Reporte 2 de Ivan

Reporte de la Unidad 2
Profe: Ivan Rodrigo Serrano Sosa Grupo: 10 A Equipo: 5 Integrantes: Jos ngel Martnez Salas Marisol Vianney Jurez Sandoval Cristian Almonte Prez Fernando Ramrez Prez Gregorio Snchez Diego
2013
- Reporte de la Unidad 2
Reporte de la Unidad 2
NDICE GENERAL
INTRODUCCIN .............................................................................................................................................................5 ADMINISTRACIN DE LLAVES PBLICAS .....................................................................................................................6 DESCRIPCIN DE LA CRIPTOGRAFA MEDIANTE CLAVES PBLICAS................................................................................................. 6 FUNCIONAMIENTO DE LA CRIPTOGRAFA MEDIANTE CLAVES PBLICAS ......................................................................................... 6 USO CONJUNTO DE LA CRIPTOGRAFA MEDIANTE CLAVES PBLICAS Y LA SEGURIDAD DE LOS MENSAJES ........................................... 7 CRIPTOGRAFA MEDIANTE CLAVES PBLICAS Y FIRMAS DIGITALES ................................................................................................ 7 LLAVES ............................................................................................................................................................................. 10 FUNCIONES HASH DE UN SENTIDO......................................................................................................................................... 10 CRIPTOGRAFA SIMTRICA. .................................................................................................................................................. 10 CRIPTOGRAFA ASIMTRICA. ................................................................................................................................................ 11 FIRMAS DIGITALES. ............................................................................................................................................................ 12 CERTIFICADOS DIGITALES. ................................................................................................................................................... 13 X.509 ........................................................................................................................................................................... 13 MECANISMOS DE SEGURIDAD EN APLICACIONES WEB.............................................................................................. 14 SEGURIDAD EN LA TRANSMISIN ................................................................................................................................ 14 PROTOCOLO SSH ........................................................................................................................................................ 15 COMPONENTES. ............................................................................................................................................................ 15 ARQUITECTURA. ................................................................................................................................................................ 16 Propiedades de seguridad.......................................................................................................................................... 16 PROTOCOLO SSL ......................................................................................................................................................... 16 PROTOCOLO TLS (TRANSPORT LAYER SECURITY) ..................................................................................................... 17 PROTOCOLO HTTPS .................................................................................................................................................... 18 PGP (PRETTY GOOD PRIVACY) .................................................................................................................................... 19 CIFRANDO CON PGP. ................................................................................................................................................. 19 DESCIFRANDO CON PGP. ........................................................................................................................................... 20
INTRODUCCIN A LOS SISTEMAS DE INFORMACIN ................................................................................................ 21 RIESGOS INFORMTICOS ........................................................................................................................................... 27 SEGURIDAD INFORMTICA ................................................................................................................................ 30
PREVENCIN Y RECUPERACIN DE INCIDENTES ....................................................................................................... 32 NIST SP800.................................................................................................................................................................. 45 ISO 17799 ..................................................................................................................................................................... 46
Equipo: 5
LOS CONTROLES DEL ISO 17799 ............................................................................................................................................. 47 PROTOCOLO SSH ........................................................................................................................................................ 49 PROTOCOLO SSL ......................................................................................................................................................... 51
CERTIFICADO SSL .............................................................................................................................................. 52 FUNCIONAMIENTO DE SSL ................................................................................................................................... 53
SSL HANDSHAKE ......................................................................................................................................................... 54 CONFIGURACIN DEL PROTOCOLO SSL EN REDES VIRTUALES Y EN EL EXPLORADOR. ........................................... 56 HABILITAR SSL ................................................................................................................................................... 56 PARA ASIGNAR UN CERTIFICADO DE SERVIDOR SSL A UN SITIO WEB .............................................................. 57 INSTALAR EL CERTIFICADO DE ENTIDAD EMISORA (CA) ................................................................................... 57 CMO HABILITAR COOKIES Y SSL EN EL NAVEGADOR ...................................................................................... 58
CONCLUSIN .............................................................................................................................................................. 63 BIBLIOGRAFA .............................................................................................................................................................. 64
Equipo: 5
NDICE DE ILUSTRACIONES
ILUSTRACIN 1. MUESTRA LA SECUENCIA DE FIRMA, CON LA INCORPORACIN DE LOS ELEMENTOS AUXILIARES DE LA CRIPTOGRAFA MEDIANTE CLAVES PBLICAS............................................................................................................................................................... 9 ILUSTRACIN 2. MUESTRA LA SECUENCIA DE COMPROBACIN, CON LA INCORPORACIN DE LOS ELEMENTOS AUXILIARES DE LA CRIPTOGRAFA MEDIANTE CLAVES PBLICAS. ............................................................................................................................................... 9 ILUSTRACIN 2. ILUSTRA EL ESQUEMA DE CIFRADO UTILIZANDO CRIPTOGRAFA SIMTRICA, TENIENDO UNA SOLA LLAVE TANTO PARA CIFRAR COMO PARA DESCIFRAR. ....................................................................................................................................... 11 ILUSTRACIN 3. ILUSTRA EL USO DE LA CRIPTOGRAFA ASIMTRICA. .............................................................................................. 12 ILUSTRACIN 4. ILUSTRA EL PROCEDIMIENTO PARA FIRMAR DIGITALMENTE UN DOCUMENTO. .......................................................... 12 ILUSTRACIN 5 REPRESENTACIN DE UN CERTIFICADO DIGITAL X.509.......................................................................................... 14 ILUSTRACIN 6 ILUSTRA EL PROCESO DE CIFRADO UTILIZANDO PGP. ............................................................................................ 20 ILUSTRACIN 7 ILUSTRA EL PROCESO DE DESCIFRADO CON PGP. .................................................................................................. 20 ILUSTRACIN 3. ENTIDADES QUE SUPONEN DE "SOFTWARE" DE SEGURIDAD ....................................................................................... 40 ILUSTRACIN 4. CD-R .............................................................................................................................................................. 43 ILUSTRACIN 5. DVD-ROM...................................................................................................................................................... 43 ILUSTRACIN 6. DVD-RAM ...................................................................................................................................................... 44 ILUSTRACIN 7. PC-CARDS ........................................................................................................................................................ 44 ILUSTRACIN 8. USB................................................................................................................................................................ 45 ILUSTRACIN 9. UNIDADES DE ZIP ............................................................................................................................................... 45 ILUSTRACIN 10. MUESTRA DE CERTIFICADO SSL EN LOS EXPLORADORES. ......................................................................................... 52 ILUSTRACIN 11. EJEMPLO DEL PROTOCOLO SSL. .......................................................................................................................... 53 ILUSTRACIN 12. FUNCIONAMIENTO DEL PROTOCOLO SSL. ............................................................................................................. 53 ILUSTRACIN 13. EJEMPLO DE SSL 2.0 ........................................................................................................................................ 54 ILUSTRACIN 14. COMUNICACIN ENTRE EL CLIENTE Y EL SERVIDOR USANDO SSL HANDSHAKE. .......................................................... 55
Equipo: 5
INTRODUCCIN
El presente documento muestra la informacin como la administracin de la informacin en la que destaca la administracin de llaves pblicas, mecanismos y relevancia de la administracin de llaves pblicas en un canal de comunicacin seguro y como una entidad certificadora con base el estndar x.509 para lo que son las llaves pblicas, tambin se va a abordar temas relacionados con la administracin de riesgos y continuidad de actividades de los cuales se describen los componentes de una administracin de riesgos de la administracin de la informacin como tambin se presentara una matriz de riesgos aplicada a la seguridad de la informacin el cual est en una plantilla de IEEE830 en cual se mostrara como un anexo de la misma, como consiguiente se presentara informacin relacionada con la prevencin y recuperacin de accidentes en el cual se explican los planes de contingencia y procedimientos de recuperacin, as como la proteccin de sistemas operativos en cual se identificaran los elementos de seguridad de un sistema operativos de acuerdo al servicio este ofrece y como consiguiente se explica y como se implementa SSH (Secure Shell) y SNMP, y por ltimo se explicara los que es el protocolo SSL (Secure Socket Layer) , sus funciones como por igual se explica cmo se hace la comunicacin entre el cliente y el servidor usando el protocolo ssl handshake y para terminar se ver cual es la forma correcta de configura este protocolo en lo que son los exploradores y en redes virtuales.
Equipo: 5
ADMINISTRACIN DE LLAVES PBLICAS
Descripcin de la criptografa mediante claves pblicas
La criptografa es el estudio de la proteccin de informacin mediante el uso de cdigos y claves. La criptografa constituye una parte fundamental de la seguridad de los mensajes. En su definicin ms sencilla, un cdigo es un proceso de cambio metdico de informacin para hacerla ilegible si no se sabe cmo se cambi dicha informacin. Uno de los cdigos ms antiguos y ms sencillos (denominado clave Csar) consista en tomar las letras del alfabeto y desplazar todas las letras un nmero fijo. Tanto el remitente como el destinatario sabran cuntas letras haba que desplazar el alfabeto y, por tanto, podran utilizar este cdigo para modificar informacin de manera que slo ellos pudieran entenderla. Este proceso de cambiar informacin en un cdigo es el cifrado, y el proceso de volver a cambiar el cdigo es el descifrado. El mensaje original se denomina "texto no cifrado". El mensaje modificado se denomina "texto cifrado". La informacin que se utiliza para convertir el texto no cifrado en texto cifrado se conoce como clave. La forma concreta en que una clave cambia la informacin se denomina algoritmo. Por ejemplo, si un remitente desea cifrar un mensaje con este mtodo, sabe que la clave cambiar cada instancia de la letra A del texto no cifrado por la letra D en el texto cifrado; cada instancia de la letra B del texto no cifrado se cambiar a la letra E en el texto cifrado y as sucesivamente. Con esta clave, que tiene un algoritmo de "desplazar las letras hacia adelante tres posiciones", la palabra "clave" del texto no cifrado se cifrara como "fodyh". Cuando el destinatario recibe el mensaje en texto cifrado, lo vuelve a transformar en texto no cifrado utilizando la clave para descifrar la informacin; en este caso, desplazando las letras hacia atrs tres posiciones e invirtiendo el cambio. En este ejemplo, tanto el remitente como el destinatario deben mantener la clave en secreto, ya que cualquiera que conozca la clave puede utilizarla para descifrar y leer el mensaje. Una clave perdida hace que el cifrado sea intil. Adems, el nivel del algoritmo es importante. Un tercero no autorizado puede tomar el texto cifrado e intentar descifrarlo determinando la clave a partir del texto cifrado.
Observe que tanto el remitente como el destinatario utilizan la misma clave. Este tipo de cifrado se denomina cifrado de "clave simtrica", ya que ambas partes utilizan la misma clave. Aunque se trata de un ejemplo sencillo, ilustra la funcionalidad y los conceptos bsicos de la criptografa. Recientemente se han hecho grandes mejoras y avances en la criptografa. (Exchange, 2005).
Funcionamiento de la criptografa mediante claves pblicas

En 1976, Whitfield Diffe y Martin Hellman crearon la criptografa mediante claves pblicas. La criptografa mediante claves pblicas representa una gran innovacin ya que altera fundamentalmente el proceso de cifrado y descifrado.
Equipo: 5
En lugar de una nica clave secreta compartida, Diffe y Hellman propusieron el uso de dos claves. Una clave, denominada la "clave privada" sigue siendo secreta. En lugar de compartirse entre las partes, slo la conoce una parte. La segunda clave, llamada "clave pblica", no es secreta y se puede compartir. Estas dos claves, o "par de claves" como se conocen, se utilizan conjuntamente en las operaciones de cifrado y descifrado. El par de claves tiene una relacin especial recproca de forma que cada clave slo puede utilizarse junto con la otra clave del par. Esta relacin vincula las claves del par de manera exclusiva una con otra: una clave pblica y su correspondiente clave privada estn emparejadas y no estn relacionadas de ninguna manera con otras claves.
Uso conjunto de la criptografa mediante claves pblicas y la seguridad de los mensajes

La criptografa mediante claves pblicas es un elemento fundamental de la seguridad de los mensajes. Sin la criptografa mediante claves pblicas seguramente no habra soluciones prcticas para la seguridad de los mensajes, ya que antes de que existiera la criptografa mediante claves pblicas la administracin de claves era una tarea tediosa. Una vez comprendidos los conceptos bsicos de la criptografa mediante claves pblicas, el siguiente paso consiste en aprender cmo funcionan esos conceptos para hacer posible la seguridad de los mensajes.
Criptografa mediante claves pblicas y firmas digitales

El ncleo de las firmas digitales es la posibilidad de identificar de manera nica al remitente de un mensaje. La naturaleza recproca de la relacin del par de claves hace posible esta identificacin nica gracias a la criptografa mediante claves pblicas. Como la clave privada de un par de claves slo pertenece a una parte, siempre que se ve que se ha utilizado la clave privada se puede concluir que slo el propietario de la clave la ha utilizado. De este modo, el uso de la clave privada es como una firma en un papel, ya que slo el propietario de una firma puede hacerla realmente. La firma en papel confirma la presencia de su propietario, del mismo modo que el uso de la clave privada confirma la presencia de su propietario. Si un par de claves se utiliza correctamente en una operacin de cifrado y descifrado, la clave privada del par debe haberse utilizado para una parte de la operacin. Puesto que una clave pblica slo est vinculada a una clave privada, la clave pblica correspondiente puede utilizarse para identificar su clave privada relacionada y slo ella. Si una determinada clave pblica se utiliza correctamente en una operacin de cifrado y descifrado, se puede inferir que la clave privada correspondiente se ha utilizado para una parte de la operacin. Como slo el propietario de la clave puede utilizar la clave privada, esto significa que slo el propietario de la clave puede haber realizado parte de la operacin de cifrado y descifrado. El uso de una clave privada para establecer la identidad indica que toda la operacin de cifrado y descifrado se realiz correctamente. Mostrar toda una operacin entera significa que el texto no cifrado se habra cifrado para obtener texto cifrado mediante una clave privada y, a continuacin, se habra descifrado para obtener texto no cifrado mediante la correspondiente clave pblica. Si esta operacin se realiza correctamente, se demuestra el uso de la clave privada, y slo de la clave privada. Para mostrar una operacin correcta de cifrado y descifrado, el texto no cifrado existente antes de las operaciones de cifrado y descifrado debe coincidir con el texto no cifrado que se obtiene despus de la
Equipo: 5
operacin de cifrado y descifrado. Ambos conjuntos de texto no cifrado deben compararse directamente y coincidir en su totalidad. Debe existir un control que se utilice para la comparacin y la validacin. En el correo electrnico, este control es el mensaje real. Como el mensaje est disponible tanto para el remitente como para el destinatario, es un elemento de control cmodo. Para poder utilizarse en esta operacin de comparacin, el mensaje se convierte en un "hash", que es una representacin numrica del texto completo. Un texto idntico de los mensajes producir valores de hash idnticos. Al tomar el valor de hash del mensaje y combinarlo con la clave privada en el momento del envo, el propietario de la clave privada demuestra que es quien realmente enva el mensaje. Para combinar el mensaje con la clave privada se cifra el valor de hash con la clave privada del remitente, lo que crea la firma digital real. Dependiendo de cmo se haya configurado el sistema de correo electrnico del remitente, la firma digital se anexa al final del mensaje, creando un mensaje con "firma clara", o el resultado se combina con el mensaje original en un dato adjunto binario, creando un mensaje con "firma opaca". (Exchange, 2005). Como la firma digital se agrega al mensaje original como datos adjuntos, los clientes de correo electrnico que no son compatibles con S/MIME pueden leer los mensajes con firma clara. En los clientes que no son S/MIME se descarta la firma y se muestra el mensaje original. Sin embargo, no hay ninguna forma de comprobar el mensaje; esencialmente es lo mismo que un mensaje sin firmar. La desventaja de los mensajes con firma clara es que hay mayores posibilidades de que las puertas de enlace de correo que intervienen alteren el mensaje y, por tanto, invaliden la firma. Por el contrario, como el mensaje y la firma digital se tratan como un nico dato adjunto binario en los mensajes con firma opaca, es mucho menos probable que se alteren mientras estn en trnsito. Sin embargo, slo un cliente S/MIME puede leer los datos adjuntos. Si un cliente que no es S/MIME recibe un mensaje con firma opaca, el mensaje ser ilegible. Los mensajes con firma opaca se crearon en parte para resolver el problema de los sistemas de correo electrnico que alteraban los cuerpos de los mensajes mientras estaban en trnsito. Es preciso destacar aqu que las soluciones actuales de correo electrnico que cumplen los estndares S/MIME no alteran el cuerpo de los mensajes. Sin embargo, hay muchos clientes que no pueden leer mensajes de correo electrnico con firma opaca. Por tanto, se recomienda enviar mensajes con firma clara. Cuando se recibe el mensaje, se puede recuperar la firma digital y aplicar la clave pblica del remitente en una operacin de descifrado, lo que produce el valor de hash original del mensaje. Entonces se puede comparar este valor de hash con el valor de hash del mensaje recibido. Como slo una clave privada puede corresponderse a una clave pblica y slo el propietario de la clave pblica puede utilizarla para cifrar el valor de hash correctamente, el descifrado del hash mediante la clave pblica demuestra que el propietario de la clave privada cifr el valor de hash. Como el valor de hash es una representacin numrica del texto del mensaje, si el valor de hash cifrado coincide con el valor de hash del mensaje recibido, indica que el texto del mensaje que se envi coincide con el texto recibido. Cuando se une el hecho de que slo el propietario de la clave privada pudo haber enviado el mensaje, el resultado es que el destinatario tiene la seguridad de que slo el propietario de la clave envi el mensaje, lo que proporciona autenticacin y, en consecuencia, no rechazo. Tambin indica que el mensaje no ha cambiado, lo que ofrece integridad de los datos. Si los valores de hash no coincidieran, el destinatario sabra que el mensaje habra sido alterado mientras estaba en trnsito o que la clave pblica utilizada no coincide con
Equipo: 5
la clave privada. En ambos casos, el destinatario sabe que el mensaje no es vlido y que no debe confiar en l. As se puede ver la forma en que la criptografa mediante claves pblicas ofrece los servicios de seguridad que componen las firmas digitales.
Ilustracin 1. Muestra la secuencia de firma, con la incorporacin de los elementos auxiliares de la criptografa mediante claves pblicas.
1. 2. 3. 4. 5. 6.
Se captura el mensaje. Se calcula el valor de hash del mensaje. Se recupera la clave privada del remitente. Se cifra el valor de hash con la clave privada del remitente. Se anexa al mensaje el valor de hash cifrado como una firma digital. Se enva el mensaje.
1. 2. 3. 4. 5. 6. 7. 8.
Se recibe el mensaje. Se recupera del mensaje la firma digital que contiene el valor de hash cifrado. Se recupera el mensaje. Se calcula el valor de hash del mensaje. Se recupera la clave pblica del remitente. Se descifra con la clave pblica del remitente el valor de hash cifrado. Se compara el valor de hash descifrado con el valor de hash obtenido en la recepcin. Si los valores coinciden, el mensaje es vlido.
Ilustracin 2. Muestra la secuencia de comprobacin, con la incorporacin de los elementos auxiliares de la criptografa mediante claves pblicas.
La secuencia muestra cmo la criptografa mediante claves pblicas ofrece las capacidades que aportan a una firma digital sus servicios de seguridad bsicos: autenticacin, no rechazo e integridad de los datos. (Exchange, 2005).
Equipo: 5
Llaves
Una llave es un valor que trabaja con un algoritmo criptogrfico para producir un texto cifrado especfico; las llaves son bsicamente nmeros muy grandes, y su tamao se mide en bits, y entre ms grande es la llave, ms seguro es el texto cifrado. Mientras que las llaves pblicas y privadas de la criptografa asimtrica estn completamente relacionadas, es muy difcil deducir la llave privada a partir de la llave pblica, sin embargo, si es posible hacerlo teniendo suficiente tiempo y poder de cmputo, por lo cual es necesario tener llaves del tamao correcto, esto es suficientemente grandes para ser seguras, pero suficientemente pequeas para que para ser aplicadas con cierta facilidad. Las llaves ms largas, sern criptogrficamente seguras por un periodo de tiempo ms largo, stas deben ser almacenadas en forma cifrada tambin, para evitar que algn intruso pueda tener acceso a nuestro disco duro y obtener la llave.
Funciones hash de un sentido.

