analizar el tráfico en una red de computadoras, detectando los cuellos de botella y problemas que existan, aunque también es utilizado para interceptar, lícitamente o no, los datos que son transmitidos en la red. Destacan por su importancia los siguientes sniffers: TCPDUMP , DARKSTAT Y TRAFFIC-VIS, NGREP, SNORT, NWATCH, ETHEREAL, ETTERCAP y KISMET
SUPLANTACIÓN DE IDENTIDAD• Consiste en acceder a un sistema informático
de manera regular, pero haciéndose pasar por otro usuario autorizado.
• Usualmente se emplea para obtener información confidencial del usuario o del sistema. Es difícil de detectar si es que no se realizan modificaciones importantes en la data, que sean fácilmente identificables.
ENVÍO DE E-MAILS FALSOS
• El atacante envía correos electrónicos haciéndose pasar por diferentes personas. Se trata de suplantar la identidad del remitente para lograr algún fin específico.
PHISHING (PESCANDO) Adquirir información confidencial de forma
fraudulenta, como puede ser una contraseña o información detallada sobre datos personales, tarjetas de crédito, contraseñas, u otra información bancaria.
El estafador, mejor conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea.
TIPOS DE PHISHING BASADO EN EMAILS:1. Correo enviado al cliente simulando ser el negocio legítimo. 2. El correo aparenta ser un correo oficial de la organización a la
cual se hace referencia en el email.3. El mensaje induce al cliente a digitar sus datos personales
mediante una supuesta actualización o ejecución de una transacción.
4. El link lleva al cliente a un sitio Web falso diseñado para parecer el sitio original.
5. La información registrada en ese sitio es transmitida directamente al estafador.
6. El estafador ingresa al sitio Web verdadero para hacer transacciones con los datos del cliente.
POR TELÉFONO:1. El estafador llama a un cliente fingiendo
pertenecer a una entidad financiera. 2. Se le indica al cliente que su cuenta sería
cerrada por problemas técnicos a menos que colabore proporcionando: Número de Cuenta, DNI, contraseña y otros datos valiosos.
3. El estafador luego de tomar los datos, ingresa al sitio Web verdadero para hacer las transacciones con los datos capturados, haciéndose pasar por el cliente.
““PHISHING”PHISHING”MODALIDAD DE HURTO AGRAVADO, CONSISTE EN EL ENVIO MASIVO DE CORREOS ELECTONICOS, SUPUESTAMENTE REMITIDOS POR LAS ENTIDADES BANCARIAS, EN DONDE APARECEN SUS PAGINAS WEB, CON UN “MENSAJE” PARA SUS CLIENTES, COMO QUE ESTAN ACTUALIZANDO LOS DATOS PORQUE SU SISTEMA INFORMATICO HA TENIDO ALGUNAS AVERIAS O FALLAS, O QUE HAN GANADO UN PREMIO, ETC.
CON ESTA INFORMACION SE REALIZAN LAS TRANSFERENCIAS, PAGOS DE SERVICIOS, COMPRAS Y RECARGAS VIRTUALES, A TRAVES DE LA INTERNET.
““PHISHING - CASOS”PHISHING - CASOS”
““PHISHING”PHISHING”
““PHISHING”PHISHING”El link de este correo falso te llevaba a la siguiente página falsa que se hacía pasar por nuestra página de Operaciones en línea:El link de este correo falso te llevaba a la siguiente página falsa que se hacía pasar por nuestra página de Operaciones en línea:
““PHISHING”PHISHING”
Euro Millions Lottery.Hoge Wei 28, 2011 Zaventem,Belgium.Euro Millions are Affiliate of Belgium National (BNL).
Sir/Madam, CONGRATULATIONS: YOU WON 1,000,000.00 EUROS.We are pleased to inform you of the result of Euro Millions, which was heldon the 27th, July 2006. Your e-mail address attached to e-ticket number:05-32-44-45-50 (01-07), with Prize Number (match 3): 106000007 drew a prizeof 1,000,000.00 (One Million Euros). This lucky draw came first in the 2nd Category of the Sweepstake.
