SEGURIDAD

INFORMTICA

INTEGRANTES:

George Tintaya Mamani

Renato Ortega Bernedo

Debido a que el uso de Internet se

encuentra en aumento, cada vez ms
compaas permiten a sus socios y
proveedores acceder a sus sistemas de
informacin. Por lo tanto, es fundamental
saber qu recursos de la compaa
necesitan proteccin para as controlar el
acceso al sistema y los derechos de los
usuarios del sistema de informacin. Los
mismos procedimientos se aplican cuando
se permite el acceso a la compaa a
travs de Internet

OBJETIVOS

La seguridad informtica tiene como objetivo principal proteger los activos

que estn asociados directamente con los elementos que integran un sistema
informtico. Para lograr un ambiente informtico ms seguro se puede decir
que los elementos que integran un sistema informtico son:Informacin,
Tecnologas de informacin,Personas o UsuarioseInmuebles

1.1.1 Informacin

1.1.1.1 Confidencialidad

Accin de mantener su privacidad a partir de las reglas que se establezcan

para el acceso a la misma.

1.1.1.2 Integridad

Es la propiedad de que la informacin sea exacta y completa, que no sea

alterada ms que por las personas autorizadas.

1.1.1.3 Disponibilidad

Garantiza el acceso a la misma en cualquier momento, para usuarios

autorizados.

1.1.2 Tecnologas de informacin

1.1.3 Personas

1.1.4 Inmuebles

AMENAZAS Y
VULNERABILIDAD DE
LA INFORMACION.

Existen muchas amenazas a las que los

usuarios estn expuestos por el simple
hecho de encender su computadora o de
conectarnos a una red. Estas
aplicaciones son capaces de realizar
acciones dainas sin que el usuario lo
sepa

CLASIFICACION DE
AMENAZAS.

Existen muchas amenazas a las que los

usuarios estn expuestos por el simple
hecho de encender su computadora o de
conectarnos a una red. Estas aplicaciones
son capaces de realizar acciones dainas
sin que el usuario lo sepa.

Clasificacin de Malware

En sus orgenes slo se identificaba un tipo

de malware, el cual recibi el nombre de
virus
informtico
debido
a
ciertas
semejanzas que estos programas tienen
con los virus biolgicos. Al evolucionar el
software y los sistemas operativos, los virus
tambin lo hicieron con ellos hasta llegar a
las formas actuales de malware.

.
TIPOS DE
VULNERABILIDADES

En un sistema informtico lo que queremos

proteger son sus activos, es decir, los
recursos que forman parte del sistema y que
podemos agrupar en: Hardware, Software y
Datos.

De ellos los ms crticos son los datos, el

hardware y el software.

Es decir, los datos que estn almacenados en

el hardware y que son procesados por las
aplicaciones software.

Hay diferente tipos de virus como:

Virus de programas ejecutables

Virus residentes en memoria

Virus de sector de arranque

Virus de correo electrnico: Gusano, Troyano, Exploits,

Rootkits, Backdoors, Redes de Bots (zombies), Keyloggers,
Ransomware, Spam, Hoax, Scam, Phishing, Spyware,
Adware

Las vulnerabilidades de los sistemas

informticos (SI) las podemos
agrupar en funcin de:
-Diseo
Debilidad en el diseo de protocolos
utilizados en las redes.
Polticas de seguridad deficiente e
inexistente.
-Implementacin
Errores de programacin.
Existencia de puertas traseras en
los sistemas informticos.
Descuido de los fabricantes.
-Uso
Configuracin inadecuada de los
sistemas informticos.
Desconocimiento y falta de
sensibilizacin de los usuarios y de
los responsables de informtica

1.3.1 Vulnerabilidad del da cero

Cuando no exista una solucin conocida para una vulnerabilidad,

pero si se conoce como explotarla, entonces se le conoce como
vulnerabilidad 0 days.