Una funcin hash toma una entrada de longitud variable, un mensaje de cualquier tamao, incluso de algunos miles de millones de bits, y produce una salida de longitud fija, con la condicin de que si alguno de los bits del mensaje original es modificado, la salida producida por la funcin de hash, va a ser completamente diferente, a esta salida se le conoce como la firma o resumen del mensaje, (message digest). Las funciones de hash tienen dos propiedades bsicas, la primera es que son de un solo sentido, esto significa que es relativamente muy fcil tomar un mensaje y calcular su valor de hash, pero es prcticamente imposible tomar un valor de hash y obtener a partir de l, el valor del mensaje original, (entendiendo por imposible que no puede ser hecho en una cantidad razonable de tiempo); la segunda propiedad, es que los algoritmos de hash son libres de colisiones, esto significa que es imposible encontrar dos mensajes que tengan el mismo valor del hash. Vulnerar un algoritmo de hash, implica que alguna o ambas no se cumpla. La propiedad de libertad de colisiones es parcialmente cierta, ya que como hemos mencionado anteriormente, cada algoritmo de hash produce una salida fija en tamao, tomando por ejemplo los 160 bits que arroja SHA-1, tenemos que el espacio completo de posibilidades de valores hash es 2160, un nmero bastante grande pero evidentemente menor al infinito de posibilidades de mensajes que podemos utilizar, por lo cual existe un nmero infinito de colisiones, para el caso de SHA-1, obteniendo 280 mensajes aleatorios, llegaramos a una colisin de forma segura, eso sera un ataque de fuerza bruta sobre el algoritmo. (TechNet, 2013)
Criptografa simtrica.
La criptografa simtrica o convencional, utiliza nicamente una sola llave, la cual es utilizada tanto para cifrar como para descifrar, DES (Data Encryption Standard) es un ejemplo de un criptosistema simtrico que utiliza llaves de 56 bits, definido como estndar por la Secretara de Comercio de los Estados Unidos el 22 de enero de 1988, y posteriormente reemplazado por AES (Advanced Encryption Standard), publicado en el FIPS PUB 197 de fecha 26 de noviembre del 2001, el cual utiliza llaves de 128,192 256 bits.
Equipo: 5
10
El cifrado convencional (criptografa simtrica) tiene como principal ventaja, que es muy rpido de ejecutar, es muy til cuando se tienen que cifrar una gran cantidad de datos, sin embargo tiene la desventaja que se tiene que transmitir la llave por un canal seguro. Cuando un emisor y un receptor se tienen que comunicar de forma segura utilizando criptografa simtrica, entonces ellos tienen que quedar de acuerdo en la llave que han de utilizar, y mantenerla en secreto, pero si ellos se encuentran en diferentes lugares, entonces ellos necesitan un mecanismo seguro para poder intercambiar la llave secreta, ya que cualquier persona que pueda interceptar el mensaje que contiene la llave, podr descifrar toda la comunicacin entre las dos personas.
Ilustracin 3. Ilustra el esquema de cifrado utilizando criptografa simtrica, teniendo una sola llave tanto para cifrar como para descifrar.
Criptografa asimtrica.
El concepto de criptografa asimtrica fue introducido por Whitfield Diffie y Martin Hellman en 1975, aunque hay evidencia de que el servicio secreto britnico lo haba inventado algunos aos antes, solo que lo mantienen como secreto militar. La criptografa asimtrica utiliza un par de llaves, una llave que puede ser pblica, utilizada generalmente para cifrar, y la correspondiente llave privada, utilizada para descifrar la informacin cifrada con la pblica. El beneficio principal de la criptografa asimtrica, es que permite que personas que no tienen un acuerdo de seguridad previo, puedan intercambiar informacin de forma segura, y por lo tanto la necesidad de enviar y recibir las llaves secretas nicamente a travs de algn canal seguro es eliminada, puesto que todas las comunicaciones involucran nicamente llaves pblicas, y ninguna llave privada es transmitida o compartida. Algunos ejemplos de criptosistemas de llave pblica son Elgamal, RSA, Diffie-Hellman y DSA (Digital Signature Algorithm). No obstante las ventajas ofrecidas por la criptografa simtrica, existen algunas desventajas descritas por el criptlogo Bruce Schneier, entre las cuales podemos mencionar:
1. Qu tan segura est nuestra llave privada? Regularmente las llaves privadas son almacenadas de forma cifrada en el disco duro de nuestras propias computadoras o en dispositivos extrables.
Equipo: 5
11
2. De qu forma la Autoridad Certificadora verifica las identidades de sus clientes? Nosotros podemos obtener el Certificado Digital de alguna persona, pero cmo podemos saber que esa persona es realmente la que pensamos que es?
Ilustracin 4. Ilustra el uso de la criptografa asimtrica.
Firmas Digitales.
Las firmas digitales son un mecanismo que permite el receptor de un mensaje, verificar la autenticidad del origen de la informacin, as como verificar la integridad de la informacin recibida. Una firma digital ofrece as mismo, el esquema de no repudio, lo que significa que una persona que ha firmado un documento, no puede negar el hecho de haberlo firmado. La forma de crear las firmas digitales es la siguiente: primero se calcula el digest o resumen del mensaje que se desea firmar, ese resumen es cifrado con la llave privada de la persona que firma el mensaje, y dicha firma es adjuntada al mensaje original. Para verificar la firma digital contenida en un documento, el procedimiento es el siguiente: el receptor que desea verificar la firma digital del emisor descifra la firma contenida en el mensaje utilizando la llave pblica del emisor, despus vuelve a calcular el resumen (hash) del documento recibido y compara estos dos valores, si coinciden, se puede garantizar que el emisor firm digitalmente el documento, y que el documento no fue modificado durante su recorrido desde el emisor hacia el receptor.
Ilustracin 5. Ilustra el procedimiento para firmar digitalmente un documento.
Equipo: 5
12
Certificados Digitales.
Un problema que tienen los criptosistemas de llave pblica, es que los usuarios deben de estar completamente seguros de que estn cifrando informacin con la llave pblica de la persona correcta, en un ambiente en donde es relativamente muy fcil intercambiar llaves por medio de servidores pblicos. En un ambiente de llave pblica, a veces es necesario intercambiar informacin con gente que nunca se ha conocido, es entonces cuando surge la necesidad de utilizar los certificados digitales, que se pueden definir como una credencial de identidad, la cual contiene informacin certificada acerca de la persona propietaria, contiene una llave pblica y la(s) firma(s) digital(es) de la(s) Autoridad(es) Certificadora(s) que emiti o emitieron dicho Certificado Digital. El formato estndar para los Certificados Digitales es el X.509, el cual incluye como informacin:
1. 2. 3. 4. 5. 6. 7. 8.
El nmero de versin X.509 del Certificado Digital La llave pblica del dueo del Certificado Digital El nmero de serie del Certificado Digital El identificador nico del dueo del Certificado Digital El periodo de validez del Certificado Digital El nombre del emisor del Certificado Digital La firma digital del emisor del Certificado Digital, utilizando su llave privada El identificador del algoritmo de la firma digital
X.509
En criptografa, X.509 es un estndar UIT-T para infraestructuras de claves pblicas (en ingls, Public Key Infrastructure o PKI). X.509 especfica, entre otras cosas, formatos estndar para certificados de claves pblicas y un algoritmo de validacin de la ruta de certificacin. X.509 fue publicado oficialmente en 1988 y comenzado conjuntamente con el estndar X.500 y asume un sistema jerrquico estricto de autoridades certificantes (ACs) para emisin de certificados. Esto contrasta con modelos de redes de confianza, como PGP, donde cualquier nodo de la red (no solo las ACs) puede firmar claves pblicas, y por ende avalar la validez de certificados de claves de otros. La versin 3 de X.509 incluye la flexibilidad de soporte de otras tecnologas como bridges y mallas. Puede usarse en una web de confianza peer to peer de tipo OpenPGP, pero desde 2004 raramente se usa as. El sistema X.500 nunca se implement completamente, y el grupo de trabajo de la infraestructura de clave pblica de la IETF, comnmente conocido como PKIX para infraestructura de clave pblica (X.509) o PKIX, adapt el estndar a la estructura ms flexible de Internet. X.509 incluye tambin estndares para implementacin de listas de certificados en revocacin (CRLs), y con frecuencia aspectos de sistemas PKI. (TechNet, 2013)
Equipo: 5
13
Ilustracin 6 Representacin de un Certificado Digital X.509.
MECANISMOS DE SEGURIDAD EN APLICACIONES WEB

Para lograr las medidas de seguridad necesarias en una aplicacin Web, se deben implementar los mecanismos siguientes:
Seguridad en la transmisin de la informacin, mediante el uso de protocolos de comunicacin seguros Seguridad en los servidores, mediante el uso de firewalls principalmente (fuera del alcance de este artculo) Seguridad de los datos almacenados en discos, bases de datos o repositorios (informacin cifrada utilizando criptografa simtrica).
SEGURIDAD EN LA TRANSMISIN
Debido a que en Internet la informacin viaja a travs de un medio completamente inseguro, es necesario establecer protocolos de comunicacin que hagan dicho proceso de intercambio de informacin completamente seguro, esto se logra principalmente cifrando la informacin durante el tiempo en el que viaja de un extremo a otro del proceso de comunicacin. Los protocolos de seguridad utilizados en la actualidad son los siguientes: SSH (Secure Shell).- utilizado como reemplazo del comando telnet para establecer sesiones remotas SSL (Secure Socket Layer).- utilizado en comunicaciones hipertexto principalmente, pero con aplicaciones en otros protocolos TSL (Transport Layer Secure).- utilizado para establecer seguridad en la capa de transporte del modelo OSI HTTPS (Hypertext Transfer Protocol Secure).- utilizado para establecer seguridad en el protocolo HTTP habitual
Equipo: 5
14
PGP (Pretty Good Privacy).- PGP es un criptosistema utilizado para garantizar proteger la informacin distribuida a travs de Internet, mediante el uso de criptografa asimtrica, y facilitar la autenticacin de documentos a travs de las firmas digitales, aunque tambin puede ser utilizado para proteccin de datos almacenados en discos, copias de seguridad etc.
PROTOCOLO SSH
SSH es un protocolo para crear una conexin segura entre dos sistemas, en el protocolo SSH, la maquina cliente inicia una conexin con la maquina servidor, el protocolo ssh establece las siguientes medidas de seguridad: Despus de una conexin inicial, el cliente verifica cada vez que se conecta al mismo servidor durante subsecuentes sesiones. El cliente transmite su informacin para autenticacin al servidor, tal como su nombre de usuario y contrasea, pero cifrados ambos. Todos los datos enviados y recibidos durante la conexin, son transmitidos utilizando un cifrado de 128 bits.
Debido a que el protocolo SSH cifra todo lo que enva y recibe, por lo cual puede ser utilizado para asegurar diferentes protocolos inseguros, utilizando una tcnica llamada port forwarding, un servidor SSH puede llegar a manejar protocolos inseguros como POP, etc. (TechNet, 2013)
COMPONENTES.
SSH est compuesto por tres componentes El protocolo de la capa de transporte (SSH-TRANS), el cual provee autenticacin del servidor, confidencialidad e integridad, y tambin opcionalmente compresin. La capa de transporte est corriendo sobre una conexin TCP/IP generalmente, pero puede ser usada en cualquier otro flujo confiable de datos. El protocolo de autenticacin de usuarios (SSH-USERAUTH), autentica el usuario del lado del cliente con el servidor, se ejecuta sobre el protocolo de la capa de transporte. El protocolo de conexin (SSH-CONNECT), el cual multiplexa el tnel cifrado en varios canales lgicos, se ejecuta sobre el protocolo de autenticacin del usuario.
El cliente enva una peticin de servicio una vez que una conexin de la capa segura de transporte ha sido establecida, una segunda peticin de servicio es enviada despus de que la autenticacin del usuario ha sido completada, esto permite a los nuevos protocolos ser definidos y coexistir con los protocolos listados previamente. El protocolo de conexin provee canales que pueden ser usados para un amplio rango de propsitos, los mtodos estndar son desarrollados para abrir sesiones interactivas y para realizar un tnel para los puertos TCP/IP y las conexiones X11.
Equipo: 5
15
Arquitectura.
Cada servidor debera tener al menos una llave para cada uno de los algoritmos descritos en el FIPS-186-2 referentes a los estndares para firmas digitales. Dicha llave en el servidor, es utilizada durante el intercambio de llaves, para verificar que el cliente est realmente hablando con el servidor correcto, para que esto sea posible, el cliente debera tener un conocimiento previo de la llave publica del servidor host. Este estndar define dos posibles modelos de confianza:
1. El cliente cuenta con una base de datos la cual asocia cada nombre de host, con su correspondiente llave publica, este modelo no requiere un mecanismo central de administracin, y ningn tipo de coordinacin por parte de una tercera persona, la desventaja de esto, es que la base de datos puede llegar a ser demasiado grande para mantener del lado del cliente. 2. El segundo esquema introduce la nocin de una Autoridad Certificadora, que es una tercera persona la cual contiene las llaves de los diversos servidores, y nicamente el cliente conoce la llave de la propia autoridad certificadora, con esto, el cliente puede llegar a verificar la autenticidad de los servidores certificados por dicha autoridad.
El protocolo permite la opcin de que el nombre del servidor y la llave del host no sean verificadas cuando se conecta al host por primera vez, permitiendo la comunicacin entre ambas partes, esta conexin ofrece proteccin contra ataques pasivos, sin embargo es vulnerable a ataques de intruso en medio. Las implementaciones actuales, permiten una conexin sin verificar nicamente la primera vez, la llave del servidor es almacenada localmente y comparada con la llave del host en todas las futuras conexiones.
Propiedades de seguridad.
El objetivo principal del protocolo SSH, es mejorar la seguridad en el Internet, de acuerdo a las siguientes propiedades: Todos los algoritmos de cifrado, de integridad y de llave pblica utilizados, son algoritmos bien conocidos, y de dominio pblico. Todos los algoritmos son utilizados con tamaos de llaves suficientemente grandes como para proveer seguridad contra ataques de criptoanlisis. Todos los algoritmos utilizados son peridicamente revisados, y en caso de que alguno haya sido vulnerado, es relativamente muy fcil reemplazarlo con otro que ofrezca el nivel de seguridad requerido.
Protocolo SSL
El objetivo principal del protocolo SSL, es garantizar privacidad y confiabilidad entre dos aplicaciones que se comunican; el protocolo est compuesto por dos capas, la de ms bajo nivel se basa en alguno de los protocolos de transporte ms confiables, se denomina SSL Record Protocol, el cual es utilizado para encapsular varios protocolos de nivel ms alto, uno de esos protocolos es el SSL Handshake Protocol, el cual permite al servidor y al cliente, autenticarse uno al otro, y negociar el algoritmo de cifrado y las llaves
Equipo: 5
16
criptogrficas antes de que el protocolo transmita o reciba el primer byte de datos. Una ventaja de SSL es que es independiente del protocolo, un protocolo de ms alto nivel puede estar en una capa superior al protocolo SSL de forma transparente (la mayora de las veces es TCP). El protocolo SSL tiene tres propiedades bsicas de seguridad: La conexin es privada.- Se realiza un proceso de autenticacin inicial, para establecer una llave secreta, despus se utiliza criptografa simtrica para el cifrado de datos. Las identidades tanto del cliente como del servidor, pueden ser autenticadas utilizando criptografa asimtrica o de llave pblica. La conexin es confiable.- el transporte de los mensajes, incluye una revisin de la integridad del mensaje, utilizando una MAC con llave, con algoritmos seguros (SHA).
Los objetivos del protocolo SSL v3.0 (la ltima versin), en orden de prioridad, consisten en: Seguridad criptogrfica.- SSL es utilizado para establecer una conexin segura entre dos partes Interoperabilidad.- Los programadores deben ser capaces de poder desarrollar aplicaciones utilizando SSL 3.0 y poder intercambiar parmetros criptogrficos, sin el conocimiento del cdigo de los dems.
Extensibilidad.- SSL busca ofrecer un marco de trabajo en el cual, nuevas llaves pblicas y mtodos de cifrado, puedan ser incorporados como sea necesario; esto con el objeto de prevenir la necesidad de crear un nuevo protocolo (con el riesgo de la introduccin de posibles nuevas debilidades), y evitar la necesidad de tener que implementar una nueva librera de seguridad completa. Eficiencia relativa.- Las operaciones criptogrficas tienden a consumir muchos recursos, principalmente tiempo de procesamiento, particularmente las que involucran criptografa asimtrica, por esta razn, el protocolo SSL ha incorporado un esquema opcional de manejo de sesin optimizado, para reducir el nmero de conexiones que necesitan ser establecidas, adicionalmente, se ha tenido cuidado en reducir el trfico en la red. (TechNet, 2013) Descripcin del protocolo. SSL es un protocolo dividido en capas, en cada una de ellas, los mensajes pueden incluir campos para la longitud, descripcin y contenido. SSL toma los mensajes que van a ser transmitidos, fragmentos de datos en bloques manejables, opcionalmente comprime los datos, aplica MAC, cifra y transmite el resultado. Los datos recibidos son descifrados, verificados, descomprimidos y ensamblados, entonces entregados a los clientes de ms alto nivel.
Protocolo TLS (Transport Layer Security) El protocolo TLS, es un protocolo para establecer una conexin segura entre un cliente y un servidor, TLS es capaz de autenticar en ambos lados de la comunicacin, y crea una conexin cifrada entre las dos. El protocolo TLS puede ser extendido, esto es que nuevos algoritmos pueden ser utilizados para cualquiera
Equipo: 5
17
de los propsitos, con la condicin de que tanto el cliente como el servidor estn conscientes de los algoritmos. La principal propiedad del protocolo TLS, es ofrecer privacidad e integridad de los datos, entre dos aplicaciones que se comunican; el protocolo est compuesto por dos capas, el TLS Record Protocol y el TLS Handshake Protocol. El TLS Record Protocol ofrece seguridad en las conexiones y tiene dos propiedades bsicas:
1. La conexin es privada; se utiliza criptografa simtrica para el cifrado de los datos (DES, AES, RC4, etc), las llaves para los algoritmos simtricos son generadas una sola vez para cada sesin, y estn basadas en un secreto negociado por otro protocolo (TLS Handshake), el TLS Record Protocol puede ser utilizado sin cifrado tambin. 2. La conexin es confiable, el transporte de mensajes, incluye una verificacin de integridad de mensajes, utilizando una MAC con llave, para esto se utilizan algoritmos de funciones de hash seguros como SHA1, SHA256, MD5.
El TLS Record Protocol, es utilizado para la encapsulacin de varios protocolos de nivel superior, uno de tales protocolos encapsulados, es el TLS Handshake Protocol, el cual es utilizado para autenticar tanto a los clientes como a los servidores, y para negociar un algoritmo de cifrado as como las llaves criptogrficas, antes de que el protocolo de la aplicacin transmita o reciba el primer byte de datos. El protocolo TLS Handshake Protocol ofrece seguridad en la conexin, y tiene 3 propiedades bsicas:
1. La identidad de la otra parte puede ser verificada utilizando criptografa asimtrica (RSA o DSS), esta autenticacin puede ser opcional, pero generalmente se requiere por al menos una de las partes. 2. La negociacin de un secreto compartido es segura: el secreto negociado no est disponible para ningn atacante, incluso si el atacante utilizara un ataque hombre en el medio. 3. La negociacin es confiable: ningn atacante puede modificar la comunicacin sin ser detectado por las partes que intervienen en la comunicacin. Una ventaja de TLS, es que es independiente del protocolo de la aplicacin, los protocolos de ms alto nivel pueden tener capas encima del protocolo TLS de forma transparente, sin embargo, el estndar TLS no especifica de qu forma los protocolos definen la seguridad en TLS, las decisiones de cmo inicializar handshaking, y cmo interpretar los certificados de autenticacin intercambiados, se dejan a juicio de los diseadores y los implementadotes de los protocolos que corren por encima de TLS.
Protocolo HTTPS
El protocolo HTTPS es una versin segura del protocolo http, utiliza un sistema de cifrado basado en la Secure Socket Layers (SSL), para crear un canal seguro cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente, ms apropiado para el trfico de informacin sensible que el protocolo http, ambos protocolos pueden existir juntos, ya que los navegadores de hoy en da, los soportan.
Equipo: 5
18
El protocolo http, fue originalmente utilizado en claro sobre Internet, sin embargo, el uso reiterado de dicho protocolo en aplicaciones importantes, ha requerido que algunas medidas de seguridad sean consideradas, por lo cual los protocolos SSL y su sucesor TLS (ambos descritos previamente), fueran diseados para ofrecer seguridad en el canal de comunicacin. Conceptualmente hablando, el protocolo http puede utilizarse sobre algn otro protocolo de seguridad, TLS o SSL, de la misma forma en que se utiliza sobre el protocolo TCP. Inicio de una conexin. El agente que acta como el cliente http, tambin debera actuar como el cliente TLS o SSL, y sera el encargado de iniciar una conexin al servidor en el puerto apropiado, y enviar un mensaje de inicio del protocolo, por ejemplo un mensaje del tipo TLS ClientHello para iniciar el protocolo de acuerdo (handshake) sobre TLS. Una vez que el protocolo de acuerdo (handshake) ha terminado, el cliente debe entonces iniciar la primera peticin http; todos los datos http deben ser enviados como datos de la aplicacin TLS. Fin de una conexin. EL protocolo TLS ofrece una posibilidad de cerrar una conexin de forma segura; cuando se recibe un mensaje de peticin de cierre de la conexin, una implementacin debe asegurar que ya no se recibirn datos despus de haber cerrado dicha conexin. Las implementaciones TLS deben iniciar un intercambio de mensajes de cierre, antes de cerrar por completo una conexin, sin embargo, una implementacin TLS puede despus de enviar una advertencia de cierre, proceder a cerrar la conexin sin tener que esperar a que la otra parte en el canal de comunicacin enve su advertencia de cierre de conexin, generando as un cierre incompleto. Cuando HTTPS fue utilizado por primera vez por el navegador Netscape 2 en 1995, la estrategia utilizada fue la de usar dos puertos diferentes, el puerto 80 para http y el 443para HTTPS respectivamente.
PGP (Pretty Good Privacy)