Bank: Laagste Heypotheekofferte Bank. N.L. Attention: Dirk Garvin.Karspeldreef 6A, 1101 CJ, Amsterdam, Netherlands.E-mail: [email protected]: +31617 636 209. Fax : (+3184) 735-9610.
Furnish them with the following:(i). your name(s),(ii) Your telephone and fax numbers(iii) Your contact address(iv) Your winning information (including amount won). Congratulations. Yours Faithfully Vjertis Von Adrian (Ms.) CPA. Coordinator: Euro Millions.
Ganador de la Lotería
FROM DENNIS LONGMANAUDITINGMANAGERINTERBANK SERVICES LONDONUNITED KINGDOMDEAR PARTNERI
DR DENNIS LONGMAN, THE AUDITING MANAGER INTERBANK SERVICES LONDON,I AM WRITING THIS LETTER TO ASK FOR YOUR SUPPORT AND COOPERATION TO CARRY OUT THIS BUSINESS OPPORTUNITY IN MY DEPARTMENT.WE DISCOVERED AN ABANDONED SUM OF (FIFTEEN MILLION UNITED STATES DOLLARS ONLY) IN AN ACCOUNT THAT BELONGS TO ONE OF OUR FOREIGN CUSTOMERS WHO DIED ALONG WITH HIS ENTIRE IN AIR CRASH, ALASKA AIRLINE FLIGHT 261 IN 2000.SINCE WE HEARD OF THISDEATH,NOBODY HAS COME FOR ANY CLAIMS AS NOBODY KNEW OF THE ACCOUNT.THE NAME OF OUR LATE CUSTOMER IS MORRIS THOMPSON, HIS WIFE'S NAME THELMAN THOMPSON, DAUGHTER'S NAME SHERYL THOMPSON,THE OWNER OF DOYON LTD, IN ALASKA.http://www.cnn.com/2000/US/02/01/alaska.airlines.list/http://www.nativefederation.org/history/people/mThompson.htmWE HAVE BEEN EXPECTING HIS NEXT OF KIN TO COME OVER AND FILE FOR CLAIMS FOR HIS MONEY AS THE HEIR, BECAUSE WE CANNOT RELEASE THE FUNDS FROM HIS ACCOUNT UNLESS SOMEONE APPLIES FOR CLAIM AS THE NEXT OF KIN TO THE DECEASED AS INDICATED IN OUR BANKING GUIDELINES AND THAT IS THE REASON WHY I HAVE CONTARTED YOU TO ACT AS THE NEXT OF KINTO COMMENCE THIS TRANSACTION, WE REQUIRE YOU TO IMMEDIATELY INDICATE YOUR INTEREST BY A RETURN E-MAIL AND ENCLOSE YOUR PRIVATE CONTACT TELEPHONE NUMBER, FAX NUMBER FULL NAME AND ADDRESS AND YOUR DESIGNATEDBANK COORDINATES TO ENABLE US FILE LETTER OF CLAIM TO THE APPROPRIATE DEPARTMENT FOR NECCESSARY APPROVALS BEFORE THE TRANSFER CAN BE MADE.I LOOK FORWARD TO RECEIVING YOUR PROMPT RESPONSE.REGARDSDR DENNIS LONGMAN---- Msg sent via email-me.cc - http://www.email-me.cc
Dinero Abandonado
Dear Western Union Client :
We are encountered some tehnical errors in our database, Please update your profile .
You can access your profile at https://wumt.westernunion.com/asp/regLogin.asp/.
This process is mandatory, and if not completed within the nearest time your account
may be subject for temporary suspension.
For help please contact Western Union Customer Service immediately by
email at [email protected] or call us at 1-877-989-3268 .
Thank you for using westernunio
Cuenta en Western Union
Dear Bank of America Client :
We are encountered some tehnical errors in our database, Please update your profile .
You can access your profile at https://www.bankofamerica.com
This process is mandatory, and if not completed within the nearest time your account
may be subject for temporary suspension.
For help please contact Bank of America Customer Service immediately by
email at [email protected] or call us at 1-800-552-7302 .