Globalmente clasificamos las vulnerabilidades en:

1.3.2 Vulnerabilidades de desbordamiento de buffer.

Se produce cuando un programa no controla la cantidad de datos que

se copian en buffer, de forma que si esa cantidad es superior a la
capacidad del buffer los bytes sobrantes se almacenan en zonas de
memoria adyacentes, sobrescribiendo su contenido original. Se puede
aprovechar para ejecutar cdigo que nos de privilegios de
administrador.

1.3.3 Vulnerabilidades de condicin de carrera (race condition)

La condicin de carrera se da principalmente cuando varios procesos

acceden al mismo tiempo a un recurso compartido, por ejemplo una
variable, cambiando su estado y obteniendo de esta forma un valor no
esperado de la misma.

1.3.4 Vulnerabilidades de error de formato de cadena (format string

bugs)

La principal causa de los errores de cadena de formato es aceptar

sin validar la entrada de datos proporcionada por el usuario.

Es un error de programacin y el lenguaje ms afectado es C/C++.

Un ataque puede conducir de manera inmediata a la ejecucin de
cdigo arbitrario y a revelacin de informacin.

1.3.5 Vulnerabilidades de Cross Site Scripting (XSS)

Abarcaban cualquier ataque que permitiera ejecutar

VBScript o JavaScript, en el contexto de otro sitio web.
se pueden encontrar en cualquier aplicacin que
objetivo final presentar la informacin en un navegador

Un uso de esta vulnerabilidad es hacer phishing. La vctima ve en la

barra de direcciones un sitio, pero realmente est en otro. La vctima
introduce su contrasea y se la enva al atacante.

scripts como
Estos errores
tenga como
web.

1.3.6 Vulnerabilidades de Inyeccin SQL

Unainyeccin SQLse produce cuando, de alguna manera, se inserta o

"inyecta" cdigo SQL invasor dentro del cdigo SQL programado, a fin de
alterar el funcionamiento normal del programa y lograr as que se ejecute
la porcin de cdigo "invasor" incrustado, en la base de datos.

1.3.7 Vulnerabilidades de denegacin del servicio

La denegacin de servicio provoca que un servicio o recurso sea

inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la
conectividad de la red por el consumo del ancho de banda de la red de la
vctima o sobrecarga de los recursos informticos del sistema de la
vctima.

1.3.8 Vulnerabilidades de ventanas engaosas (Window Spoofing)

Las ventanas engaosas son aquellas que dicen que eres el ganador de tal
o cual cosa, lo cual es mentira y lo nico que quieren es que des
informacin. Hay otro tipo de ventanas que, si las sigues, obtienen datos
del ordenador para luego realizar un ataque.

ANALISIS
DE RIESGOS

El primer paso en laGestin de riesgoes el

anlisis de riesgo que tiene como propsito
determinar los componentes de un sistema
que requieren proteccin, sus vulnerabilidades
que los debilitan y las amenazas que lo ponen
en peligro, con el fin de valorar su grado de
riesgo.

Podemos definir el riesgo como: la posibilidad

de que ocurra algn evento negativo para las
personas y/o empresas

Tipos de anlisis de riesgo

Anlisis cuantitativo: El anlisis cuantitativo es una

tcnica de anlisis que busca entender el
comportamiento de las cosas por medio de modelos
estadsticos y tcnicas matemticas para ello se
encarga de asignar un valor numrico a las variables,
e intenta replicar la realidad matemticamente.
Anlisis cualitativo

Anlisis cualitativo: Las mtricas asociadas con el

impacto causado por la materializacin de las
amenazas se valoran en trminos subjetivos
(Impacto
Muy
Alto,
Alto,
Medio,
Bajo o Muy Bajo). Las consecuencias de la
materializacin
de
amenazas
se
asocian a un determinado nivel de impacto en
funcin de multitud de factores

Pasos del anlisis de

riesgo

El proceso de anlisis de riesgo consiste en ocho pasos

interrelacionados:

Identificacin y evaluacin de activo

Identificar las amenazas correspondientes

Identificar las vulnerabilidades

Determinar el impacto de la ocurrencia de una amenaza

Determinar los controles en el lugar

Determinar los riesgos residuales (Conclusiones)

Identificar los controles adicionales (Recomendaciones)

Preparar el informe del anlisis de riesgo

ERMINOLOGIA BASICA

Activos: Es todo aquello con valor para una organizacin

y que necesita proteccin datos infraestructura,
hardware, software, personal y su experiencia,
informacin, servicios.