Es un sistema desarrollado por Phil Zimmerman cuya finalidad es proteger la informacin distribuida a travs de Internet mediante el uso de criptografa de asimtrica y firmas digitales, tambin puede ser utilizado PGP para proteger datos almacenados en discos. PGP combina algunas de las mejores caractersticas de los sistemas criptogrficos simtricos y asimtricos, por lo cual PGP es un criptosistema hbrido. Cuando un usuario cifra un texto plano con PGP, el texto es comprimido primeramente, esto con la finalidad de ahorrar tiempo de transmisin y espacio en disco, pero sobretodo, la compresin del texto incrementa la seguridad criptogrfica, ya que la mayora de las tcnicas de criptoanlisis explotan patrones encontrados en el texto plano para vulnerar el cifrador (criptoanlisis de frecuencias). Cifrando con PGP. PGP comienza creando una llave de sesin, la cual es una llave secreta que se utiliza una sola vez, esta llave es un nmero aleatorio generado utilizando como funcin generadora, los movimientos del ratn, esta llave de sesin trabaja con un algoritmo de cifrado simtrico seguro y muy rpido, para cifrar el texto plano, el resultado es el texto cifrado. Una vez que los datos son cifrados, la llave de sesin es entonces cifrada con la llave pblica del que recibe el mensaje, junto con esta llave cifrada, se enva tambin el texto cifrado.
Equipo: 5
19
Ilustracin 7 Ilustra el proceso de cifrado utilizando PGP.
Descifrando con PGP.
Para el proceso de descifrar, el receptor del mensaje utiliza su llave privada para descifrar la llave de sesin que viene acompaando al mensaje cifrado, entonces utilizando la llave de sesin, se descifra el texto cifrado. La combinacin de los dos mtodos de criptografa, combina la practicidad de la asimtrica con la velocidad de la criptografa simtrica, la cual es en proporcin mil veces ms rpida. La criptografa de llave pblica, ofrece una solucin al problema de distribucin de llaves y transmisin de datos, y utilizados ambos sistemas, se obtiene una solucin mejorada, sin sacrificar en seguridad. (TechNet, 2013).
Ilustracin 8 Ilustra el proceso de descifrado con PGP.
Equipo: 5
20
INTRODUCCIN A LOS SISTEMAS DE INFORMACIN
Esta es una pequea introduccin a algunos de los temas que debera conocer cualquier persona que desee llegar a ser un auditor de sistemas. Nuestra intencin es la de lograr motivar, a aquellas personas que estn pensando en inclinarse por esta disciplina, a realizar un estudio ms profundo de estos temas y de otros ms que cada uno considere importante para un auditor de sistemas de informacin.
SISTEMAS DE INFORMACIN (S.I) Qu es un sistema de informacin?

Un Sistema de Informacin son componentes interrelacionados que capturan, almacenan, procesan y distribuyen la informacin para apoyar la toma de decisiones, el control, anlisis y visin en una institucin. Las tres actividades de un sistema de informacin: El insumo El procesamiento La salida Son el insumo que recolecta datos dentro de una organizacin; el procesamiento que transforma los datos para que sean ms comprensibles para quienes lo necesita; la salida o producto es la transferencia de la informacin para los usuario que la necesitan La retroalimentacin es la salida regresada a los agentes dentro de una organizacin para evaluar y corregir la etapa de insumo Entrada de Informacin: Es el proceso mediante el cual el Sistema de Informacin toma los datos que requiere para procesar la informacin. Las entradas pueden ser manuales o automticas. Las manuales son aquellas que se proporcionan en forma directa por el usuario, mientras que las automticas son datos o informacin que provienen o son tomados de otros sistemas o mdulos. Esto ltimo se denomina interfaces automticas. Las unidades tpicas de entrada de datos a las computadoras son las terminales, las cintas magnticas, las unidades de diskette, los cdigos de barras, los escneres, la voz, los monitores sensibles al tacto, el teclado y el mouse, entre otras. Almacenamiento de informacin: El almacenamiento es una de las actividades o capacidades ms importantes que tiene una computadora, ya que a travs de esta propiedad el sistema puede recordar la informacin guardada en la seccin o proceso anterior. Esta informacin suele ser almacenada en estructuras de informacin denominadas archivos. La unidad tpica de almacenamiento son los discos magnticos o discos duros, los discos flexibles o diskettes y los discos compactos (CD-ROM). Procesamiento de Informacin: Es la capacidad del Sistema de Informacin para efectuar clculos de acuerdo con una secuencia de operaciones preestablecida. Estos clculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos que estn almacenados. Esta caracterstica de los sistemas permite la transformacin de datos fuente en informacin que puede ser utilizada para la toma de decisiones, lo que hace posible, entre otras cosas, que un tomador de decisiones genere una proyeccin financiera a partir de los datos que contiene un estado de resultados o un balance general de un ao base. Salida de Informacin: La salida es la capacidad de un Sistema de Informacin para sacar la informacin procesada o bien datos de entrada al exterior. Las unidades tpicas de salida son las impresoras, terminales, diskettes, cintas magnticas, la voz, los graficadores y los plotters, entre otros. Es importante aclarar que la salida de un Sistema de Informacin puede constituir la entrada a otro Sistema de
Equipo: 5
21
Informacin o mdulo. En este caso, tambin existe una interface automtica de salida. Por ejemplo, el Sistema de Control de Clientes tiene una interface automtica de salida con el Sistema de Contabilidad, ya que genera las plizas contables de los movimientos procesales de los clientes. (portafolio de auditoria de sistemas, 2010).
El reto de los sistemas de informacin: El reto estratgico de los S.I