Thank you for using bankofamerica.com!-----------------------------------------------------------------------------
Cuenta Bancaria
MEDIDAS DE SEGURIDAD CONTRA EL PHISHING:
Verificar la fuente de la información. Escribir la dirección en su navegador de Internet. Reforzar su seguridad (descarga de actualizaciones de
seguridad del fabricante de su Sistema Operativo). Comprobar que la página web en la que ha entrado es
una dirección segura. Hacer doble clic sobre el candado de Zona Segura
para tener acceso al certificado digital que confirma que la web corresponde a la que está visitando.
Revisar periódicamente sus cuentas y cambiar las contraseñas.
HURTO AGRAVADOHURTO AGRAVADO
MODALIDADES-A TRAVES DEL INTERNET
* PHISHING* PHARMING O TROYANO
-“CLONACION” DE TARJETAS BANCARIAS
-“CAMBIAZO”
-USO INDEBIDO DE TARJETAS BANCARIAS
Malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, tipo de sw que tiene como objetivo infiltrarse o dañar una pc sin el consentimiento de su propietario.
El término es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto.
El sw se considera malware en función de los efectos que, pensados por el creador, provoque en un computador. El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables.
Malware
• Los Malware son mas complejos• Variantes más rápidas• Diseñados para atacar vulnerabilidades en:
- S.O. específicos- Programas específicos- Redes especificas
• Ataques dirigidos• Ganancia Financiera
Malware
QuickTime™ and aTIFF (Uncompressed) decompressorare needed to see this picture.$ ¥
£
€
Malware• Inicialmente- Diversión
- Demostrar capacidades técnicas- Notoriedad- Fama
• Hoy - GANANCIAS
Como hacen dinero?• Spyware• SPAM• Phishing• Robando información financiera• Robando datos sensitivos• Sirviendo como hosts de phishing• Centros de control Bot• Ataques distribuidos
Malware
El siglo que vivimos peligrosamente
• 2000: Love• 2001: Klez• 2001: Code Red• 2003: SQL Slammer• 2003: Blaster• 2004: Sasser• 2004: Netsky-A, Netsky-B, …. Netsky-
*• 2005: Kamasutra• 2007: Incontables..................• 2008 y 2009 …….
Malware
Malware
• Spam: – Es un fin: Venta– Es un medio:
• Para infectar máquinas con troyanos adjuntos• Para inducir a visitar páginas de ataque
• Troyanos:– Es un fin: Controlar la máquina– Es un medio:
• Para hacer phishing• Para enviar más spam• Para reclutar zombies para botnets
Malware
Soluciones Antivirus
Malware
Soluciones - Defensa en profundidad
• Políticas de seguridad• Protección en el perímetro• Protección en los servidores• Protección en los desktops• Mínimo privilegio posible• Mínimo punto de exposición
Malware
Anti-Spyware
Anti-Virus
FirewallAnti-Spam
El malware de hoy en día necesita de una solución integrada:
Soluciones - Defensa en profundidad
Malware
Códigos Maliciosos:1. Los atacantes infectan las computadoras de los clientes con
un código malicioso (troyano o Key Logger). 2. Estos programas se instalan automáticamente, sin que el
cliente lo sepa, al ingresar a determinados sitios Web o luego de haber hecho click en el adjunto de un e-mail que contiene este programa.
3. Cuando el cliente visita el sitio Web de la organización, el código se activa y almacena la información digitada por el cliente en el servidor (es) del hacker.
4. El estafador ingresa al sitio Web verdadero para hacer transacciones con los datos capturados del cliente.
Pharming:1. Entra dentro de la categoría de códigos maliciosos. 2. Se diferencia de los demás por que cuando se activa
redirige al usuario hacia el sitio Web falso del hacker a pesar de digitarse la dirección de la página en el browser.
3. Si una empresa que accede a Internet a través de un mismo servidor (proxy) tiene una máquina infectada puede dirigir masivamente a todos sus usuarios a sitios web falsos.
