MONOGRAFA:

SEGURIDAD DE LA INFORMACIN.
-PER 2015

CARRERA DE:
COMPUTACIN E INFORMATICA

Presentada por:
Huamn Martnez Sedonia Side
Cama Garcia Margarita Martina
CICLO:

III

LIMA, MARZO DE 2015

pg. 1

La seguridad de la informtica no es corregir,

es simplemente prevenir poniendo en prctica
la confidencialidad, integridad y disponibilidad
de la informacin.

pg. 2

A nuestros padres y maestros que nos

brindan sus conocimientos y nos motivan da
a da para seguir adelante y a dios por darnos
la vida y salud.

pg. 3

Expresamos nuestro agradecimiento al

profesor Eber Lazo
oportunidad

de

poder

por darnos la
realizar

proyecto.

pg. 4

este

NDICE

PA
G

Epgrafe

Dedicatoria

Agradecimiento

Introduccin

CAPITULO I
1.1

1.2

Seguridad de la informacin

1.1.1

Concepto

1.1.2

Finalidad

Caractersticas

1.2.1

confidencialidad

1.2.2

disponibilidad

1.2.3

integridad

CAPITULO II
SGSI(SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN)
2.1

concepto

10

2.2

Procedimiento

10

2.2.1 Planifica

10

2.2.2 hacer

11

2.2.3 revisar

11

2.2.4 actuar
2.3

Finalidad para establecer un SGSI

12

2.3.1

12

amenazas

pg. 5

2.3.2

Vulnerabilidades

12

2.3.3

Riesgo

13

2.3.4

impacto

13

CAPTULO III
ATAQUES EN LA SEGURIDAD DE LA INFORMACION
3.1

Virus

14

3.1.2 Hacker

15

3.1.3 Cracker

15

3.2
distintos
usos

14

Conclusiones
Referencias
Anexos

25

INTRODUCCIN

pg. 6

Debido a que el uso de Internet se encuentra en aumento, cada vez ms compaas

permiten a sus socios y proveedores acceder a sus sistemas de informacin. Por lo
tanto, es fundamental saber qu recursos de la compaa necesitan proteccin para
as controlar el acceso al sistema y los derechos de los usuarios del sistema de
informacin. Los mismos procedimientos se aplican cuando se permite el acceso a la
compaa a travs de Internet.
Adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy en
da, el cual permite a los empleados conectarse a los sistemas de informacin casi
desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema
de informacin fuera de la infraestructura segura de la compaa.
Dentro de una Empresa, la informacin es considerada un Activo (un recurso) que
tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta
razn, esta informacin necesita tener proteccin para asegurar una correcta
operacin del negocio y una continuidad en sus operaciones.
El motivo o el motor para implementar medidas de proteccin, que responden a la
Seguridad de la Informacin, es el propio inters de la institucin o persona que
maneja los datos, porque la prdida o modificacin de los datos, le puede causar un
dao (material o inmaterial). Entonces en referencia al ejercicio con el banco, la
prdida o la modificacin errnea, sea causado intencionalmente o simplemente por
negligencia humana, de algn rcord de una cuenta bancaria, puede resultar en
prdidas econmicas u otros consecuencias negativas para la institucin.
Estos activos pueden ser clasificados de la siguiente forma:
Activos de Informacin (datos, manuales de usuario, etc.)
Activos de software (aplicacin, software de sistema, etc.)
Activos fsicos (computadores, medios magnticos, etc.)
Personal (clientes, trabajadores)
Imagen y reputacin de la organizacin
Servicios (comunicaciones, etc.)