Los cambios tecnolgicos se mueven ms rpido que los cambios de los seres humanos o las instituciones, por lo que se necesitarn del uso de la tecnologa para simplificar la comunicacin y la coordinacin. El reto de la globalizacin Que los sistemas puedan dar soporte a las ventas y compras de productos en muchos pases. Dadas las diferencias en el lenguaje, culturales y polticas daban lugar a un caos y a la falla de controles de la administracin central.
Sistemas estratgicos de informacin
Un Sistema de Informacin estratgico puede ser considerado como el uso de la tecnologa de la informacin para soportar o dar forma a la estrategia competitiva de la organizacin, a su plan para incrementar o mantener la ventaja competitiva o bien reducir la ventaja de sus rivales. La informacin como recurso estratgico.
Cmo los S.I pueden utilizarse para obtener ventajas competitivas?
La funcin de los sistemas de informacin es lograr ventajas que los competidores no posean, tales como ventajas en costos y servicios diferenciados con clientes y proveedores, adems de apoyar el proceso de innovacin de productos dentro de la empresa. Los Sistemas de informacin y las Instituciones Cmo afectan las instituciones a los S.I? Los sistemas de informacin en muchas ocasiones se desarrollan dentro de la organizacin, por lo tanto no pueden adaptarse fcilmente a paquetes disponibles en el mercado. Por lo anterior se dice que estos se amoldan de acuerdo a los requerimientos de la organizacin. Cmo afectan los S.I a las Instituciones? A pesar de que como ya se dijo antes la funcin de los sistemas de informacin es posicionar a la organizacin en los mercados y frente a sus competidores, estos tambin cumplen con funciones como apoyar la automatizacin de los procesos operativos y proporcionar informacin para apoyar a la toma de decisiones.
CICLO DE VIDA DE LOS SISTEMAS DE INFORMACIN
Los especialistas en sistemas aportarn sus conocimientos especficos orientados a la coordinacin y planeacin de sistemas, la determinacin de los requerimientos y los procedimientos para encontrar buenas soluciones a los problemas organizacionales, as como la responsabilidad tcnica sobre el nuevo sistema CMO SE ADMINISTRA EL DESARROLLO DE SISTEMAS? El diseo y desarrollo de un sistema, as como el mantenimiento mayor, debe manejarse como un verdadero proyecto; como tal deben establecerse los procedimientos y medios para lograrlo. Los aspectos que deben ser tomados en cuenta, entre otros, son: Definicin del grupo de trabajo (Comit de Usuarios) Designacin del Administrador del Proyecto (Representante de la Alta Direccin)
Equipo: 5
22
Establecimiento de las actividades a realizar, en detalle Definicin del cronograma de actividades
DE DNDE PROVIENEN LA IDEA DE LOS SISTEMAS? El estudio de los sistemas de informacin se origin como una sub-disciplina de las ciencias de la computacin en un intento por entender y racionalizar la administracin de la tecnologa dentro de las organizaciones. Los sistemas de informacin han madurado hasta convertirse en un campo de estudios superiores dentro de la administracin. La idea fundamentalmente proviene de: La necesidad del usuario de una herramienta que le facilite el acceso a la informacin. La necesidad del administrador para el control de sus recursos. La necesidad del auditor para llevar a cabo su funcin de asesora o consultora para ver si la administracin ha sido eficiente. La necesidad de terceras partes (clientes, proveedores, entidades gubernamentales, entidades financieras etc.) PANORAMA DEL DESARROLLO DE LOS SISTEMAS Un marco de referencia que contiene los procesos, las actividades y las tareas involucradas en el desarrollo, la explotacin y el mantenimiento de un producto de software, abarcando la vida del sistema desde la definicin de los requisitos hasta la finalizacin de su uso En la mayor parte de las situaciones dentro de una empresa todas las actividades estn muy relacionadas, en general son inseparables, y quiz sea difcil determinar el orden de los pasos que se siguen para efectuarlas. Las diversas partes del proyecto pueden encontrarse al mismo tiempo en distintas fases de desarrollo; algunos componentes en la fase de anlisis, mientras que otros, en etapas avanzadas de diseo. Las actividades tpicas del ciclo de vida son: Estudio de factibilidad. Anlisis (de requerimientos). Diseo Implementacin Validacin y prueba 6 - Operacin y mantenimiento OBJETIVOS DE UN CICLO DE VIDA DE LOS SISTEMAS DE INFORMACIN Definir las actividades a llevarse a cabo en el desarrollo Lograr congruencia entre los proyectos de desarrollo al interior y exterior de la organizacin Proporcionar puntos de control y revisin administrativos Organizar las actividades de manera lgica Controlar la calidad del sistema ESTUDIO DE FACTIBILIDAD Un resultado importante de la investigacin preliminar es la determinacin de que el sistema solicitado sea factible. En la investigacin preliminar existen tres aspectos relacionados con el estudio de factibilidad.
Equipo: 5
23
Factibilidad Tcnica: El trabajo para el proyecto, puede realizarse en el equipo actual, la tecnologa existente del software y el personal disponible? Si se necesita nueva tecnologa cul es la posibilidad de desarrollarla? Factibilidad Econmica: Que los beneficios (tangibles e intangibles) y horros superen a los costos; que los ndices financieros que se calculen sean aceptables, de acuerdo con polticas y estndares generales y especficos; que el proyecto tenga contenido econmico y est contemplado en el presupuesto respectivo. Como mnimo deben calcularse las siguientes razones: Tasa Interna de Retorno. Valor Neto Presente. Perodo de Recuperacin. Y, el total de los beneficios netos. Dependiendo de los resultados de este estudio se determinar si se contina o no con el proyecto. Factibilidad Operacional: Si se desarrolla e implanta, ser utilizado el sistema?, existir cierta resistencia al cambio por parte de los usuarios que de cmo resultado una disminucin de los posibles beneficios de la aplicacin? El estudio de factibilidad lo lleva a cabo un pequeo equipo de personas (en ocasiones una o dos) que est familiarizado con tcnicas de sistemas de informacin; dicho equipo comprende la parte de la empresa u organizacin que participar se ver afectada por el proyecto y es gente experta en los procesos de anlisis y diseo de sistemas. En general, las personas que son responsables de evaluar la factibilidad son anlisis capacitados o directivos. ANLISIS DE SISTEMAS El aspecto fundamental del anlisis de sistemas es comprender todas las facetas importantes de la parte de la empresa que se encuentra bajo estudio. Los analistas, al trabajar con los empleados y administradores, deben estudiar los procesos de una empresa para dar respuesta a las siguientes preguntas: Qu es lo que hace? Cmo se hace? Con qu frecuencia se presenta? Qu tan grande es el volumen de transacciones o de decisiones? Cul es el grado de eficiencia con el que se efectan las tareas? Existe algn problema? Si existe un problema. Qu tan serio es? Si existe un problema. Cul es la causa de lo que origina? Para contestar estas preguntas, el analista conversa con varias personas para reunir detalles relacionados con los procesos de la empresa, sus opiniones sobre porque ocurren las cosas, las soluciones que proponen y sus ideas para cambiar el proceso. Se emplea cuestionarios para obtener esta informacin cuando no es posible entrevistar, en forma personal, a los miembros de grupos grandes dentro de la organizacin. As mismo, las investigaciones detalladas requieren el estudio de manuales y reportes, la observacin en condiciones reales de las actividades de trabajo y, en algunas ocasiones, muestras de formas y documentos con el fin de comprender el proceso en su totalidad.
Equipo: 5
24
Conforme se renen los detalles, los analistas estudian los datos sobre requerimientos con la finalidad de identificar las caractersticas que debe tener el nuevo sistema, incluyendo la informacin que deben producir los sistemas junto con caractersticas operacionales tales como controles de procesamiento, tiempos de respuesta y mtodos de entrada y salida. DISEO DEL SISTEMA. El diseo de un sistema de informacin produce los detalles que establecen la forma en la que el sistema cumplir con los requerimientos identificados durante la fase de anlisis. Los especialistas en sistemas se refieren, con frecuencia, a esta etapa como diseo lgico en contraste con la de desarrollo del software, a la que denominan diseo fsico. Los analistas de sistemas comienzan el proceso de diseo identificando los reportes y dems salidas que debe producir el sistema. Hecho lo anterior se determinan con toda precisin los datos especficos para cada reporte y salida. Es comn que los diseadores hagan un bosquejo del formato o pantalla que esperan que aparezca cuando el sistema est terminado. Lo anterior se efecta en papel o en la pantalla de una terminal utilizando para ello algunas de las herramientas automatizadas disponibles para el desarrollo de sistemas. Los documentos que contienen las especificaciones de diseo representan a ste de muchas maneras (diagramas, tablas y smbolos especiales). La informacin detallada del diseo se proporciona al equipo de programacin para comenzar la fase de desarrollo de software. Los diseadores son los responsables de dar a los programadores las especificaciones de software completas y claramente delineadas. Una vez comenzada la fase de programacin, los diseadores contestan preguntas, aclaran dudas y manejan los problemas que enfrentan los programadores cuando utilizan las especificaciones de diseo Fases del Diseo: Eleccin de una solucin de diseo entre las soluciones candidatas.. Evaluacin del hardware y software requeridos Diseo e Integracin del nuevo sistema CLASE DE DISEO DE SISTEMAS Diseo General: El mtodo comnmente utilizado es la modelizacin (acto de elaborar una o ms representaciones grficas del sistema).Los modelos de diseo general describen: La estructura de los archivos y las bases de datos (diagrama de estructuras de datos) Los mtodos y procedimientos de proceso (diagrama de flujo) La estructura de la red informtica (diagrama de flujo). Diseo Detallado. Se divide en: Diseo Externo. (Conjunto de especificaciones de la interfaz del sistema con sus usuarios incluyen entradas, consultas, salidas, diseo de ventanas y transicin entre ventanas. Diseo Interno. Especificaciones de aplicacin del sistema, los archivos, diseo de la base de datos. IMPLANTACIN Y EVALUACIN La implantacin es el proceso de verificar e instalar nuevo equipo entrenar a los usuarios, instalar la aplicacin y construir todos los archivos de datos necesarios para utilizarla. Dependiendo del tamao de la organizacin que emplear la aplicacin y el riesgo asociado con su uso, puede elegirse comenzar la operacin del sistema slo en un rea de la empresa (prueba piloto). Cada estrategia de implantacin tiene sus mritos de acuerdo con la situacin que se considere dentro de la empresa. Sin importar cul sea la estrategia utilizada, los encargados de desarrollar el sistema procuran que el uso inicial del sistema se encuentre libre de problemas.
Equipo: 5
25
Una vez instaladas, las aplicaciones se emplean durante muchos aos. Sin embargo las organizaciones y los usuarios cambian con el paso del tiempo, incluso el ambiente es diferente con el paso de las semanas y los meses. Por consiguiente, es indudable que debe darse mantenimiento a las aplicaciones, realizar cambios y modificaciones en el software, archivos o procedimientos para satisfacer las nuevas necesidades de los usuarios. Dado que los sistemas de las organizaciones junto con el ambiente de las empresas experimentan cambios de manera continua, los sistemas de informacin deben mantenerse siempre al da. En este sentido la implantacin es un proceso en constante evolucin. Evaluacin operacional: Valoracin de la forma en que funciona el sistema, incluyendo su facilidad de uso, tiempo de respuesta, lo adecuado de los formatos de informacin, confiabilidad global y nivel de utilizacin. Impacto organizacional: Identificacin y medicin de los beneficios para la organizacin en reas tales como finanzas, eficiencia operacional e impacto competitivo. Tambin se incluye el impacto sobre el flujo de informacin externo e interno. Opinin de loa administradores: evaluacin de las actividades de directivos y administradores dentro de la organizacin as como de los usuarios finales. Desempeo del desarrollo: La evaluacin de proceso de desarrollo de acuerdo con criterios tales como tiempo y esfuerzo de desarrollo, concuerdan con presupuestos y estndares, y otros criterios de administracin de proyectos. Tambin se incluye la valoracin de los mtodos y herramientas utilizados en el desarrollo. Desafortunadamente la evaluacin de sistemas no siempre recibe la atencin que merece. Sin embargo, cuando se conduce en forma adecuada proporciona mucha informacin que puede ayudar a mejorar la efectividad de los esfuerzos de desarrollo de aplicaciones subsecuentes. PRUEBA DE LOS SISTEMAS Durante la fase de prueba de sistemas, el sistema se emplea de manera experimental para asegurarse de que el software no tenga fallas, es decir que funcione de acuerdo con las especificaciones y en la forma en que los usuarios esperan que lo haga. Se alimentan como entradas conjuntos de datos de prueba para su procesamiento y despus se examinan los resultados. En ocasiones se permite que varios usuarios utilicen el sistema para que los analistas observen si tratan de emplearlo en formas no previstas. Es preferible descubrir cualquier sorpresa antes de que la organizacin implante el sistema y dependa de l. En muchas organizaciones, las pruebas son conducidas por personas ajenas al grupo que escribi los programas originales; con esto se persigue asegurar, por una parte, que las pruebas sean completas e imparciales y, por otra, que el software sea ms confiable. PRODUCCIN Y MANTENIMIENTO Es el soporte continuado de un sistema despus de que se ha puesto en funcionamiento. Incluye el mantenimiento de aplicaciones y mejoras al sistema. Esta fase incluye actividades como: Correccin de Errores Recuperacin de datos por fallas del sistema Adaptacin del sistema a nuevas necesidades
Equipo: 5
26
RIESGOS INFORMTICOS
Es importante en toda organizacin contar con una herramienta, que garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los procesos y actividades que participan en el rea informtica; y por medio de procedimientos de control que puedan evaluar el desempeo del entorno informtico. Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informtico, es la inadecuada administracin de riesgos informticos, esta informacin sirve de apoyo para una adecuada gestin de la administracin de riesgos. QUE SON LOS RIESGOS? El riesgo es una condicin del mundo real, en el cual hay una exposicin a la adversidad conformada por una combinacin de circunstancias del entorno donde hay posibilidad de prdidas. Los riesgos informticos son exposiciones tales como atentados y amenazas a los sistemas de informacin. La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad existentes de un activo o grupos de activos, generndoles prdidas o daos. Fuente: Organizacin Internacional por la Normalizacin (ISO). Elementos a tener en cuenta para la correcta definicin de riesgos Administracin de riesgos Valoracin de riesgos METODO A (Scoring): SISTEMA DE CALIFICACIONES: Prioriza las revisiones con base en una evaluacin de los factores de riesgo que consideran variables como: Complejidad tcnica, extensin del sistema, el cambio en el proceso y la materializacin. Estas variables pueden estar ponderadas. METODO B: Con base en juicios: Se toma decisin independiente con base en : Directivas del mximo nivel ejecutivo Perspectivas histricas Ambiente del negocio. Sistema de calificaciones Priorizacin de las revisiones con base en una evaluacin de factores de riesgo que tienen en cuenta variables (ponderadas o no) como: complejidad tcnica, la extensin del sistema, el cambio en el proceso y la materializacin. Estas revisiones se programan de acuerdo con el plan de auditora anual de auditora de sistemas. TIPOS DE RIESGOS RIESGOS DE INTEGRIDAD Interface del usuario Procesamiento Procesamiento de errores Interface Administracin de cambios Informacin RIESGOS DE RELACIN Los riesgos de relacin se refieren al uso oportuno de la informacin creada por una aplicacin. Estos riesgos se relacionan directamente a la informacin de toma de decisiones. RIESGOS DE ACCESO Procesos de negocio Equipo: 5 27
Aplicacin Administracin de la informacin Entorno de procesamiento Redes Nivel fsico RIESGOS DE UTILIDAD Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. Tcnicas de recuperacin/restauracin usadas para minimizar la ruptura de los sistemas. Backups y planes de contingencia controlan desastres en el procesamiento de la informacin. RIESGOS EN LA INFRAESTRUCTURA Planeacin organizacional Definicin de las aplicaciones Administracin de seguridad Operaciones de red y computacionales Administracin de sistemas de bases de datos Informacin / Negocio RIESGOS DE SEGURIDAD GENERAL Riesgos de choque de elctrico Riesgos de incendio Riesgos de niveles inadecuados de energa elctrica. Riesgos de radiaciones Riesgos mecnicos
CONCENTRACIN DE PROCESAMIENTO DE APLICACIONES MAS GRANDES Y DE MAYOR COMPLEJIDAD Una de las causas ms importantes del incremento en los riesgos informticos probablemente sea el aumento en la cantidad de aplicaciones o usos que se le da a las computadoras y la consecuente concentracin de informacin y tecnologa de software para el procesamiento de datos. DEPENDENCIA EN EL PERSONAL CLAVE La dependencia en individuos clave, algunos de los cuales poseen un alto nivel de desempeo tcnico, con frecuencia pone a la compaa en manos de relativamente pocas personas, siendo que stas por lo general son externas a la organizacin. DESAPARICIN DE LOS CONTROLES TRADICIONALES Las aplicaciones contienen verificadores automticos que aseguran la integridad de la informacin que se procesa. Este gran cambio en el criterio sobre el control de los empleados y las brechas respecto a la comunicacin, crean situaciones de seguridad totalmente diferentes. HUELGAS, TERRORISMO E INESTABILIDAD SOCIAL El nivel actual de riesgo en computacin se debe revisar tambin dentro del contexto de inestabilidad social en muchas partes del mundo. Ha habido ataques fsicos a diversas instalaciones, sin embargo algunas veces se trata de la incursin de personal interno y no de agitador. MAYOR CONCIENCIA DE LOS PROVEEDORES Equipo: 5 28
Hasta hace pocos aos este tema no constitua motivo de gran preocupacin para los proveedores, pero la conciencia acerca de la exposicin a los riesgos los ha obligado a destinar presupuestos considerables para la investigacin acerca de la seguridad. COMO SUCEDEN LOS FRAUDES INFORMTICOS. FRAUDE INFORMTICO. Accin culpable realizada por un ser humano que causa un perjuicio a personas sin que necesariamente se beneficie el autor o que por el contrario produzca un beneficio ilcito a su autor aunque no perjudique en forma directa o indirecta a la vctima. TIPOS DE DELITOS O FRAUDES INFORMTICOS Sabotaje Informtico En lo referente a Sabotaje Informtico podemos encontrar dos clasificaciones las cuales son las siguientes: Conductas dirigidas a causar daos fsicos Esto es cuando la persona que comete el delito causa daos fsicos al hardware del equipo objeto del delito. Aqu el dao fsico se puede ocasionar de muchas formas por la persona que tiene la intencin de causar dao. Conductas dirigidas a causar daos lgicos Esto comprende los daos causados a la informacin y todos los medios lgicos de los cuales se vale un Sistema de Cmputo para funcionar adecuadamente. Por ejemplo, daar la informacin contenida en unidades de almacenamiento permanente, ya sea alterando, cambiando o eliminando archivos; mover configuraciones del equipo de manera que dae la integridad del mismo; atentar contra la integridad de los datos pertenecientes al dueo del equipo de cmputo y todas formas de ocasionar daos en la parte lgica de un sistema de cmputo. Medios Utilizados para Realizar Daos Lgicos VIRUS: Es una serie de claves programticas que pueden adherirse a los programas legtimos y propagarse a otros programas informticos. Un virus puede ingresar en un sistema por conducto de una pieza legtima de soporte lgico que ha quedado infectada, as como utilizando el mtodo del Caballo de Troya. GUSANOS: Se fabrica de forma anloga al virus con miras a infiltrarlo en programas legtimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En trminos mdicos podra decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruir puede dar instrucciones a un sistema informtico de un banco para que transfiera continuamente dinero a una cuenta ilcita. BOMBA LGICA O CRONOLGICA: Exige conocimientos especializados ya que requiere la programacin de la destruccin o modificacin de datos en un momento dado del futuro. Ahora bien, al revs de los virus o los gusanos, las bombas lgicas son difciles de detectar antes de que exploten; por eso, de todos los dispositivos informticos criminales, las bombas lgicas son las que poseen el mximo potencial de dao. Fraude a travs de Computadoras Cuando la computadora es el medio para realizar y maquinar fraudes por una persona, se considera un delito. Manipulacin de los datos de entrada Equipo: 5 29
Este tipo de fraude informtico conocido tambin como sustraccin de datos, representa el delito informtico ms comn ya que es fcil de cometer y difcil de descubrir. Este delito no requiere de conocimientos tcnicos de informtica y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisicin de los mismos. Manipulacin de Programas Es muy difcil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos tcnicos concretos de informtica. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un mtodo comn utilizado por las personas que tienen conocimientos especializados en programacin informtica es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informtico para que pueda realizar una funcin no autorizada al mismo tiempo que su funcin normal. Manipulacin de los datos de salida Se efecta fijando un objetivo al funcionamiento del sistema informtico. El ejemplo ms comn es el fraude de que se hace objeto a los cajeros automticos mediante la falsificacin de instrucciones para la computadora en la fase de adquisicin de datos. Tradicionalmente esos fraudes se hacan a base de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar informacin electrnica falsificada en las bandas magnticas de las tarjetas bancarias y de las tarjetas de crdito. Espionaje Informtico El acceso se efecta a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuacin. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informticos se hacen pasar por usuarios legtimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseas comunes o contraseas de mantenimiento que estn en el propio sistema. Infraccin del copyright en bases de datos Es la infraccin de los derechos reservados del autor, ya que todo producto de marca tiene sus derechos y el infringir y violar la informacin de las bases de datos, ya sea ver, copiar, borrar, alterar es tambin un delito. SEGURIDAD INFORMTICA La seguridad informtica consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida as como su modificacin slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin. Podemos entender como seguridad un estado de cualquier tipo de informacin (informtico o no) que nos indica que ese sistema est libre de peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayora de los expertos el concepto de seguridad en la informtica es utpico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas: Integridad: La informacin slo puede ser modificada por quien est autorizado y de manera controlada. Confidencialidad: La informacin slo debe ser legible para los autorizados. Equipo: 5 30
Disponibilidad: Debe estar disponible cuando se necesita. Irrefutabilidad (No repudio): El uso y/o modificacin de la informacin por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha accin. Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad fsica, seguridad ambiental y seguridad lgica. En estos momentos la seguridad informtica es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que su informacin sea comprometida. Trminos relacionados con la seguridad informtica Activo: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que puede desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organizacin. Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una amenaza sobre un Activo. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio. Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podran englobar un mismo concepto, una definicin ms informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad est ligada a una Amenaza y el Riesgo a un Impacto. Puesta en marcha de una poltica de seguridad Actualmente las legislaciones nacionales de los Estados, obligan a las empresas, instituciones pblicas a implantar una poltica de seguridad. Ej: En Espaa la Ley Orgnica de Proteccin de Datos o tambin llamada LOPD y su normativa de desarrollo. Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificacin. Estos mecanismos permiten saber que los operadores tienen slo los permisos que se les dio. La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por eso en lo referente a elaborar una poltica de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organizacin. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusin Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informticos. Los derechos de acceso de los operadores deben ser definidos por los responsables jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la poltica de seguridad definida. Adems, como el administrador suele ser el nico en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e informacin relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de la comunicacin a los trabajadores sobre problemas y recomendaciones en trmino de seguridad. Equipo: 5 31
Plan de contingencia Un plan de contingencia es una estrategia planificada constituida por un conjunto de recursos de respaldo, una organizacin de emergencia y unos procedimientos de actuacin encaminada a conseguir una restauracin progresiva y gil de los servicios de negocios por una paralizacin total o parcial de la capacidad operativa de la empresa. La estrategia que se seala se plasma en un manual, que es el resultado de todo un proceso de anlisis y definiciones, lo que da lugar a las metodologas. Lo importante en estos conceptos es lo relativo a la continuidad del negocio, estudiar todo lo que pueda paralizar de alguna manera la actividad y por tanto producir alguna perdida, todo lo que no involucre ese criterio no ser un plan de contingencias. Las debilidades a atacar en un plan de contingencia se basan en: La fase de anlisis y diseo, aqu se estudia el problema, las necesidades de recursos las posibilidades de respaldo y se analiza el costo-beneficio de las mismas. Aqu podemos encontrar 2 familias de metodologas, por una parte las Risck Analisis y por otro Business Impact. Las Risck Analisis se basan en el estudio de los posibles riesgos desde el punto de vista de la probabilidad de que los mismos sucedan. Aunque los registros de incidentes, son escasos y pocos confiables. Los Business Impact, se basan en el estudio del impacto, prdida econmica o de imagen que ocasiona la falla de algn recurso de los que soporta la actividad del negocio. Esta metodologa es ms escasa, pero tienen grandes ventajas como es el mejor entendimiento del proceso o el menor empleo de tiempo de trabajo ya que van ms directamente al problema. (Scribd, 2010). Anexo 1: Doc. Matriz de Riesgos
PREVENCIN Y RECUPERACIN DE INCIDENTES