Riesgo: Es un incidente o situacin, que ocurre en un sitio

concreto en unos intervalos de tiempo determinado, con
consecuencia negativos o positivos que pueden afectar el
cumplimiento de los objetivos.

Aceptacin del riesgo: Es la decisin de recibir, reconocer,

tolerar o admitir un riesgo. Esta decisin se toma una vez
que se han estudiado los diferentes escenarios posibles
para una misma amenaza y se han aplicado todos los
procedimientos posibles para contrarrestar sus efectos y
probabilidad de que ocurra.

Anlisis del riesgo: Uso sistemtico de la informacin

disponible para identificar las fuentes y para estimar la
frecuencia de que determinados eventos no deseados pueden
ocurrir y la magnitud de sus consecuencias.

Manejo del riesgo: Proceso de identificacin, control y

minimizacin o eliminacin de riesgos de seguridad que
pueden afectar a los sistemas de informacin, por un costo
aceptable.

Evaluacin del riesgo: Comparacin de los resultados de un

anlisis del riesgo con los criterios estndares del riesgo u
otros criterios de decisin.

CONCLUSIN

Como parte del Sistema de Gestin de Seguridad de la Informacin,

es necesario para la empresa hacer una adecuada gestin de
riesgos que le permita saber cules son las principales
vulnerabilidades de sus activos de informacin y cules son las
amenazas que podran explotar las vulnerabilidades.

En la medida que la empresa tenga clara esta identificacin de

riesgos podr establecer las medidas preventivas y correctivas
viables que garanticen mayores niveles de seguridad en su
informacin. Son muchas las metodologas utilizadas para la
gestin de riesgos, pero todas parten de un punto comn: la
identificacin de activos de informacin, es decir todos aquellos
recursos involucrados en la gestin de la informacin, que va desde
datos y hardware hasta documentos escritos y el recurso humano.

Sobre estos activos de informacin es que hace la identificacin de

las amenazas o riesgos y las vulnerabilidades.

BIBLIOGRAFIAS

http://es.slideshare.net/carolcols/seguridad-informtica-introduccion17/04/16 8:51p.m

http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica 17/04/16 8:53p.m

http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_1_conceptos_de_vulnerabilidad_riesgo_y_amenaza.html 17/04/16 8:54p.m

http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap2.html 17/04/16 8:55p.m

http://es.slideshare.net/carolcols/amenazas-y-vulnerabilidades-en-la-informtica 17/04/16 8:56p.m

https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica#Tipos_de_amenaza 17/04/16 8:56p.m

http://www.ecured.cu/Seguridad_Inform%C3%A1tica#Objetivos 17/04/16 8:57p.m

http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica 17/04/16 8:57p.m

http://www.iberotijuana.edu.mx/dsi/index.php/documentacin-mainmenu-58/22-seguridad/101-definiciones 17/04/16 8:58p.m

https://windsofthesky.wordpress.com/2008/07/11/tipos-de-amenazas-informaticas/ 17/04/16 8:58p.m

https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/ 17/04/16 8:59p.m

https://protejete.wordpress.com/gdr_principal/analisis_riesgo/ 15/03/2016 5:00pm

https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico 15/03/2016 5:30pm

http://www.cyta.com.ar/ta1001/v10n1a3.htm 15/03/2016 5:40pm

http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap5.html 15/03/2016 6:00pm

Ingeniera del Software - CPISI UJCM ING. YURI GIOVANI ROMAN LAZARINO

https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico 17/04/16 10:22p.m