““PHARMING O TROYANO”PHARMING O TROYANO”•ENVÍO DE CORREO MASIVO, INVITANDO A LOS USUARIOS DE CORREO, DESCARGAR UN ARCHIVO EN SU COMPUTADORA, EL MISMO QUE LE VA A PERMITIR ACELERAR SU NAVEGADOR; TAMBIEN SUPUESTAMENTE LOS MEDIOS DE COMUNICACION DE PRESTIGIO LE ENVIAN NOTICIAS, PRIMICIAS O ALGUNA INFORMACION QUE LLAME MUCHO LA ATENCION.
•ESTE ARCHIVO QUE CONTIENE OCULTO UN “TROYANO” VA A MODIFICAR EL ARCHIVO HOST, O VA A CREAR CARPETAS QUE CONTIENEN ARCHIVOS CON LAS PAGINAS WEB CLONADAS DE LOS BANCOS, PARA QUE CUANDO LA VÍCTIMA ESCRIBA EN LA BARRA DE DIRECCIONES DEL EXPLORADOR LA DIRECCIÓN WEB DE SU BANCO, ESTE AUTOMÁTICAMENTE ES REDIRECCIONADO A DICHA PÁGINA WEB CLONADA.-
““PHARMING O TROYANO”PHARMING O TROYANO”
•EN ESTA PÁGINA WEB FALSA SE SOLICITA A LOS USUARIOS INGRESAR SU INFORMACIÓN CONFIDENCIAL LA CUAL VA A PARAR A UN CORREO, B.D. O SERVIDOR VIRTUAL.
•ES CON ESTA INFORMACION QUE SE PRODUCEN LAS TRANSFERENCIAS, COMPRAS, RECARGAS VIRTUALES O PAGO DE SERVICIOS, A TRAVES DE LA INTERNET.
•POR CONSIGUIENTE AFECTAN LAS CUENTAS BANCARIAS DE LOS CLIENTES DE LOS DIFERENTES BANCOS, NO SOLAMENTE DEL PAIS SINO TAMBIEN DEL EXTRANJERO.
•EN ESTA PÁGINA WEB FALSA SE SOLICITA A LOS USUARIOS INGRESAR SU INFORMACIÓN CONFIDENCIAL LA CUAL VA A PARAR A UN CORREO, B.D. O SERVIDOR VIRTUAL.
•ES CON ESTA INFORMACION QUE SE PRODUCEN LAS TRANSFERENCIAS, COMPRAS, RECARGAS VIRTUALES O PAGO DE SERVICIOS, A TRAVES DE LA INTERNET.
•POR CONSIGUIENTE AFECTAN LAS CUENTAS BANCARIAS DE LOS CLIENTES DE LOS DIFERENTES BANCOS, NO SOLAMENTE DEL PAIS SINO TAMBIEN DEL EXTRANJERO.
"LA CANTANTE SHAKIRA, AL BORDE DE LA MUERTE" "URGENTE: IMPLEMENTE SU SEGURIDAD, EVITE SER ESTAFADO" "ABSOLVIERON A ALBERTO FUJIMORI""PRIMERA DAMA SUFRE INFARTO CEREBRAL""SHAKIRA Y CARLOS VIVES ALBOROTAN LETICIA""RISAS Y MIRADAS (VIDEO DEL EX PRESIDENTE ALBERTO FUJIMORI Y VLADIMIRO MONTESINOS""RICKY MARTIN SE SUICIDA""FALLECIÓ FAMOSO CANTANTE GIANMARCO""VIDEO INDRID BETACOURT"“CHILE DECLARA LA GUERRA AL PERU”“MAGALY MEDINA SUFRE ATENTADO EN CARCEL”“TONGO EN ESTADO DE COMA”“SE SUICIDA EL PUMA CARRANZA Y MATA A UNA DE SUS HIJAS”“FOQUITA FARFAN AL BORDE DE LA MUERTE”
““PHARMING O TROYANO - CASOS”PHARMING O TROYANO - CASOS”
COMANDANTE PNP Andrés ASTETE VARGAS
COMANDANTE PNP Andrés ASTETE VARGAS
TROYANOS Se denomina troyano (Caballo de Troya o Troyan
Horse) a un programa malicioso capaz de alojarse en un computador o dispositivo y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona.