Plan de Contingencias es un instrumento de gestin para el buen gobierno de las Tecnologas de la Informacin y las Comunicaciones en el dominio del soporte y el desempeo. Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compaa. Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informtica o tecnologas. Otros departamentos pueden tener planes de continuidad que persiguen el mismo objetivo desde otro punto de vista. No obstante, dada la importancia de las tecnologas en las organizaciones modernas, el plan de contingencias es el ms relevante.
Ciclo de PDCA
El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Nace de un anlisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio. Sobre dicha base se seleccionan las contramedidas ms adecuadas entre diferentes alternativas, siendo plasmadas en el plan de contingencias junto con los recursos necesarios para ponerlo en marcha.
Equipo: 5
32
El plan debe ser revisado peridicamente. Generalmente, la revisin ser consecuencia de un nuevo anlisis de riesgo. En cualquier caso, el plan de contingencias siempre es cuestionado cuando se materializa una amenaza, actuando de la siguiente manera: Si la amenaza estaba prevista y las contramedidas fueron eficaces: se corrigen solamente aspectos menores del plan para mejorar la eficiencia. Si la amenaza estaba prevista pero las contramedidas fueron ineficaces: debe analizarse la causa del fallo y proponer nuevas contramedidas. Si la amenaza no estaba prevista: debe promoverse un nuevo anlisis de riesgos. Es posible que las contramedidas adoptadas fueran eficaces para una amenaza no prevista. No obstante, esto no es excusa para evitar el anlisis de lo ocurrido.
Contenido
El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materializacin de cualquier amenaza: El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin. El plan de emergencia. Contempla las contramedidas necesarias durante la materializacin de una amenaza, o inmediatamente despus. Su finalidad es paliar los efectos adversos de la amenaza. El plan de recuperacin. Contempla las medidas necesarias despus de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materializacin de la amenaza.
Por otra parte, el plan de contingencias no debe limitarse a estas medidas organizativas. Tambin debe expresar claramente: Qu recursos materiales son necesarios. Qu personas estn implicadas en el cumplimiento del plan. Cules son las responsabilidades concretas de esas personas y su rol dentro del plan. Qu protocolos de actuacin deben seguir y cmo son.
Ejemplo
Este ejemplo no es ni mucho menos exhaustivo. Supongamos una pequea compaa que se dedica a la produccin de prendas textiles. Un anlisis de riesgos identificara (entre otras cosas) lo siguiente: Activos e interdependencias: Oficinas centrales Centro de proceso de datos Computadoras y almacenamiento Informacin de pedidos y facturacin Proceso de negocio de ventas Imagen corporativa Este anlisis demuestra que una amenaza materializada en las oficinas centrales podra llegar a afectar al proceso de negocio dedicado a la venta. Aunque esto no impida a la compaa seguir comercializando productos, supondra una interrupcin temporal de las ventas. Adems afectara negativamente a la imagen corporativa provocando la prdida de clientes. As, se evaluara la siguiente amenaza y su impacto:
Equipo: 5
33
Amenaza: Incendio. (los activos afectados son los anteriores). Impacto: (es un ejemplo ficticio) Perdida de un 10% de clientes. Imposibilidad de facturar durante un mes. Imposibilidad de admitir pedidos durante un mes. Reconstruccin manual de pedidos y facturas a partir de otras fuentes. Sanciones por accidente laboral. Inversiones en equipamiento y mobiliario. Rehabilitacin del local. Todas estas consecuencias pueden valorarse en trminos monetarios, que junto a la probabilidad de materializacin ofrecen una estimacin del riesgo. El plan de contingencias contendra someramente las siguientes contramedidas:
Medidas tcnicas:
Extintores contra incendios. Detectores de humo. Salidas de emergencia. Equipos informticos de respaldo. Medidas organizativas: Seguro de incendios. Precontrato de alquiler de equipos informticos y ubicacin alternativa. Procedimiento de copia de respaldo. Procedimiento de actuacin en caso de incendio. Contratacin de un servicio de auditora de riesgos laborales.
Medidas humanas:
Formacin para actuar en caso de incendio. Designacin de un responsable de sala. Asignacin de roles y responsabilidades para la copia de respaldo.
Plan de respaldo:
Revisin de extintores. Simulacros de incendio. Realizacin de copias de respaldo. Custodia de las copias de respaldo (por ejemplo, en la caja fuerte de un banco). Revisin de las copias de respaldo.
Plan de emergencia:
Activacin del precontrato de alquiler de equipos informticos. Restauracin de las copias de respaldo. Reanudacin de la actividad.
Equipo: 5
34
Plan de recuperacin:
Evaluacin de daos. Traslado de datos desde la ubicacin de emergencia a la habitual. Reanudacin de la actividad. Desactivacin del precontrato de alquiler. Reclamaciones a la compaa de seguros.
Centro de respaldo
Un centro de respaldo es un centro de procesamiento de datos (CPD) especficamente diseado para tomar el control de otro CPD principal en caso de contingencia.
Motivacin
Grandes organizaciones, tales como bancos o Administraciones Pblicas, no pueden permitirse la prdida de informacin ni el cese de operaciones ante un desastre en su centro de proceso de datos. Terremotos, incendios o atentados en estas instalaciones son infrecuentes, pero no improbables. Por este motivo, se suele habilitar un centro de respaldo para absorber las operaciones del CPD principal en caso de emergencia.
Diseo de un centro de respaldo
Un centro de respaldo se disea bajo los mismos principios que cualquier CPD, pero bajo algunas consideraciones ms. En primer lugar, debe elegirse una localizacin totalmente distinta a la del CPD principal con el objeto de que no se vean ambos afectados simultneamente por la misma contingencia. Es habitual situarlos entre 20 y 40 kilmetros del CPD principal. La distancia est limitada por las necesidades de telecomunicaciones entre ambos centros. En segundo lugar, el equipamiento electrnico e informtico del centro de respaldo debe ser absolutamente compatible con el existente en el CPD principal. Esto no implica que el equipamiento deba ser exactamente igual. Normalmente, no todos los procesos del CPD principal son crticos. Por este motivo no es necesario duplicar todo el equipamiento. Por otra parte, tampoco se requiere el mismo nivel de servicio en caso de emergencia. En consecuencia, es posible utilizar hardware menos potente. La pecera de un centro de respaldo recibe estas denominaciones en funcin de su equipamiento: Sala blanca: cuando el equipamiento es exactamente igual al existente en el CPD principal. Sala de back-up: cuando el equipamiento es similar pero no exactamente igual.
En tercer lugar, el equipamiento software debe ser idntico al existente en el CPD principal. Esto implica exactamente las mismas versiones y parches del software de base y de las aplicaciones corporativas que estn en explotacin en el CPD principal. De otra manera, no se podra garantizar totalmente la continuidad de operacin. Por ltimo, pero no menos importante, es necesario contar con una rplica de los mismos datos con los que se trabaja en el CPD original. Este es el problema principal de los centros de respaldo, que se detalla a continuacin.
El sincronismo de datos
Equipo: 5 35
Existen dos polticas o aproximaciones a este problema: Copia sncrona de datos: Se asegura que todo dato escrito en el CPD principal tambin se escribe en el centro de respaldo antes de continuar con cualquier otra operacin. Copia asncrona de datos: No se asegura que todos los datos escritos en el CPD principal se escriban inmediatamente en el centro de respaldo, por lo que puede existir un desfase temporal entre unos y otros. La copia asncrona puede tener lugar fuera de lnea. En este caso, el centro de respaldo utiliza la ltima copia de seguridad existente del CPD principal. Esto lleva a la prdida de los datos de operaciones de varias horas (como mnimo) hasta das (lo habitual). Esta opcin es viable para negocios no demasiado crticos, donde es ms importante la continuidad del negocio que la prdida de datos. Por ejemplo, en cadenas de supermercados o pequeos negocios. No obstante, es inviable en negocios como la banca, donde es impensable la prdida de una sola transaccin econmica. En los dems casos, la poltica de copia suele descansar sobre la infraestructura de almacenamiento corporativo. Generalmente, se trata de redes SAN y cabinas de discos con suficiente inteligencia como para implementar dichas polticas. Tanto para la copia sncrona como asncrona, es necesaria una extensin de la red de almacenamiento entre ambos centros. Es decir, un enlace de telecomunicaciones entre el CPD y el centro de respaldo. En caso de copia sncrona es imprescindible que dicho enlace goce de baja latencia. Motivo por el que se suele emplear un enlace de fibra ptica, que limita la distancia mxima a decenas de kilmetros. Existen dos tecnologas factibles para la copia de datos en centros de respaldo: iSCSI. Fibre Channel
La copia sncrona es esencial en negocios como la banca, donde no es posible la prdida de ninguna transaccin. La copia asncrona es viable en la mayora de los casos, ya que el desfase temporal de la copia se limita a unos pocos minutos.
El centro de respaldo en contexto
Un centro de respaldo por s slo no basta para hacer frente a una contingencia grave. Es necesario disponer de un Plan de Contingencias corporativo. Este plan contiene tres subplanes que indican las medidas tcnicas, humanas y organizativas necesarias en tres momentos clave: Plan de respaldo: Contempla las actuaciones necesarias antes de que se produzca un incidente. Esencialmente, mantenimiento y prueba de las medidas preventivas. Plan de emergencia: Contempla las actuaciones necesarias durante un incidente. Plan de recuperacin: Contempla las actuaciones necesarias despus de un incidente. Bsicamente, indica cmo volver a la operacin normal.
El centro de respaldo no es la nica manera de articular el plan de contingencia. Tambin es posible el outsourcing de servicios similares.
Equipo: 5
36
Tiene como fundamental objetivo el salvaguardar la infraestructura de la Red y Sistemas de Informacin extremando las medidas de seguridad para protegernos y estar preparados a una contingencia de cualquier tipo. El Plan de Contingencia Informtico (o Plan de Contingencia Institucional) implica un anlisis de los posibles riesgos a cuales pueden estar expuestos nuestros equipos de cmputo y sistemas de informacin. Corresponde aplicar al Centro de Informtica y Telecomunicaciones, aplicar medidas de seguridad para proteger y estar preparados para afrontar contingencias y desastres de diversos tipos. El alcance de este plan guarda relacin con los procedimientos relevantes asociados con la plataforma tecnolgica. La infraestructura informtica est conformada por el hardware, software y elementos complementarios que soportan la informacin o datos crticos para la funcin del negocio. Los procedimientos relevantes a la infraestructura informtica, son aquellas tareas que el personal realiza frecuentemente al interactuar con la plataforma informtica (entrada de datos, generacin de reportes, consultas, etc.).El Plan de Contingencia est orientado a establecer un adecuado sistema de seguridad fsica y lgica en previsin de desastres, de tal manera de establecer medidas destinadas a salvaguardar la informacin contra los daos producidos por hechos naturales o por el hombre. La informacin como uno de los activos ms importantes de la Organizacin, es el fundamento ms importante de este Plan de Contingencia. Al existir siempre la posibilidad de desastre, pese a todas nuestras medidas de seguridad, es necesario que El Plan de Contingencia Informtico incluya el Plan de Recuperacin de Desastres con el nico objetivo de restaurar el Servicio Informtico en forma rpida, eficiente, con el menor costo y perdidas posibles. Se entiende por PLAN DE CONTINGENCIA los procedimientos alternativos al orden normal de una empresa, cuyo fin es permitir el normal funcionamiento de esta, aun cuando alguna de sus funciones se viese daada por un accidente interno o externo. Que una organizacin prepare sus planes de contingencia, no significa que reconozca la ineficacia de su empresa, sino que supone un avance a la hora de superar cualquier eventualidad que puedan acarrear prdidas o importantes prdidas y llegado el caso no solo materiales sino personales. Los Planes de Contingencia se deben hacer de cara a futuros acontecimientos para los que hace falta estar preparado. La funcin principal de un Plan de Contingencia es la continuidad de las operaciones de la empresa su elaboracin la dividimos en cuatro etapas: 1.-Evaluacin. 2.-Planificacin. 3.-Pruebas de viabilidad. 4.-Ejecucin. Los responsables de la Planificacin, deben evaluar constantemente los planes creados del mismo modo debern pensar en otras situaciones que se pudiesen producir. Un Plan de Contingencia esttico se queda rpidamente obsoleto y alimenta una falsa sensacin de seguridad, solo mediante la revisin y actualizacin peridicas de lo dispuesto en el Plan las medidas preparatorias adoptadas seguirn siendo apropiadas y pertinentes. Toda planificacin de contingencia debe establecer objetivos estratgicos as como un Plan de accin para alcanzar dichos objetivos. A continuacin veremos las diferencias
Equipo: 5
37
fundamentales entre una Planificacin de la Contingencia y la planificacin de los objetivos. La planificacin de la contingencia implica trabajar con hiptesis y desarrollar los escenarios sobre los que se va a basar la planificacin. La planificacin de objetivos ya se conoce el punto de partida y se basar en la evaluacin de las necesidades y recursos. Un Plan de Contingencia debe ser exhaustivo pero sin entrar en demasiados detalles, debe ser de fcil lectura y cmodo de actualizar. Debemos tener en cuenta que un Plan de Contingencia, eminentemente, debe ser Operativo y debe expresar claramente lo que hay que hacer, por quien y cuando. Toda Planificacin debe tener en cuenta al personal que participar directamente en ella desde el personal que lo planifica hasta aquellos que operativamente participaran en el accidente. Debemos tener en cuenta los procedimientos para la revisin del Plan, quien lo actualizar y como, esa informacin, llegara a los afectados. Una Planificacin de Contingencias debe ser tambin un Plan de Emergencia que contenga los siguientes elementos: Identificacin del escenario Objetivos operativos Medidas que se deben adoptar Investigacin Conclusiones
Objetivos Generales
Minimizar las prdidas, Objetivos Particulares. Gestin y coordinacin global, asignacin de responsabilidades Activacin del Plan de Emergencia Minimizar las perdidas
Contenido del Plan de Contingencia

La naturaleza de la contingencia Las repercusiones operativas de la contingencia Las respuestas viables Las implicaciones financieras de las respuestas Cualquier efecto en otro proceso
Se debern valorar los diferentes escenarios, esta actividad es la ms intuitiva y sin embargo una de las ms importantes ya que sienta las bases de toda la planificacin posterior. Para establecer escenarios es necesario formular distintas hiptesis, aunque estas se basen en todos los conocimientos disponibles, nunca se debe eliminar el elemento de imprevisibilidad. Los planes de contingencia debern ser realistas y eficaces. Deber existir un mecanismo para determinar qu plan de contingencia alternativo se instrumentar, tomando en consideracin la eficiencia con respecto al costo. En situaciones de crisis, el rendimiento con respecto a otros objetivos es secundario. (Ibrica, 2012)
Equipo: 5
38
Las principales actividades requeridas para la implementacin del Plan de Contingencia son: Identificacin de riesgos, Evaluacin de riesgos, Asignacin de prioridades a las aplicaciones, Establecimiento de los requerimientos de recuperacin, Elaboracin de la documentacin, Verificacin e implementacin del plan, Distribucin y mantenimiento del plan. Un Plan de Contingencia es la herramienta que la institucin debe tener, para desarrollar la habilidad y los medios de sobrevivir y mantener sus operaciones, en caso de que un evento fuera de su alcance le pudiera ocasionar una interrupcin parcial o total en sus funciones. Las polticas con respecto a la recuperacin de desastres deben de emanar de la mxima autoridad Institucional, para garantizar su difusin y estricto cumplimiento. No existe un plan nico para todas las organizaciones, esto depende de la infraestructura fsica y las funciones que realiza en Centro de Procesamiento de Datos ms conocido como Centro de Cmputo. Lo nico que realmente permite a la institucin reaccionar adecuadamente ante procesos crticos, es mediante la elaboracin, prueba y mantenimiento de un Plan de Contingencia. Lo ms importante es no tener que usar un plan de recuperacin. No obstante al ser posible su utilizacin. Toma especial relevancia el tener resuelta la incidencia en caso de producirse lo emergencia El plan de recuperacin debe ser efectivo. Entrenado y probado. De esta forma tendr una un impacto menor en lo marcha de una empresa aunque qu duda cabe un impacto a fin. Los componentes de seguridad pueden funcionar mal o incluso no funcionar, se puede deber a obsolescencia. Mal diseo. Abandono, etc... Es por consiguiente imprescindible para tener a punto un plan de recuperacin efectivo, tener controlados los diferentes componentes que intervienen en el mismo a) Medidas de recuperacin. Poro realizar la recuperacin es necesario disponer de Equipos de Recuperacin. Cuyos miembros tendrn procedimientos de actuacin y guas de recuperacin escritas en forma concisa. Igualmente. Es importante que haya procedimientos alternativas a las tareas que normalmente se realizan b) Centro de proceso de datos alternativo. El C.P.D. alternativo es una instalacin en a que se pueden seguir realzando as operaciones imprescindibles que necesito la Empresa para sobrevivir. En el caso que nuestro Centro primar10 no sea operativo. Para poder funcionar en un C.P.D. Alternativo es necesario tener: - Procedimientos alternativos escritos. - Equipos de proceso alternativo.
Equipo: 5
39
- Gua de actuacin. Una vez asumida como estrategia de respaldo la existencia de dos Centros de Proceso de Datos (el propio o primario y el alternativo). Se distinguen estas dos alternativas: 1. Centro propio El elevadsimo coste que lleva asociado la construccin de un centro alternativo propio hace de un centro alternativo propio hace altamente compleja la decisin de adoptar esta solucin de backup frente a las alternativas pooling. Paralelamente a este grave inconveniente aparecen aspectos positivos y ventajas proporcionadas por un centro propio: Posibilidad de plantear una informtica distribuida. Mayor fiabilidad. Generalmente mayor cobertura de servicios. Menor ~Timer Framen. Mayor facilidad de mantenimiento del plan de contingencia. Mayor flexibilidad en la realizacin de pruebas. Mayor flexibilidad ante el crecimiento o modificacin de la estrategia informtica. Al contrario que en las estrategias pooling. los casos de contingencia simultnea con otras entidades suponen, antes que un grave inconveniente. una potencial ventaja de negocio.
TIENE SOLUCIN
Ilustracin 9. Entidades que suponen de "Software" de Seguridad
La decisin en un sentido u otro deber salir de la ponderacin de los aspectos positivos frente los costes. En algunas ocasiones una toma de postura se facilita debido a una especial situacin en que se encuentra la organizacin implicada. As - Muchas organizaciones Consideran sus recursos de proceso de datos
Equipo: 5
40
inadecuados paro dar respuesta al crecimiento de la institucin Uno solucin a este problema consiste en una construccin de un segundo CPD. De tal manera que paralelamente al objetivo citado se consigue respaldo recproco entre ambos centros. Las fusiones entre entidades que cuentan con centros de procesos de datos facilitan y abarata la posibilidad de contar con centros alternativos. Los parmetros de grado de cobertura de servicio y dime Framen permiten establecer los siguientes tipos de centros de respaldo:
Centro caliente (Hot backup).