pg. 7

CAPTULO I
CONCEPTOS GENERALES
1.1 SEGURIDAD DE LA INFORMACION
1.1.1 CONCEPTO: es el conjunto de medidas preventivas y reactivas de las
organizaciones y de los sistemas tecnolgicos que permitan resguardar y
proteger la informacin buscando mantener la confidencialidad, la
disponibilidad e integridad de la misma
La informacin debe considerarse como
un recurso con el que
cuentan las Organizaciones y por lo tanto tiene valor para stas, al igual
que el resto de los activos, debe estar debidamente protegida.
1.1.2 FINALIDAD: Conocer conceptos bsicos sobre Seguridad de la
Informacin y Sistema de Gestin de Seguridad de la Informacin
(SGSI).
Difundir y concientizar sobre la Poltica y los Objetivos de Seguridad de
la Informacin.
Establecer los criterios para identificar y registrar incidentes de
seguridad de la informacin
Sensibilizar sobre buenas prcticas en seguridad de la informacin.
La Seguridad de la Informacin, protege a sta de una amplia gama de
amenazas, tanto de orden fortuito como destruccin, incendio o
inundaciones, como de orden deliberado, tal como fraude, espionaje,
sabotaje, vandalismo, etc.

pg. 8

1.2 CARACTERISTICAS:
1.2.1CONFIDENCIALIDAD: La propiedad por la que la informacin no se
pone a disposicin o se revela a individuos, entidades o procesos no
autorizados.Se garantiza que la informacin es accesible slo a aquellas
personas autorizadas a tener acceso a la misma.
Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que
el nmero de tarjeta de crdito a ser transmitida desde el comprador al
comerciante y el comerciante de a una red de procesamiento de
transacciones. El sistema intenta hacer valer la confidencialidad mediante
el cifrado del nmero de la tarjeta y los datos que contiene la banda
magntica durante la transmisin de los mismos. Si una parte no
autorizada obtiene el nmero de la tarjeta en modo alguno, se ha
producido una violacin de la confidencialidad.

1.2.2 DISPONIBILIDAD: La propiedad de ser accesible y utilizable por una

entidad autorizada.
Se garantiza que los usuarios autorizados tienen acceso a la informacin y
a los recursos relacionados con la misma toda vez que se requiera.
En el caso de los sistemas informticos utilizados para almacenar y
procesar la informacin, los controles de seguridad utilizado para
protegerlo, y los canales de comunicacin protegidos que se utilizan para
acceder a ella deben estar funcionando correctamente. La alta
disponibilidad de los sistemas, es el objetivo debe seguir estando
disponible en todo momento, evitando interrupciones del servicio debido a
cortes de energa, fallos de hardware, y actualizaciones del sistema.

1.2.3 INTEGRIDAD: La propiedad de proteger la exactitud y completitud

de los activos.
Salvaguarda la exactitud y totalidad de la informacin y los mtodos de
procesamiento.
Para la Seguridad de la Informacin, la integridad es la propiedad que
busca mantener los datos libres de modificaciones no autorizadas. La

pg. 9

violacin de integridad se presenta cuando un empleado, programa o

proceso (por accidente o con mala intencin) modifica o borra los datos
importantes que son parte de la informacin, as mismo hace que su
contenido permanezca inalterado a menos que sea modificado por
personal autorizado, y esta modificacin sea registrada, asegurando su
precisin y confiabilidad

CAPTULO II

SGSI
(SISTEMA DE GESTION
INFORMACION)

DE

SEGURIDAD

DE

LA

2.1 CONCEPTO: Un SGSI es para una organizacin el diseo, implantacin,

mantenimiento de un conjunto de procesos para gestionar eficientemente la
accesibilidad de la informacin, buscando asegurar la confidencialidad,
integridad y disponibilidad de los activos de informacin minimizando a la vez
los riesgos de seguridad de la informacin.
El SGSI se basa en un conjunto de polticas orientadas a conseguir y a
mantener la Disponibilidad, Integridad, Confidencialidad, Autenticidad y
Trazabilidad de la Informacin.
Como todo proceso de gestin, un SGSI debe seguir siendo eficiente durante
un largo tiempo adaptndose a los cambios internos de la organizacin as
como los externos del entorno.
2.2

PROCEDIMIENTO
2.2.1 Planificar.
Definir el enfoque de evaluacin del riesgo de la organizacin.
Establecer metodologa de clculo del riesgo.
Establecer criterios de aceptacin del riesgo y niveles de aceptacin
del mismo.

pg. 10

 Identificar los riesgos asociados al alcance establecido.