Un troyano no es en sí un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal.
La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua.
Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo.
Suele ser un programa alojado dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene.
Una vez instalado parece realizar una función útil (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti troyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos.
132
• Habitualmente se utiliza para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legítimo de la computadora hace (en este caso el troyano es un spyware o programa espía) y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas (cuando un troyano hace esto se le cataloga de keylogger) u otra información sensible.
• La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado; es recomendable también instalar algún software anti troyano.
• Otra solución bastante eficaz contra los troyanos es tener instalado un firewall. Otra manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en busca de elementos extraños, vigilar accesos a disco innecesarios, etc.
Lo peor de todo es que últimamente los troyanos están siendo diseñados de tal manera que, es imposible poder detectarlos excepto por programas que a su vez contienen otro tipo de troyano.
Inclusive existen troyanos dentro de los programas comerciales, para poder saber cual es el tipo de uso que se les da y poder sacar mejores herramientas al mercado llamados también "troyanos sociales"
EXPLOITS Exploit (del inglés to exploit: explotar o aprovechar) es un
programa informático malicioso, o parte de un programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa (llamados bugs).
El fin puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente se trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros.
Un "exploit" es usado normalmente para explotar una vulnerabilidad en un sistema y acceder a él, lo que es llamado como "rootear". También lo llaman oportunista.
Es el arte o ciencia de cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes de manera que sólo puedan ser leídos por las personas a quienes van dirigidos.
CriptografíaCriptografía
Certificado digitalCertificado digital
Un Certificado Digital es un documento digital emitido por una Autoridad de Certificación o Autoridad Certificante (AC o CA por sus siglas en inglés Certification Authority) que garantiza la vinculación entre la identidad de un sujeto o entidad.
http://www.verisign.com/
http://www.thawte.com/
http://www.positivessl.com/
http://www.digicert.com/
¿Cómo identifico un sitio seguro?
https://mi.ing.udep.edu.pe
¿Cómo ¿Cómo identificoidentifico un sitio seguro? un sitio seguro?
¿Cómo identifico un sitio seguro?
¿Cómo identifico un certificado no válido?
Certificados inválidos
SEGURIDAD DE AUTENTIFICACIÓN
La autentificación consiste en identificarse como un usuario autorizado de una aplicación, demostrando que la persona que está accediendo al sistema es quien dice seres quien dice ser.
La manera más común de autentificarse en una aplicación Web consiste en ingresar un nombre ingresar un nombre de usuario y una contraseñade usuario y una contraseña privada y secreta.
Ahora ya no se trata de determinar solamente que el usuario es quien dice ser, sino que además se se trata de una persona trata de una persona (un ser humano), y no de una aplicación maliciosaaplicación maliciosa que intenta acceder a nuestro sistema.
Una forma para garantizar que quién accede a nuestra aplicación es una persona real, consiste en incluir en las ventanas de acceso, elementos incluir en las ventanas de acceso, elementos que sólo podrán ser identificados por una que sólo podrán ser identificados por una persona, a través de sus sentidospersona, a través de sus sentidos.
Protección contra accesos no autorizadosProtección contra accesos no autorizadosLo mas importante con respecto al control de
accesos es concientizar a los usuarios de la concientizar a los usuarios de la importancia de mantener en estricta reserva los importancia de mantener en estricta reserva los nombres de usuario y las contraseñasnombres de usuario y las contraseñas utilizadas para acceder a una aplicación Web.
Nunca deben revelarse las contraseñas Nunca deben revelarse las contraseñas a otra persona, a través de otra aplicación Web, o respondiendo un correo electrónico.
Por seguridad, ninguna aplicación Web real ninguna aplicación Web real solicita ingresar la contraseña personalsolicita ingresar la contraseña personal en una ventana distinta a la de acceso al sistema.