Este tipo de respaldo consiste en una coexistencia del CPD actual y de un segundo centro de proceso ya operacional y listo pero mediante una conmutacin automtica. Hacer prcticamente instantnea a continuidad operativa.
Centro templado (Warm backup)

Se bas en la utilizacin de un segundo centro. Posiblemente operacional, listo para asumir con sus recursos la continuidad del proceso operativo con un retardo que puede ir desde varias horas hasta uno o ms das.
Centro fro (Coid backup).

En este caso el segundo centro de proceso de datos cuento con un equipamiento escaso o no est equipado con lo que la demora en la continuidad operativo es bastante ms elevado que en os casos anteriores. Paralelamente a la estrategia de equipamiento se plantea una estrategia de utilizacin de dicho equipamiento. Desde este punto de vista se pueden enumerar los siguientes alternativos,
Centros espejo
En esta estrategia las aplicaciones del CPD principal estn replicadas en el centro de respaldo de tal manera que las bases de datos estn actualizadas en ambos centros pudindose realizar la conmutacin con un retardo mnimo. Esta estrategia implica la existencia de un centro primario (CPD principal) y uno secundario (centro respaldo). La consecuencia inmediata de todo ello es que el respaldo es unidireccional y no mutuo o bidireccional.
Centros en espera (Standby).

Esta estrategia se basa en la idea de que el proceso de datos no se realiza en el centro de respaldo, estando la base de datos almacenada en disco y siendo actualizada de manera peridica. De igual manera que en la alternativa anterior el backup es unidireccional.
Centros con produccin distribuida.
Equipo: 5
41
Es la estrategia ms comn. Dos CPD, generalmente especiales, se organizan de tal manera que la carga de trabajo se reparte entre ambos. Esta estrategia de respaldo es bidireccional, pues cada centro proporciona bockup al otro (por que ambos deben estar sobredimensionados).
Centro compartido (Pooing)

Esta estrategia contempla la existencia de un centro de respaldo (hot. warm o cold backup) ofrecido por una entidad de servicios y compartido por varias instituciones. La seleccin del servicio debe hacerse de acuerdo a las necesidades de cobertura y teniendo en cuenta la compatibilidad de los equipos. Esta opcin presenta el riesgo de que slo uno de los suscriptores puede hacer uso del mismo en un momento dado, por lo que de ocurrir simultneamente en das de las entidades la realizacin de su proceso de datos se planteara una situacin altamente conflictiva si como es normal el centro no tiene capacidad suficiente para dar respaldo a ambas. Paro evitar esto pueden plantearse clusulas contractuales que concedan prioridad a la entidad suscriptora del servicio en caso de que necesite los recursos a la vez que otro(s) de los contratantes del servicio compartido. Sin embargo, los costes al compartirse entre los distintos usuarios son considerablemente inferiores a la opcin de centro propio uno de los principales problemas que existen con esta opcin es que los recursos necesarios a contratar no los dan los suministradores de este servicio en el mercado. S este punto se consigue resolver, esta opcin tiene una relacin calidad precio muy buena. La existencia de una situacin de contingencia no evito la necesidad de medidas de seguridad fsica y lgica. El centro compartido deber garantizar el control de acceso. as como la seguridad de equipos y datos Ya que en la situacin de contingencia se debe mantener el mismo nivel de seguridad de la informacin. Otros aspectos a considerar deben ser: Vas rpidos de acceso al centro (aeropuertos. autopistas). Facilidades de almacenamiento de soporte. Capacidades de lneas de comunicaciones (RTC. punto a punto. X.25. RSAN). Servicios de consultora proporcionados por el suministrador del servicio. Personal de soporte y mantenimiento proporcionados por el suministrador del servicio, Salas para el personal de la propia entidad contratante. La superficie disponible en el CPD. La cobertura horaria. La fecho de puesta en marcho del centro, Situacin econmica y laboral de lo empresa suministradora del servicio pooling. Periodicidad de las pruebas, duracin mximo de las mismas y exigencia de plan de contingencias. Posibilidad de uso en situaciones de no contingencia.
Copias de Seguridad/Backups en medios de almacenamiento

Equipo: 5 42
Se almacenan en forma temporal o permanentemente los programas y datos que son manejados por las aplicaciones que se ejecutan en estos sistemas.
Dispositivos pticos
El CD-R: es un disco compacto de 650 MB de capacidad que puede ser ledo cuantas veces se desee, pero cuyo contenido no puede ser modificado una vez que ya ha sido grabado. Dado que no pueden ser borrados ni regrabados, son adecuados para almacenar archivos u otros conjuntos de informacin invariable.
Ilustracin 10. CD-R
CD-RW: posee la capacidad del CD-R con la diferencia que estos discos son regrabables lo que les da una gran ventaja. Las unidades CD-RW pueden grabar informacin sobre discos CD-R y CD-RW y adems pueden leer discos CD-ROM y CDS de audio. Las interfaces soportadas son EIDE, SCSI y USB. DVD-ROM: es un disco compacto con capacidad de almacenar 4.7 GB de datos en una cara del disco, un aumento de ms de 7 veces con respecto a los CD-R y CD-RW. Y esto es en una sola cara. Los futuros medios de DVD-ROM sern capaces de almacenar datos en ambas caras del disco, y usar medios de doble capa para permitir a las unidades leer hasta cuatro niveles de datos almacenados en las dos caras del disco dando como resultado una capacidad de almacenamiento de 17 GB. Las unidades DVD-ROM son capaces de leer los formatos de discos CD-R y CD-RW. Entre las aplicaciones que aprovechan la gran capacidad de almacenamiento de los DVD-ROM tenemos las pelculas de larga duracin y los juegos basados en DVD que ofrecen videos MPEG-2 de alta resolucin, sonido inversivo Dolby AC-3, y poderosas graficas 3D.
Ilustracin 11. DVD-ROM
DVD-RAM: este medio tiene una capacidad de 2.6 GB en una cara del disco y 5.2 GB en un disco de doble cara, Los DVD-RAM son capaces de leer cualquier disco CD-R o CD-RW pero no es capaz de escribir sobre estos. Los DVD-RAM son regrabables pero los discos no pueden ser ledos por unidades DVD-ROM.
Equipo: 5
43
Ilustracin 12. DVD-RAM
Pc - Cards: La norma de PCMCIA es la que define a las PC Cards. Las PC Cards pueden ser almacenamiento o tarjetas de I/O. Estas son compactas, muy fiable, y ligeras hacindolos ideal para notebooks, palmtop, handheld y los PDAs. Debido a su pequeo tamao, son usadas para el almacenamiento de datos, aplicaciones, tarjetas de memoria, cmaras electrnicas y telfonos celulares. Las PC Cards tienen el tamao de una tarjeta del crdito, pero su espesor vara. La norma de PCMCIA define tres PC Cards diferentes: Tipo I 3.3 milmetros (mm) de espesor, Tipo II son 5.0 mm espesor, y Tipo III son 10.5 mm espesor. Entre los producto ms nuevos que usan PC Cards tenemos el Clik! PC Card Drive de Iomega esta unidad PC Card Tipo II la cual puede leer y escribir sobre discos de 40 MB de capacidad, esta unidad est diseada para trabajar con computadores porttiles con mnimo consumo de bateras, el tamao de los discos es de 2x2 pulgadas.
Ilustracin 13. Pc-Cards
Flash Cards: son tarjetas de memoria no voltil es decir conservan los datos aun cuando no estn alimentadas por una fuente elctrica, y los datos pueden ser ledos, modificados o borrados en estas tarjetas. Con el rpido crecimiento de los dispositivos digitales como: asistentes personales digitales, cmaras digitales, telfonos celulares y dispositivos digitales de msica, las flash cards han sido adoptadas como medio de almacenamiento de estos dispositivos haciendo que estas bajen su precio y aumenten su capacidad de almacenamiento muy rpidamente. Recientemente Toshiba libero al mercado su nuevo flash cards la SmartMedia de 64 MB y el super-thin 512M-bit chip. La Smart Media es capaz de almacenar 72 imgenes digitales con una resolucin de 1800x1200 pixels y ms de 1 hora de msica con calidad de CD. Entre los productos del mercado que usan esta tecnologa tenemos los reproductores de audio digital Rio de Diamond, Nomad de Creative Labs, los PDAs de Compaq, el Microdrive de IBM con 340 MB de almacenamiento entre otros.
Dispositivos Extrables
Pen Drive o Memory Flash: Es un pequeo dispositivo de almacenamiento que utiliza la memoria flash para guardar la informacin sin necesidad de pilas. Los Pen Drive son resistentes a los rasguos y al polvo que han afectado a las formas previas de almacenamiento portable, como los CD y los disquetes. Los sistemas operativos ms modernos pueden leer y escribir en ello sin necesidad de controladores
Equipo: 5
44
especiales. En los equipos antiguos (como por ejemplo los equipados con Windows 98) se necesita instalar un controlador de dispositivo.
Ilustracin 14. USB
Unidades de Zip: La unidad Iomega ZIP es una unidad de disco extrable. Est disponible en tres versiones principales, la hay con interfaz SCSI, IDE, y otra que se conecta a un puerto paralelo. Este documento describe cmo usar el ZIP con Linux. Se debera leer en conjuncin con el HOWTO SCSI a menos que posea la versin IDE. (ARESPACOCHAGA, 2011)
Ilustracin 15. Unidades de Zip
NIST SP800
Preparacin: consiste en la preparacin del Sistema para resistir a los incidentes de seguridad, y configurar stos de forma segura. Configuracin segura de los Sistemas para intentar prevenir y/o reducir los incidentes de Seguridad. La gua proporciona una serie de "consejos" (tcnico y/o procedimentales) que preparan el sistema ante los incidentes de Seguridad. Deteccin y Anlisis: una vez ocurrido un suceso (evento / incidente) este debe ser identificado, categorizado, analizado, documentado y por supuesto notificado. Contencin, Eliminacin y Recuperacin: Una vez notificado, lo primero es contener el "incidente", para ello se debe de contar con un plan de contingencia, registrar las evidencias necesarias para posibles anlisis forenses posteriores con la correspondiente "cadena de custodia", antes de realizar ninguna actuacin en el Sistema. Una vez hecho esto, se est en condiciones de aplicar el Plan de Contingencia, proceder a la contencin, eliminacin y recuperacin de los Sistemas. Lecciones aprendidas: Con objeto de evitar futuros incidentes de seguridad, es muy importante analizar lo sucedido y aprender de los errores cometidos. Adems, se deber de mantener las evidencias hasta que la investigacin del incidente de seguridad se da por concluida. El periodo de retencin deber de estar especificado en la poltica de Seguridad, o dependiendo del Sistema podr venir impuesto por una normativa especfica. El ltimo apartado de la gua proporciona una serie de recomendaciones, que nunca est de mal recordar:
Equipo: 5
45
Preparar todas las herramientas necesarias para la actuacin en la gestin del incidente. Tener listo los equipos y juego de herramientas del Equipo de Respuesta (ERI). Prevenir los ataques mediante la "seguridad" de los Sistemas, redes y aplicaciones. Realizar peridicamente anlisis de riesgos, y auditoras del Sistema Identificar los indicadores necesarios para generar las alertas de seguridad, por ejemplo, configurar sistema de correlacin de eventos de Seguridad (SIEM). Crear los mecanismos necesarios, as como los canales de comunicacin para informar de los incidentes de seguridad a los organismos necesarios (CERT) en caso de necesidad. Lista de telfonos, contactos establecidos previamente, con persona de contacto, etc. Disponer una "baseline" en la auditora y sistema de registro (logging) de los Sistemas, con el suficiente nivel de detalle como para poder realizar anlisis forenses detallados en caso de ser necesario. Parametrizar el comportamiento habitual de la Red / Sistema, con objeto de categorizar mejor las amenazas, e identificar / categorizar los incidentes de seguridad. Establecer polticas de retencin de logs, as como planes de contingencias. Muy importante, es establecer un "marco de referencia temporal comn", todos los sistemas debern de estar debidamente sincronizados en el tiempo. Crear un sistema (por ejemplo: Wiki) para compartir cada resolucin de los eventos / incidentes con objeto de mantener una "base de datos" del conocimiento. Por supuesto, se deben de pautar / procedimentar todos los pasos necesarios para la gestin del incidente. (Gonzlez, 2013)
ISO 17799
En toda organizacin que haga uso de las tecnologas de informacin se recomienda implementar buenas prcticas de seguridad, pues en muchas ocasiones el no seguir un proceso de implementacin adecuado como el que establece el ISO 17799 puede generar huecos por la misma complejidad de las organizaciones, en ese sentido, aumenta la posibilidad de riesgos en la informacin. Este estndar internacional de alto nivel para la administracin de la seguridad de la informacin, fue publicado por la ISO (International Organization for Standardization) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. El ISO 17799, al definirse como una gua en la implementacin del sistema de administracin de la seguridad de la informacin, se orienta a preservar los siguientes principios de la seguridad informtica: Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la informacin. Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por entidades no autorizadas. Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la informacin cuando la requieran. Estos principios en la proteccin de los activos de informacin constituyen las normas bsicas deseables en cualquier organizacin, sean instituciones de gobierno, educativas e investigacin; no obstante, Equipo: 5 46
dependiendo de la naturaleza y metas de las organizaciones, stas mostrarn especial nfasis en algn dominio o rea del estndar ISO 17799. El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de la organizacin, reducir al mnimo los daos causados por una contingencia, as como optimizar la inversin en tecnologas de seguridad. Como todo buen estndar, el ISO 17799 da la pauta en la definicin sobre cules metodologas, normas o estndares tcnicos pueden ser aplicados en el sistema de administracin de la seguridad de la informacin, se puede entender que estos estndares son auxiliares y sern aplicados en algn momento al implementar el mismo. La aplicacin de un marco de referencia de seguridad basado en el ISO 17799 proporciona beneficios a toda organizacin que lo implemente, al garantizar la existencia de una serie de procesos que permiten evaluar, mantener y administrar la seguridad de la informacin. Las polticas, estndares locales y los procedimientos se encuentran adaptados a las necesidades de la organizacin debido a que el proceso mismo de su elaboracin integra mecanismos de control y por ltimo, la certificacin permite a las organizaciones demostrar el estado de la seguridad de la informacin, situacin que resulta muy importante en aquellos convenios o contratos con terceras organizaciones que establecen como requisito contractual la certificacin BS7799.
Antecedentes
Es importante entender los principios y objetivos que dan vida al ISO 17799, as como los beneficios que cualquier organizacin, incluyendo las instituciones pblicas, privadas y ambientes educativos pueden adquirir al implementarlo en sus prcticas de seguridad de la informacin. El estndar de seguridad de la informacin ISO 17799, descendiente del BS 7799 Information Security Management Standard de la BSI (British Standard Institute) que public su primera versin en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos partes: Por la necesidad generalizada de contar con un estndar de carcter internacional que permitiera reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se elabor el estndar ISO17799:2000, basado principalmente en la primera parte del BS 7799 conocida como Cdigo de Prcticas (BS 7799 Part 1: Code of Practice).
Los controles del ISO 17799

El xito de la implementacin del estndar de seguridad ISO 17799 requiere de una serie de procedimientos donde, inicialmente, el anlisis de riesgos identificar los activos de la informacin y las amenazas a las cuales se encuentra expuesta. El anlisis de riesgos guiar en la correcta seleccin de los controles que apliquen a la organizacin; este proceso se conoce en la jerga del estndar como Statement of Applicability, que es la definicin de los controles que aplican a la organizacin con objeto de proporcionar niveles prcticos de seguridad de la informacin y medir el cumplimiento de los mismos.
Equipo: 5
47
A continuacin, se describirn cada una de las diez reas de seguridad con el objeto de esclarecer los objetivos de estos controles. Polticas de seguridad. El estndar define como obligatorias las polticas de seguridad documentadas y procedimientos internos de la organizacin que permitan su actualizacin y revisin por parte de un Comit de Seguridad. Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una organizacin, tales como un foro de administracin de la seguridad de la informacin, un contacto oficial de seguridad (Information System Security Officer ISSO), revisiones externas a la infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos. Clasificacin y control de activos. El anlisis de riesgos generar el inventario de activos que deber ser administrado y controlado con base en ciertos criterios de clasificacin y etiquetado de informacin, es decir, los activos sern etiquetados de acuerdo con su nivel de confidencialidad. Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la ptica de proteccin civil, sino a proporcionar controles a las acciones del personal que opera con los activos de informacin. El objetivo de esta rea del estndar es contar con los elementos necesarios para mitigar el riesgo inherente a la interaccin humana, es decir, establecer claras responsabilidades por parte del personal en materia de seguridad de la informacin. Seguridad fsica y de entorno. Identificar los permetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de informacin y control de los accesos a las distintas reas con base en el tipo de seguridad establecida. Comunicaciones y administracin de operaciones. Integrar los procedimientos de operacin de la infraestructura tecnolgica y de controles de seguridad documentados, que van desde el control de cambios en la configuracin de los equipos, manejo de incidentes, administracin de aceptacin de sistemas, hasta el control de cdigo malicioso. Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de informacin, que incluyen los procedimientos de administracin de usuarios, definicin de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones. Desarrollo de sistemas y mantenimiento. La organizacin debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas especficas de la organizacin. Continuidad de las operaciones de la organizacin. El sistema de administracin de la seguridad debe integrar los procedimientos de recuperacin en caso de contingencias, los cuales debern ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos. Requerimientos legales. La organizacin establecer los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; stos se encontrarn formalizados en los contratos o convenios.
Equipo: 5
48
Cada una de las reas establece una serie de controles que sern seleccionados dependiendo de los resultados obtenidos en el anlisis de riesgos, adems, existen controles obligatorios para toda organizacin, como es el de las polticas de seguridad cuyo nmero depender ms de la organizacin que del estndar, el cual no establece este nivel de detalle.
PROTOCOLO SSH
Permite a los usuarios registrarse en sistemas de host remotamente a travs de la Shell, Encriptado la sesin de registro no permite que alguien pueda obtener contraseas no encriptados.
Por qu usar SSH?