Analizar y evaluar los riesgos encontrados.
2.2.2 Hacer.
Plan de tratamiento del riesgo.
Implementar el plan de tratamiento del riesgo.
Implementar controles seleccionados.
Definir la medicin de la efectividad de los controles a travs de
indicadores de gestin.
Implementar programas de capacitacin.
Manejar las operaciones y recursos del SGSI.
Implementar procedimientos de deteccin y respuesta a incidentes de
seguridad
2.2.3 Revisar.
Procedimientos de monitoreo y revisin para:
Detectar oportunamente los errores.
Identificar los incidentes y violaciones de seguridad.
Determinar la eficacia del SGSI.
Detectar eventos de seguridad antes que se conviertan en incidentes de
seguridad.
Determinar efectividad de las acciones correctivas tomadas para
resolver una violacin de seguridad.
Realizar revisiones peridicas.
2.2.4 Actuar.
Implementar las mejoras identificadas en el SGSI.
Aplicar acciones correctivas y preventivas de seguridad al SGSI.
Comunicar los resultados y acciones a las partes interesadas.

pg. 11

 Asegurar que las mejoras logren sus objetivos sealados.

2.3 FINALIDAD PARA ESTABLECER UN SGSI
Un SGSI

permite

dotar

y mantener seguridad contra

las

amenazas,

vulnerabilidades y riesgos
2.3.1AMENAZAS: Una causa potencial de un incidente no deseado, que
puede resultar en dao para un sistema u organizacin.
Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir
que una amenaza slo puede existir si existe una vulnerabilidad que
pueda ser aprovechada, e independientemente de que se comprometa o no
la
seguridad
de
un
sistema
de
informacin.
Diversas situaciones, tales como el incremento y el perfeccionamiento de
las tcnicas de ingeniera social, la falta de capacitacin y concientizacin
a los usuarios en el uso de la tecnologa, y sobre todo la creciente
rentabilidad de los ataques, han provocado en los ltimos aos el
aumento de amenazas intencionales.
Crecimiento exponencial de las Redes y Usuarios Interconectados
Inmadurez de las Nuevas Tecnologas
Alta disponibilidad de Herramientas Automatizadas de Ataques
Nuevas Tcnicas de Ataque Distribuido (Ej.: DDoS)
Tcnicas de Ingeniera Social.
2.3.2 VULNERABILIDADES: Debilidades de seguridad asociadas con los
activos de informacin que pueden ser aprovechados por una o ms
amenazas.

Debilidad en el diseo de protocolos utilizados en las redes.

Polticas de seguridad deficiente e inexistente.
Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.
Mala configuracin de los sistemas informticos.

pg. 12

 Desconocimiento y falta de sensibilizacin de los usuarios y de

los responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.
2.3.3 RIESGO: La probabilidad
vulnerabilidad particular

que una amenaza pueda explotar

una

La probabilidad de que una amenaza se materialice, utilizando la

vulnerabilidad existentes de un activo o grupos de activos,
generndoles prdidas o daos. Fuente: Organizacin Internacional
por la Normalizacin (ISO).
Es importante en toda organizacin contar con una herramienta, que
garantice la correcta evaluacin de los riesgos, a los cuales estn
sometidos los procesos y actividades que participan en el rea
informtica; y por medio de procedimientos de control que puedan
evaluar
el
desempeo
del
entorno
informtico.
Viendo la necesidad en el entorno empresarial de este tipo de
herramientas y teniendo en cuenta que, una de las principales causas de
los problemas dentro del entorno informtico, es la inadecuada
administracin de riesgos informticos, esta informacin sirve de apoyo
para una adecuada gestin de la administracin de riesgos.
2.3.4 IMPACTO: Es la consecuencia de la materializacin de una amenaza
sobre un activo.
2.3.5 EJEMPLO DE AMENAZAS DE LA SEGURIDAD DE LA
INFORMACION:
Accidentes: Averas, Catstrofes, Interrupciones.
Errores: de Uso, Diseo, Control.
Intencionales Presenciales: Atentado con acceso fsico no autorizado.
Intencionales Remotas: Requieren acceso al canal de comunicacin.