Contraseñas - SolucionesContraseñas - Soluciones1. Ticket de ingreso: Consiste en proveer un ticket a cada
inicio de sesión, de modo que el usuario deberá ingresar el código de ticket (letras y/o números) luego de oír o leer su contenido. De esta manera, se evita que un programa malicioso suplante la identidad de un usuario y envíe repetitivamente los parámetros solicitados (nombre de usuario y contraseña), generando contraseñas aleatoriamente, intentando iniciar una sesión de manera fraudulenta.La forma común de mostrar un ticket es generando una cadena random de caracteres y luego transformarla en una imagen, la cual será mostrada en el formulario de ingreso al sistema.
El usuario visualiza o escucha el contenido de la imagen mostrada e ingresa este código en el campo solicitado en el formulario de registro.Antes de validar el nombre de usuario y la contraseña, la aplicación verificará que el código ingresado coincide con el código que mostró en el formulario.Debido a que hay algoritmos que realizan la terea contraria, generando la cadena de caracteres a partir de una imagen, la manera mas usual de presentar estas imágenes en los formularios es distorsionándolas para que sea más difícil descifrarlas por alguna aplicación.
Formulario con ticket en imagen regular
Formulario con ticket en imagen distorsionada y opción para escuchar el contenido del ticket
Formulario de inicio de sesión en una cuenta de gmail con muchos intentos de acceso no exitosos.
La aplicación lleva un contador de los intentos fallidos sucesivos para una misma cuenta. En un inicio no aparece la imagen del
ticket.Recién la presenta en el formulario cuando se supera el número
límite de accesos fallidos.
Otra manera de cuidar la seguridad en una aplicación web es indicándole al usuario el nivel de seguridad de la contraseña elegida.
Las maneras mas utilizadas para restablecer una contraseña requieren una cuenta de correo electrónico secundaria, a la cual enviarán la nueva contraseña; o el registro de una pregunta y una respuesta secreta.
La manera mas segura para evitar los troyanos y los keyloggers es insertando un teclado numérico dinámico en el formulario para que no se conozcan las teclas pulsadas.Al hacer que los números cambien de posición se evita que se pueda deducir una clave en función a la zona de la pantalla en la que se hace click.
Cuando se acceda a una aplicación web desde un computador inseguro, deberán revisar que no tenga un programa keylogger ejecutándose.Teclear las contraseñas con el teclado en pantalla que nos presentan como opción los sistemas operativos es la mejor manera de evitar que conozcan nuestras contraseñas.
Es por la existencia de un número importante de amenazas y riesgos, que la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo.
Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización del respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos.
Identificar y seleccionar lo que se debe proteger (información sensible).
Establecer niveles de prioridad e importancia sobre esta información.
Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la pérdida de datos sensibles .
Identificar las amenazas, así como los niveles de vulnerabilidad de la red. Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un ataque y perderla.
Implementar respuesta a incidentes y recuperación para disminuir el impacto.
Pasos de las políticas de seguridad:
SEGURIDAD DE LA INFORMACION
Importancia de la informaciónCuando se habla de la función informática generalmente se tiende a hablar de tecnología nueva, de nuevas aplicaciones, nuevos dispositivos de hardware, nuevas formas de elaborar información más consistente, etc.Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace posible la existencia de los anteriores elementos. Esta base es la información.Es muy importante conocer su significado dentro la función informática, de forma esencial cuando su manejo esta basado en tecnología moderna, para esto se debe conocer que la información: Esta almacenada y procesada en computadoras. Puede ser confidencial para algunas personas o a escala institucional. Puede ser mal utilizada o divulgada. Puede estar sujeta a robos, sabotaje o fraudes.Los primeros puntos nos muestran que la información esta centralizada y que puede tener un alto valor y los últimos puntos nos muestran que se puede provocar la destrucción total o parcial de la información, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo.
Pensemos por un momento que pasaría si se sufre un accidente en el centro de computo o el lugar donde se almacena la información.
Ahora preguntémonos: ¿Cuánto tiempo pasaría para que la organización este nuevamente en operación?Es necesario tener presente que el lugar donde se centraliza la información con frecuencia el centro de cómputo puede ser el activo más valioso y al mismo tiempo el más vulnerable.