Existen ciertas amenazas: Intercepcin de la comunicacin entre dos sistemas: un tercero en algn lugar de la red entre entidades en comunicacin hace una copia de la informacin que pasa entre ellas. La parte interceptora puede interceptar y conservar la informacin, o puede modificar la informacin y luego enviarla al recipiente al cual estaba destinada. Personificacin de un determinado host : un sistema interceptor finge ser el receptor a quien est destinado un mensaje. Si funciona la estrategia, el cliente no se da cuenta del engao y contina la comunicacin con el interceptor como si su mensaje hubiese llegado a su destino satisfactoriamente.
El cliente puede verificar que se est conectado a un mismo servidor Informacin de autenticacin encriptado con 128 bits Datos enviados y recibidos encriptados con 128 bits Posibilidad de enviar aplicaciones lanzadas desde el intrprete de comandos (reenvo por X11)
Existen dos variedades en la actualidad: SSH v.1: vulnerable a un agujero de seguridad que permite, a un intruso, insertar datos en la corriente de comunicacin SSH v.2: carece de dicho agujero de seguridad (OpenSSH)
Secuencia de eventos de una conexin SSH

Handshake encriptado para que el cliente pueda verificar la comunicacin con el servidor correcto Encriptacin de la capa de transporte entre cliente y servidor mediante cdigo simtrico Autenticacin del cliente ante el servidor
Equipo: 5
49
Interactuacin del cliente con la mquina remota sobre la conexin encriptada
Capa de transporte
Facilita una comunicacin segura entre los dos hosts en el momento y despus de la autenticacin, Maneja la encriptacin y decodificacin de datos y proporciona proteccin de integridad de los paquetes de datos mientras son enviados y recibidos. Comprime los datos, acelerando la transmisin de informacin. Al contactar un cliente a un servidor se producen los siguientes pasos: Intercambio de claves Determinacin del algoritmo de encriptacin de la clave pblica Determinacin del algoritmo de encriptacin simtrica Determinacin del algoritmo de autenticacin de mensajes Determinacin del algoritmo de hash que hay que usar El servidor se identifica con una clave de host nica. Despus del intercambio de claves se crea un valor hash para el intercambio y un valor compartido secreto. Transmitir una cierta cantidad de datos con un determinado algoritmo y clave se produce otro intercambio de claves que genera otro conjunto de valores hash y un nuevo valor secreto compartido.
Autentificacin
Servidor informa al cliente de los mtodos de autenticacin soportados (firmas privadas codificadas con claves, insercin de contrasea,) Cliente se autenticar con cualquiera de los mtodos Clientes y servidores SSH se pueden configurar para conceder varios tipos de autenticacin Servidor decide qu mtodos de encriptacin soportar en base a su pauta de seguridad Cliente puede elegir el orden en que intentar utilizar los mtodos entre las distintas opciones
Canales
Mltiples canales son abiertos mediante multiplexacin Cada canal maneja la conexin para diferentes sesiones de terminal y de X11 Tanto clientes como servidores pueden crear canales nuevos Soportan el control de flujo que les permite enviar y recibir datos ordenadamente. Los datos no se envan a travs del canal sino hasta que el host haya recibido un mensaje avisando que el canal est abierto y puede recibirlos Equipo: 5 50
El cliente y el servidor negocian las caractersticas de cada canal automticamente. Otorga una gran flexibilidad en el manejo de diferentes tipos de conexiones remotas sin tener que cambiar la infraestructura bsica del protocolo
Reenvo del puerto

Permite asegurar los protocolos TCP/IP a travs del reenvo de puertos. Funciona mediante el mapeado de un puerto local en el cliente a un puerto remoto del servidor Creacin de un canal de reenvo de puerto TCP/IP que escucha conexiones del host local: ssh -L local-port:remote-hostname:remote-port username@hostname
Requerir SSH para conexiones remotas

El uso de todos los protocolos de conexin inseguros debe ser prohibido Servicios a deshabilitar: telnet rsh ftp rlogin vsftpd (Seguridad y Proteccin en los Sistemas Operativos, 2012).
PROTOCOLO SSL
SSL (Secure Socket Layers) es un proceso que administra la seguridad de las transacciones que se realizan a travs de Internet. El estndar SSL fue desarrollado por Netscape, junto con Mastercard, Bank of America, MCI y Silicon Graphics. Se basa en un proceso de cifrado de clave pblica que garantiza la seguridad de los datos que se envan a travs de Internet. Su principio consiste en el establecimiento de un canal de comunicacin seguro (cifrado) entre dos equipos (el cliente y el servidor) despus de una fase de autenticacin. El sistema SSL es independiente del protocolo utilizado; esto significa que puede asegurar transacciones realizadas en la We.b a travs del protocolo HTTP y tambin conexiones a travs de los protocolos FTP, POP e IMAP. SSL acta como una capa adicional que permite garantizar la seguridad de los datos y que se ubica entre la capa de la aplicacin y la capa de transporte (por ejemplo, el protocolo TCP). De esta forma, SSL es transparente para el usuario (es decir, el usuario puede no conocer que est usando SSL). Por ejemplo, un usuario que utiliza un navegador de Internet para conectarse a una pgina Web de comercio electrnico protegido por SSL enviar datos cifrados sin tener que realizar ninguna operacin especial. Actualmente, casi todos los navegadores soportan el
Equipo: 5
51
protocolo SSL. Por ejemplo, Netscape Navigator muestra un candado cerrado para indicar la conexin a un sitio Web con seguridad SSL y un candado abierto en el caso opuesto, en tanto que Microsoft Internet Explorer muestra un candado slo si establece una conexin con un sitio Web SSL.
Ilustracin 16. Muestra de certificado SSL en los exploradores.
Un servidor de Web seguro tiene una direccin URL que empieza con https://, en el que la "s" obviamente significa secured (seguro). A mediados de 2001, la patente SSL, que hasta ese momento haba pertenecido a Netscape, fue adquirida por IETF (Internet Engineering Task Force) y adopt el nombre de TLS (Transport Layer Security).
CERTIFICADO SSL
Un certificado SSL es un certificado digital de seguridad que se utiliza por el protocolo SSL. Este certificado es otorgado por una agencia independiente debidamente autorizada y es enviado por el servidor de la pgina web segura. El navegador de internet recibe e interpreta el contenido de dicho certificado y, al verificar su autenticidad, indica que se est realizando una conexin segura; cada navegador de internet tiene diferentes formas de indicarlo, por ejemplo un candado cerrado.
Equipo: 5
52
Ilustracin 17. Ejemplo del protocolo SSL.
FUNCIONAMIENTO DE SSL
Ilustracin 18. Funcionamiento del protocolo SSL.
Equipo: 5
53
SSL 2.0
La seguridad de las transacciones a travs de SSL 2.0 se basa en el intercambio de claves entre un cliente y un servidor. Una transaccin segura SSL se realiza de acuerdo al siguiente modelo: Primero, el cliente se conecta al servidor comercial protegido por SSL y pide la autenticacin. El cliente tambin enva la lista de los criptosistemas que soporta, clasificada en orden descendente por la longitud de la clave. El servidor que recibe la solicitud enva un certificado al cliente que contiene la clave pblica del servidor firmado por una entidad de certificacin (CA), y tambin el nombre del criptosistema que est ms alto en la lista de compatibilidades (la longitud de la clave de cifrado - 40 o 128 bits - ser la del criptosistema compartido que tiene el tamao de clave de mayor longitud).
Ilustracin 19. Ejemplo de SSL 2.0
El cliente verifica la validez del certificado (y por consiguiente, la autenticidad del vendedor), luego crea una clave secreta al azar (ms precisamente un supuesto bloque aleatorio), cifra esta clave con la clave pblica del servidor y enva el resultado del servidor (clave de sesin). El servidor es capaz de descifrar la clave de sesin con su clave privada. De esta manera, hay dos entidades que comparten una clave que slo ellos conocen. Las transacciones restantes pueden realizarse utilizando la clave de sesin, garantizando la integridad y la confidencialidad de los datos que se intercambian.
SSL 3.0
SSL 3.0 se orienta a autentificar el servidor directamente con el cliente y al cliente directamente con el servidor. (Gua de Internet bsico, 2008).
SSL HANDSHAKE
Mensajes que se transmiten de ida y vuelta entre el navegador del usuario (cliente) y la aplicacin web (servidor) establece una conexin segura. Una conexin A BASE DE HTTP SSL siempre es iniciada por el cliente que usa un URL que comienza con https: // en vez de con http: //. Al principio de una sesin SSL, un apretn de manos SSL es realizado. Este apretn de manos produce los parmetros criptogrficos de la sesin. Muestran una descripcin simplificada de como el apretn de manos SSL es procesado en el diagrama debajo.
Equipo: 5
54
Ilustracin 20. Comunicacin entre el cliente y el servidor usando SSL HANDSHAKE.
1.
El cliente enva a un cliente "hola!" el mensaje que cataloga las capacidades criptogrficas del cliente (clasificado en la orden de preferencia de cliente), como la versin de SSL, las suites de cifra apoyadas por el cliente, y los mtodos de compresin de datos apoyados por el cliente. El mensaje tambin contiene un nmero aleatorio de 28 octetos.
2. El servidor responde con un servidor "hola!" el mensaje que contiene el mtodo criptogrfico (la suite de cifra) y el mtodo de compresin de datos seleccionado por el servidor, la sesin ID, y otro nmero aleatorio. Nota: El cliente y el servidor deben apoyar al menos una suite de cifra comn, o sea el apretn de manos falla. El servidor generalmente escoge la suite de cifra comn ms fuerte. 3. El servidor enva su certificado digital. (En este ejemplo, el servidor usa X.509 V3 certificados digitales con SSL.) Si el servidor usa SSL V3, y si el uso de servidor (por ejemplo, el servidor de Web) requiere un certificado digital para la autenticacin de cliente, el servidor enva " una peticin de certificado digital " el mensaje. En " la peticin de certificado digital " el mensaje, el servidor enva una lista de los tipos de certificados digitales apoyados y los nombres distinguidos de autoridades de certificado aceptables. 4. El servidor enva a un servidor " hola! hecho " el mensaje y espera una respuesta de cliente. 5. Al recibir del servidor " hola! hecho " el mensaje, el cliente (el navegador web) verifica la validez del certificado digital del servidor y comprobaciones que el servidor "hola!" los parmetros son aceptables. Si el servidor solicitara a un cliente el certificado digital, el cliente enva un certificado digital, o si ningn certificado conveniente digital est disponible, el cliente no enva " un ningn certificado digital " la alarma. Esta alarma es slo una advertencia, pero el uso de servidor puede fallar la sesin si la autenticacin de cliente es obligatoria.
Equipo: 5
55
6. El cliente enva " un cambio de llave de cliente " el mensaje. Este mensaje contiene el secreto de pre-amo, un nmero aleatorio de 46 octetos usado en la generacin de las llaves de cifrado simtricas y el cdigo de autenticacin de mensaje (el AMIGO) llaves, cifradas con la llave pblica del servidor. Si el cliente enviara un certificado digital al servidor, el cliente enva " un certificado digital verifican " el mensaje firmado con la llave privada del cliente. Por verificando la firma de este mensaje, el servidor explcitamente puede verificar la propiedad del cliente el certificado digital. Nota: Un proceso adicional para verificar al servidor el certificado digital no es necesario. Si el servidor no tiene la llave privada que pertenece al certificado digital, esto no puede descifrar el secreto de pre-amo y crear las llaves correctas para el algoritmo de cifrado simtrico, y los suspensos de apretn de manos. 7. El cliente usa una serie de operaciones criptogrficas para convertir el secreto de pre-amo en un secreto de amo, de lo cual todo el material clave requerido para el cifrado y la autenticacin de mensaje es sacado. Entonces el cliente enva " una especificacin de cifra de cambio " el mensaje para hacer el interruptor de servidor a la suite de cifra recin negociada. El siguiente mensaje enviado por el cliente (el mensaje "terminado") es el primer mensaje cifrado con este mtodo de cifra y llaves. 8. El servidor responde " con una especificacin de cifra de cambio " y un mensaje "terminado" de su propio. 9. Los finales SSL, y datos cifrados de aplicacin pueden ser enviados. (IBM, 2009).
CONFIGURACIN DEL PROTOCOLO SSL EN REDES VIRTUALES Y EN EL EXPLORADOR.

Puede utilizar de forma opcional el protocolo Secure Sockets Layer (SSL) para proteger el vnculo de comunicacin entre los clientes y el servidor de Visual SourceSafe. Cuando configura el servidor para SSL, todos los datos que se transmiten se pueden cifrar para garantizar su confidencialidad. El uso de SSL requiere un certificado de servidor emitido por una entidad emisora de certificados (CA). Puede que su compaa disponga de su propio certificado. Si no es as, puede obtener uno de la entidad emisora de certificados utilizada por su sitio. Para que SSL funcione, debe instalar el certificado de servidor en el equipo servidor. Cada equipo cliente que precise un acceso seguro a la base de datos tambin debe disponer de un certificado raz de la entidad emisora de certificados utilizada por el servidor. SSL slo funciona con TCP/IP. Puede configurar el servidor de modo que sea obligado el uso del cifrado en todas las conexiones.
Habilitar SSL
Para crear un certificado 1. Asegrese de que Windows Server 2003 est instalado en su equipo. 2. Compruebe que IIS est instalado y habilitado. 3. Instale los Servicios de Microsoft Certificate Server para su sistema operativo, a fin de permitir la creacin de certificados de autenticacin de servidor. 4. Inicie Internet Explorer y busque los Servicios de Microsoft Certificate Server, por ejemplo: http://MyCA/certsrv. Equipo: 5 56
5. Haga clic en Solicitar un certificado, y a continuacin, haga click en Siguiente. 6. Haga clic en Solicitud avanzada, y a continuacin, haga click en Siguiente. 7. Haga clic en Enviar una solicitud de certificado a esta CA mediante un formulario, y a continuacin, haga clic en Siguiente para que se muestre el formulario de solicitud del certificado. 8. Especifique el nombre de dominio completo del equipo del servidor, por ejemplo, sq101.adventureworks.com. 9. En el campo Propsito planteado (o Tipo de certificado necesario) haga clic en Certificado de autenticacin del servidor. 10. Para el proveedor de servicios criptogrficos (CSP), seleccione Microsoft RSA SChannel Cryptographic Provider, Microsoft Base Crypto Provider versin 1,0 o Microsoft Enhanced Cryptographic Provider. No seleccione Microsoft Strong Cryptographic Provider. 11. Active la casilla Usar el almacn del equipo local. 12. Asegrese de que no se ha seleccionado Habilitar la proteccin de clave privada severa. 13. Haga clic en Enviar para enviar la solicitud. 14. Si el servidor de certificados los emite inmediatamente, puede instalar el certificado en este momento. De lo contrario, puede instalarlo cuando lo emita el administrador de la entidad emisora de certificados.
Para asignar un certificado de servidor SSL a un sitio Web

1. 2. 3. 4. 5. En el Administrador IIS, expanda el equipo local y, a continuacin expanda la carpeta de sitios Web. Haga clic con el botn secundario del mouse en el sitio Web al que desee asignar el certificado y haga clic en Propiedades. Seleccione la ficha Seguridad de directorios y en Comunicaciones seguras, haga clic en Certificado de servidor. En Asistente para certificados de servidor Web, haga clic en Asignar un certificado ya existente. Siga los pasos del Asistente para certificados de servidor Web, que le guiar a travs del proceso de instalacin del certificado de servidor. Una vez que haya terminado el asistente, podr ver informacin sobre el certificado haciendo clic en el botn Ver certificado de la ficha Seguridad de directorios de la pgina Propiedades de los sitios Web.
Instalar el certificado de entidad emisora (CA)

1. 2. 3. 4. 5. 6. 7. 8. 9. Inicie Internet Explorer y busque los Servicios de Microsoft Certificate Server, por ejemplo: http://MyCA/certsrv. Seleccione Comprobar un certificado pendiente. Haga clic en Inicio y, a continuacin, haga clic en Ejecutar. Escriba mmc y haga clic en Aceptar. En el men Consola men, haga clic en Agregar o quitar complemento. Haga clic en Agregar. Haga clic en Certificados y, a continuacin, en Agregar. Seleccione Cuenta de equipo y, a continuacin, haga clic en Siguiente. Asegrese de que el equipo local (el equipo servidor) est seleccionado y haga clic en Finalizar.
Equipo: 5
57
10. Haga clic en Cerrar. 11. En la vista de rbol del panel izquierdo, expanda Certificados (equipo local), expanda Personal y, a continuacin, seleccione Certificados. 12. Compruebe que aparece exactamente el certificado con el nombre de dominio completo que ha especificado. Puede hacer doble clic para ver detalles. 13. Distribuya la clave pblica del certificado a los usuarios que deseen obtener acceso a la base de datos de Visual SourceSafe mediante una conexin segura, por ejemplo, a los usuarios del complemento de Internet de SourceSafe para Visual Studio. Puede utilizar el correo electrnico o facilitar la clave desde su equipo a un usuario a travs de la red. (MSDN, 2009).
Cmo habilitar cookies y SSL en el navegador

A fin de poder ver algunas de las pginas, tendr que habilitar las cookies y SSL (capa de sockets seguros). Adems, tendr que habilitar JavaScript en su navegador para poder ver los anuncios Google y poder beneficiarse de otras funciones de la cuenta. Siga estos pasos para modificar las preferencias de su navegador: Google Chrome 1. 2. 3. 4. 5. 6. Haga clic en el icono del men situado en la barra de herramientas del navegador. Seleccione Configuracin. Haga clic en el enlace Mostrar opciones avanzadas.... En la seccin "Privacidad", haga clic en Configuracin de contenido.... En la seccin "Cookies" del cuadro de dilogo que aparece, asegrese de que la opcin Permitir que se almacenen datos locales est seleccionada a fin de permitir cookies tanto propias como de terceros. Haga clic en Cerrar. A continuacin, para habilitar SSL, en la seccin "HTTPS/SSL", asegrese de que est marcada la casilla de verificacin Comprobar la revocacin del certificado del servidor. (Google, 2013).
7.
VPN con SSL de Cisco IOS

VPN con SSL de Cisco IOS proporciona conectividad de acceso remoto Secure Socket Layer (SSL) VPN desde prcticamente cualquier ubicacin que disponga de conexin a Internet con slo un explorador Web y su cifrado SSL nativo. Esto permite a las empresas ampliar sus redes empresariales seguras a cualquier usuario autorizado ofreciendo conectividad de acceso remoto a los recursos corporativos desde cualquier equipo con acceso a Internet. VPN con SSL de Cisco IOS tambin permite el acceso desde mquinas que no pertenecen a la empresa, incluidos equipos domsticos, cabinas de Internet y puntos de acceso inalmbrico, en los que la gestin y la implementacin del software cliente VPN necesario para las conexiones VPN IPsec no son tarea sencilla para el departamento de TI. Existen tres modos de acceso VPN SSL: Sin cliente, Cliente ligero y Cliente de tnel completo. Cisco SDM admite los tres modos que se describen a continuacin:
Sin cliente SSL VPN: el modo Sin cliente (sin software en estaciones cliente) ofrece acceso seguro a los recursos privados de la red y proporciona acceso al contenido Web. Este modo resulta til para acceder a la mayora del contenido que se prev que se utilizar en un explorador Web como, por ejemplo, acceso a la intranet y a las herramientas en lnea que utilicen una interfaz Web.
Equipo: 5
58