pg. 13

CAPITULO III
3.1 AMENAZAS Y RIESGOS
3.1.1 virus: Tiene por objeto alterar el normal funcionamiento del ordenador, sin el
permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan
archivos ejecutables por otros infectados con el cdigo de este. Los virus pueden
destruir, de manera intencionada, los datos almacenados en una computadora,
aunque tambin existen otros ms inofensivos, que solo se caracterizan por ser
molestos.
Los virus informticos tienen, bsicamente, la funcin de propagarse a travs de un
software, son muy nocivos y algunos contienen adems una carga daina (payload)
con distintos objetivos, desde una simple broma hasta realizar daos importantes en
los sistemas, o bloquear las redes informticas generando trfico intil.
3.1.2 Hacker: Es alguien que descubre las debilidades de una computadora o de una
red informtica, aunque el trmino puede aplicarse tambin a alguien con un
conocimiento avanzado de computadoras y de redes informticas.1 Los hackers
pueden estar motivados por una multitud de razones, incluyendo fines de lucro,
protesta o por el desafo.
3.1.3cracker: se utiliza para referirse a las personas que "rompen" algn sistema de
seguridad. Los crackers pueden estar motivados por una multitud de razones,
incluyendo fines de lucro, protesta, o por el desafo. Se entiende tambin como
cracker a todo aquel que de forma ilegal, compromete la seguridad de un sistema
informtico en pro de un beneficio. Mayormente, se entiende que los crackers se
dedican a la edicin desautorizada de software propietario.
Sin embargo, debe entenderse que si bien los ejecutables binarios son uno de los
principales objetivos de estas personas, una aplicacin web o cualquier otro sistema
informtico representan otros tipos de ataques que de igual forma pueden ser
considerados actos de cracking.

pg. 14

Cracker, no debe, en ninguna acepcin del trmino, confundirse con un hacker.

3.2 distintos usos:
*Mediante ingeniera inversa realiza seriales, keygens y cracks, los cuales sirven
para modificar el comportamiento, ampliar la funcionalidad del software o hardware
original al que se aplican, etc. Se los suele utilizar para saltearse restricciones como,
por ejemplo, que un programa deje de funcionar a un determinado tiempo, o que
slo funcione si es instalado desde un CD original.
*Viola la seguridad de un sistema informtico y toma el control de este, obtiene
informacin, borra datos, etc.
*Control total en el mundo informtico.

pg. 15

CONCLUSIONES

1. La seguridad de la informacin va adquiriendo una importancia creciente con el

aumento del volumen de informacin importante que se halla en las
computadoras distribuidas, por lo que es de fundamental importancia que las
empresas y otros organismos que tienen en los de informacin su principal eje
de operacin, manejo almacenamiento de informacin, desarrollen un sistema
organizado de seguridad informtica, a fin de prevenir atentados y daos que
podran ser irreparables.
2. Es muy bueno utilizar un tipo de software ya que este nos permite disminuir el
tamao de la informacin original si que esto implique cambios en la misma y
sobre todo permitiendo disminuir la cantidad de memoria que puede ocupar
cierto tipo de documento.
3.

pg. 16

Una amenaza es todo elemento o accin capaz de atentar contra la seguridad de

la
informacin.
Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que
una amenaza slo puede existir si existe una vulnerabilidad

pg. 17