Delitos accidentales e incidentalesLos delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad.En la actualidad los delitos cometidos tienen la peculiaridad de ser descubiertos en un95% de forma casual. Podemos citar a los principales delitos hechos por computadorao por medio de computadoras estos son: Fraudes. Falsificación. Venta de información. Entre los hechos criminales más famosos en los E.E.U.U. están:
El caso del Banco Wells Fargo donde se evidencio que la protección de archivos era inadecuada, cuyo error costo US 21.3 millones. El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales. El caso de un muchacho de 15 años que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos. También se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomo el control de una embotelladora de Canadá. También el caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causo una perdida de US 3 millones.
El activo más importante que se posee es la información, y por lo tanto deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.Los objetivos para conseguirlo son: Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). Asegurar que se utilicen los datos, archivos y programas correctos con el procedimiento elegido. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o softwares empleados.
Es muy importante que se conozca los paradigmas que existen en las organizaciones sobre la seguridad, para no encontrarse con un contrincante desconocido. Generalmente se tiene la idea que los procedimientos de auditoría es responsabilidad del personal del centro de computo, pero se debe cambiar este paradigma y conocer que estas son responsabilidades del usuario y del departamento de auditoría interna. También muchas compañías cuentan con dispositivos de seguridad física para los computadores y se tiene la idea que los sistemas no pueden ser violados si no se ingresa al centro de computo, ya que no se considera el uso de terminales ni sistemas remotos. Se piensa también que los casos de seguridad que tratan de seguridad de incendio o robo que "eso no me puede suceder a mí" o "es poco probable que suceda". También se cree que los computadores y los programas son tan complejos que nadie fuera de su organización los va a entender y no les van a servir, ignorando las personas que puedan captar y usarla para otros fines.
Paradigmas sobre la seguridad
Los sistemas de seguridad generalmente no consideran la posibilidad de fraude interno que es cometido por el mismo personal en el desarrollo de sus funciones. Generalmente se piensa que la seguridad por clave de acceso es inviolable pero no se considera a los delincuentes sofisticados. Se suele suponer que los defectos y errores son inevitables. También se cree que se hallan fallas porque nada es perfecto. Y la creencia que la seguridad se aumenta solo con la inspección.
Consideraciones inmediatas para la Seguridad de la Información
Uso de la ComputadoraSe debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: tiempo de máquina para uso ajeno, copia de programas de la organización para fines de comercialización (copia pirata), acceso directo o telefónico a bases de datos con fines fraudulentos.
Sistema de AccesoPara evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: nivel de seguridad de acceso, empleo de las claves de acceso, evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo.
Cantidad y Tipo de InformaciónEl tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que:la información este en manos de algunas personas, la alta dependencia en caso de perdida de datos.
Control de ProgramaciónSe debe tener conocimiento que el delito más común está presente en el momento de la programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:los programas no contengan bombas lógicas, los programas deben contar con fuentes y sus ultimas actualizaciones, los programas deben contar con documentación técnica, operativa y de emergencia.
PersonalSe debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:la dependencia del sistema a nivel operativo y técnico, evaluación del grado de capacitación operativa y técnica, contemplar la cantidad de personas con acceso operativo y administrativo, conocer la capacitación del personal en situaciones de emergencia. Medios de ControlSe debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema.También se debe observar con detalle el sistema ya que podría generar indicadoresque pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.
TEMA: ANALISIS DE SEGURIDAD DE SISTEMAS DE INFORMACION
OBJETIVO DEL TRABAJO: Conocer de cerca y experimentar el análisis de Seguridad en los Sistemas de Información de la empresa donde labora o la institución donde usteddesee evaluar.
ESQUEMA A SEGUIR:Datos Generales de la Organización (Reseña histórica, misión, visión, valores, objetivos Estratégicos, organigrama, Información del Personal, equipos de TI, Infraestructura, entre otros).Análisis de vulnerabilidades de la organización.Conclusiones.Recomendaciones.
FORMA DE PRESENTACION:Trabajo impreso en wordExposición en Power Point