Cliente ligero SSL VPN (subprograma Java con mapeo de puertos): el modo Cliente ligero ampla la capacidad de las funciones criptogrficas del explorador Web para permitir el acceso remoto a aplicaciones basadas en TCP como, por ejemplo, POP3, SMTP, IMAP, Telnet y SSH. Cliente de tnel completo SSL VPN: el modo Cliente de tnel completo proporciona soporte extendido de aplicaciones mediante el software cliente SSL VPN descargado dinmicamente para Cisco IOS SSL VPN. Con el Cliente de tnel completo para VPN con SSL de Cisco IOS, Cisco proporciona un cliente de arquitectura de tneles SSL VPN ligero, configurado centralmente y de fcil soporte que permite el acceso de conectividad de nivel de red a prcticamente cualquier aplicacin.
Crear SSL VPN

Es posible utilizar asistentes de VPN con SSL de Cisco IOS para crear un nuevo VPN con SSL de Cisco IOS o para aadir nuevas polticas o funciones a un VPN con SSL de Cisco IOS existente.
Tareas previas
Para poder iniciar una configuracin de Cisco IOS SSL VPN, es necesario que AAA y los certificados se hayan configurado en el router. Si falta alguna de estas configuraciones, aparecer una notificacin en esta rea de la ventana y tambin un enlace que le permitir completar la configuracin que falta. Cuando se hayan realizado todas las configuraciones previas requeridas, ser posible volver a esta ventana e iniciar la configuracin de VPN con SSL de Cisco IOS. Cisco SDM activa AAA sin la intervencin del usuario. Cisco SDM puede ayudarle a generar claves pblicas y privadas para el router y a suscribirlas con una autoridad certificadora para obtener certificados digitales. Como opcin alternativa, puede configurar un certificado con firma automtica permanente que no requiere la aprobacin de una CA.
Crear una nueva SSL VPN

Seleccione esta opcin para crear una nueva configuracin de Cisco IOS SSL VPN. Este asistente permite la creacin de Cisco IOS SSL VPN con una poltica de usuario y una cantidad limitada de funciones. Tras finalizar el asistente, se pueden utilizar otros asistentes para configurar funciones y polticas adicionales de Cisco IOS SSL VPN. Es posible volver a este asistente para crear configuraciones adicionales de Cisco IOS SSL VPN. Si utiliza Cisco SDM para crear la primera configuracin de Cisco IOS SSL VPN en un router, crear un contexto de Cisco IOS SSL VPN, configurar un Gateway y crear una poltica de grupo. Cuando haya finalizado el asistente, haga clic en Editar SSL VPN para ver la configuracin y familiarizarse con el modo en el que los componentes de Cisco IOS SSL VPN funcionan conjuntamente.
Agregar una nueva poltica a una SSL VPN existente para un nuevo grupo de usuarios
Seleccione esta opcin si desea aadir una nueva poltica a una configuracin de Cisco IOS SSL VPN existente para un nuevo grupo de usuarios. Gracias a la existencia de varias polticas podr definir conjuntos distintos de funciones para diferentes grupos de usuarios. Por ejemplo, se puede definir una poltica para ingeniera y otra distinta para ventas.
Configurar funciones avanzadas para una SSL VPN existente

Seleccione esta opcin si desea configurar funciones adicionales para una poltica de Cisco IOS SSL VPN existente. Es necesario especificar el contexto en el que se configura la poltica.
Botn Iniciar la tarea seleccionada

Haga clic para iniciar la configuracin seleccionada. Si no se puede completar la tarea elegida, aparecer un mensaje de advertencia.
19-5
Certificado con firma automtica permanente

Equipo: 5 59
En este cuadro de dilogo se puede especificar la informacin para un certificado con firma automtica permanente. Con la informacin proporcionada, el servidor HTTPS generar un certificado que se utilizar en el protocolo de intercambio SSL. Los certificados con firma automtica permanente permanecen en la configuracin incluso en el caso de que se vuelva a cargar el router, y se presentan durante el protocolo de intercambio SSL. Los nuevos usuarios deben aceptar manualmente estos certificados, pero los usuarios que ya lo hayan hecho previamente no debern volverlos a aceptar cuando se realice una recarga del router.
Nombre
Cisco SDM coloca el nombre Router_Certificate en este campo. Es posible cambiar el nombre si se desea. Este nombre corresponde al del asunto que se utilizara en una solicitud de certificado.
Longitud de la clave RSA

Cisco SDM coloca el valor 512 en este campo. Si se desea, se puede especificar una clave ms larga como, por ejemplo, 1024. La longitud de la clave debe ser un mltiplo de 64.
Asunto
Escriba la informacin para los campos en el rea Asunto.
Botn Generar
Tras proporcionar la informacin en esta ventana, haga clic en Generar para que el router cree el certificado con firma automtica permanente.
Bienvenido
En la pantalla de bienvenida de cada asistente se enumeran las tareas que se pueden realizar con ese asistente. Utilice esta informacin para asegurarse de que est utilizando el asistente adecuado. En caso contrario, haga clic en Cancelar para volver a la ventana Crear SSL VPN y seleccione el asistente que desea utilizar. Cuando haya escrito la informacin que le solicita el asistente, la ventana Resumen mostrar la informacin introducida. Si desea ver los comandos del CLI de Cisco IOS que se envan al router, haga clic en Cancelar para salir del asistente, vaya a Editar > Preferencias y seleccione Obtener una vista previa de los comandos antes de enviarlos al router. A continuacin, reinicie el asistente y escriba la informacin que le sea solicitada. Al enviar la configuracin al router, aparecer una ventana adicional en la que podr ver los comandos del CLI de Cisco IOS que est enviando.
Gateways SSL VPN

El Gateway de Cisco IOS SSL VPN proporciona la direccin IP y el certificado digital para todo Contexto SSL VPN que lo utiliza. En esta ventana se puede introducir la informacin para un Gateway, as como la informacin que permitir a los usuarios acceder a un portal.
Campos Direccin IP y Nombre

Utilice estos campos para crear la URL que utilizarn los usuarios para acceder al portal de Cisco IOS SSL VPN. La lista de direcciones IP contiene las direcciones IP de todas las interfaces del router configuradas y de todos los gateways de Cisco IOS SSL VPN existentes. Se puede utilizar la direccin IP de una interfaz del router si se trata de una direccin pblica a la que los clientes que se desea tienen acceso, o bien se puede utilizar otra direccin IP pblica a la que los clientes tienen acceso. Si se utiliza una direccin IP que an no se ha utilizado para un Gateway, se crea un nuevo gateway.19-7
Permitir acceso a Cisco SDM a travs de la casilla de verificacin Direccin IP
Equipo: 5
60
Seleccione esta casilla si desea seguir accediendo a Cisco SDM desde esta direccin IP. Esta casilla de verificacin aparece si se ha especificado la direccin IP que se est utilizando actualmente para acceder a Cisco SDM. Nota Si marca esta casilla de verificacin, la URL que debe utilizar para acceder a Cisco SDM cambiar cuando haya enviado la configuracin al router. Revise el rea de informacin en la parte inferior de la ventana para saber cul URL se debe usar. Cisco SDM coloca un acceso directo a esta URL en el escritorio de su equipo, el cual puede usar para acceder a Cisco SDM en el futuro.
Certificado digital
Si est creando un nuevo Gateway, seleccione el certificado digital que desea que el router presente a los clientes cuando se conecten al Gateway. Si selecciona la direccin IP de un Gateway existente, el router utilizar el certificado digital configurado para dicho Gateway y se desactivar este campo.
rea de Informacin
Cuando escriba la informacin en los campos Direccin IP y Nombre, esta rea contendr la URL que introducirn los usuarios. Es necesario proporcionar esta URL a los usuarios para los que se crea esta Cisco IOS SSL VPN. Si seleccion Permitir Cisco SDM acceso a travs de direccin IP, la URL que debe usar en el futuro para acceder a Cisco SDM se muestra en esta rea. Cisco SDM coloca un acceso directo a esta URL en el escritorio de su equipo despus de enviar la configuracin de VPN con SSL de Cisco IOS al router.
Autenticacin del Usuario

Utilice esta ventana para especificar el modo en el que el router debe realizar la autenticacin del usuario. El router puede autenticar los usuarios de Cisco IOS SSL VPN localmente, o bien puede enviar peticiones de autenticacin a servidores AAA remotos.
Botn Servidor AAA externo

Haga clic en este botn si desea que el router utilice un servidor AAA para autenticar los usuarios de Cisco IOS SSL VPN. El router utilizar los servidores AAA enumerados en esta ventana. Si no existen servidores AAA configurados, podr configurarlos en esta ventana. Para usar esta opcin, debe haber al menos un servidor AAA configurado en el router.
Botn Localmente en este router

Haga clic si desea que el router autentique los usuarios por s mismo. El router autenticar todos los usuarios que aparezcan en esta ventana. Si no hay usuarios configurados en el router, se pueden aadir usuarios en esta ventana.
Botn Primero en un servidor AAA externo y, a continuacin, localmente en este router

Haga clic si desea que el router realice primero la autenticacin utilizando un servidor AAA y, en el caso de que sta falle, intente despus una autenticacin local. Si el usuario no se ha configurado ni en un servidor AAA configurado ni localmente en el router, la autenticacin de ese usuario fallar.
Botn Utilizar la lista de mtodos para autenticacin AAA

Haga clic si desea que el router utilice una lista de mtodos para la autenticacin. Una lista de mtodos contiene los mtodos de autenticacin que deben utilizarse. El router probar el primer mtodo de
Equipo: 5
61
autenticacin de la lista. Si la autenticacin falla, el router probar el siguiente mtodo de la lista y seguir as hasta que autentique el usuario o hasta que llegue al final de la lista.
Lista Servidores AAA configurados para este router

Esta lista contiene los servidores AAA que utiliza el router para autenticar usuarios. Si elige la opcin de autenticar usuarios con servidores AAA, esta lista deber contener el nombre o la direccin IP de al menos un servidor. Utilice el botn Agregar para aadir la informacin para un nuevo servidor. Para gestionar las configuraciones de AAA en el router, salga del asistente, haga clic en Tareas adicionales y, a continuacin, haga clic en el nodo de AAA del rbol Tareas adicionales. Esta lista no aparecer si se ha seleccionado Localmente en este router.
Crear cuentas de usuario localmente en este router

Escriba en esta lista los usuarios que desea que autentique el router. Utilice los botones Agregar y Editar para gestionar los usuarios en el router. La lista no aparecer si se selecciona Servidor AAA externo. (Gua del usuario de Cisco Router and Security Device Manager, 2009)
Equipo: 5
62
CONCLUSIN
Como se mencion anteriormente se aprendi de la administracin de la seguridad as como su administracin de llaves pblicas como tal se identificaron sus mecanismos y relevancia de la administracin de las llaves pblicas dentro un canal seguro, tambin se aprendi a configurar una entidad certificado (servidor) en base en el estndar x.509 para las llaves pblicas. En el cual se describieron los principales componentes generales de la administracin de la informacin y consiguiente de presento como anexo la matriz de comunicacin que esta aplicada a la seguridad de la informacin. Se mencin la prevencin y recuperacin de accidentes para ver el impacto y la forma de controlarlos por medio de planes de contingencias para su fcil resolucin principalmente. Anteriormente se mencion la proteccin de los sistemas operativos en el cual se identificaron los principales elementos de seguridad conforme al tipo de servicio que presta como tal y se mencion el significado e implementacin del SSH (secure shell) y SNMP. Y como ltimo punto mencionado se describi e idntico el funcionamiento del protocolo SSL y SSL HANDSHAKE, en el cual tambin se describi paso a paso como se hace la comunicacin entre el cliente y el servidor usando el SSL HANDSHAKE y por ltimo se mencion la configuracin del protocolo SSL tanto en los exploradores de internet y redes virtuales.
Equipo: 5
63
Bibliografa
http://technet.microsoft.com/es-es/library/aa998077%28v=exchg.65%29.aspx (Exchange, criptografa mediante claves pblicas, Microsft, 2005-05-19).
http://technet.microsoft.com/es-es/library/bb821287.aspx (TechNet, Capacidad de OI: Seguridad y funciones de red: del nivel estandarizado al racionalizado, Microsft, 2013)
http://auditoriadesistemas.galeon.com/productos2223863.html (portafolio de auditoria de sistemas, Modulo v, Manuel Torres, 2 de Septiembre de 2010). http://audisistemas2009.galeon.com/productos2229098.html (portafolio de auditoria de sistemas, Victor Cappuccio, 12 de Noviembre de 2009). http://es.scribd.com/doc/29676926/RIESGOS-INFORMATICOS (Scribd, Sandra Medina Rios, SEMINARIO SISTEMAS DE INFORMACIN MODULO V, 9 de Abril 2010). http://www.mapfre.com/documentacion/publico/i18n/catalogo_imagenes/grupo.cmd?path=1009130 (ARESPACOCHAGA, J. A. (3 de Julio de 2011). La Seguridad Informtica, Planes de Contingencia. Recuperado el 18 de Septiembre de 2013, de La Seguridad Informtica, Planes de Contingencia) http://www.seguridadparatodos.es/2012/02/nist-sp-800-61-rev-2-draft-computer.html (Gonzlez, J. J, 3 de Febrero de 2013, Seguridad Para Todos) http://www.seguridad-la.com/artic/segcorp/7209.htm (Ibrica, B. 12 de Febrero de 2012, Foro de Seguridad) http://www.enterate.unam.mx/Articulos/2005/febrero/seguridad.htm (Sandoval, A. N. 27 de Noviembre de 2008). http://blog.utp.edu.co/seguridadso/ (Seguridad y Proteccin en los Sistemas Operativos, Gene Spafford, 5 Noviembre 2012). http://aprenderinternet.about.com/od/ConceptosBasico/a/Que-Es-Ssl.htm (Gua de Internet bsico, Luis Castro, 4 de Octubre 2008). http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=%2Fcom.ibm.itame2.doc_5.1%2Fss7aumst 18.htm ( The SSL handshake, IBM, 10 de Enero de 2009). http://msdn.microsoft.com/es-es/library/ms181053(v=vs.80).aspx (MSDN, Configurar Secure Sockets Layer, 15 de Noviembre de 2009). https://support.google.com/adsense/answer/35730?hl=es (Google, Cmo habilitar cookies y SSL en el navegador, 2013). Gua del usuario de Cisco Router and Security Device Manager, Cisco Systems, Inc.170 West Tasman Drive San Jose, CA 95134-1706 EE.UU. 2009.
Equipo: 5
64

Reporte 2 de Ivan

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Reporte 2 de Ivan

Загружено:

Авторское право:

Доступные форматы

Reporte de la Unidad 2

Funcionamiento de la criptografa mediante claves pblicas

Uso conjunto de la criptografa mediante claves pblicas y la seguridad de los mensajes

Criptografa mediante claves pblicas y firmas digitales

Funciones hash de un sentido.

Ilustracin 4. Ilustra el uso de la criptografa asimtrica.

Ilustracin 5. Ilustra el procedimiento para firmar digitalmente un documento.

Ilustracin 6 Representacin de un Certificado Digital X.509.

MECANISMOS DE SEGURIDAD EN APLICACIONES WEB

PGP (Pretty Good Privacy)

Ilustracin 7 Ilustra el proceso de cifrado utilizando PGP.

Descifrando con PGP.

Ilustracin 8 Ilustra el proceso de descifrado con PGP.

SISTEMAS DE INFORMACIN (S.I) Qu es un sistema de informacin?

El reto de los sistemas de informacin: El reto estratgico de los S.I

Sistemas estratgicos de informacin

Cmo los S.I pueden utilizarse para obtener ventajas competitivas?

CICLO DE VIDA DE LOS SISTEMAS DE INFORMACIN

PREVENCIN Y RECUPERACIN DE INCIDENTES

Diseo de un centro de respaldo

El centro de respaldo en contexto

Contenido del Plan de Contingencia

Ilustracin 9. Entidades que suponen de "Software" de Seguridad

Centro caliente (Hot backup).

Centro templado (Warm backup)

Centro fro (Coid backup).

Centros en espera (Standby).

Centros con produccin distribuida.

Centro compartido (Pooing)

Copias de Seguridad/Backups en medios de almacenamiento

Ilustracin 10. CD-R

Ilustracin 11. DVD-ROM

Ilustracin 12. DVD-RAM

Ilustracin 13. Pc-Cards

Ilustracin 14. USB

Ilustracin 15. Unidades de Zip

Los controles del ISO 17799

Por qu usar SSH?

Secuencia de eventos de una conexin SSH

Reenvo del puerto

Requerir SSH para conexiones remotas

Ilustracin 16. Muestra de certificado SSL en los exploradores.

Ilustracin 17. Ejemplo del protocolo SSL.

Ilustracin 18. Funcionamiento del protocolo SSL.

Ilustracin 19. Ejemplo de SSL 2.0

Ilustracin 20. Comunicacin entre el cliente y el servidor usando SSL HANDSHAKE.

CONFIGURACIN DEL PROTOCOLO SSL EN REDES VIRTUALES Y EN EL EXPLORADOR.

Para asignar un certificado de servidor SSL a un sitio Web

Instalar el certificado de entidad emisora (CA)

Cmo habilitar cookies y SSL en el navegador

VPN con SSL de Cisco IOS

Crear SSL VPN

Crear una nueva SSL VPN

Configurar funciones avanzadas para una SSL VPN existente

Botn Iniciar la tarea seleccionada

Certificado con firma automtica permanente

Longitud de la clave RSA

Gateways SSL VPN

Campos Direccin IP y Nombre

Permitir acceso a Cisco SDM a travs de la casilla de verificacin Direccin IP

Autenticacin del Usuario

Botn Servidor AAA externo

Botn Localmente en este router

Botn Primero en un servidor AAA externo y, a continuacin, localmente en este router