TÉRMINOS BÁSICOS

• ¿Qué es el riesgo?
• El riesgo es la probabilidad de que una amenaza se convierta en un
desastre. La vulnerabilidad o las amenazas, por separado, no representan
un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la
probabilidad de que ocurra un desastre.

• Sin embargo los riesgos pueden reducirse o manejarse. Si somos

cuidadosos en nuestra relación con el ambiente, y si estamos conscientes
de nuestras debilidades y vulnerabilidades frente a las amenazas
existentes, podemos tomar medidas para asegurarnos de que las
amenazas no se conviertan en desastres.

1
La gestión del riesgo no solo nos permite prevenir desastres.
También nos ayuda a practicar lo que se conoce
como desarrollo sostenible. El desarrollo es sostenible cuando la
gente puede vivir bien, con salud y felicidad, sin
dañar el ambiente o a otras personas a largo plazo. Por ejemplo,
se puede ganar la vida por un tiempo cortando
árboles y vendiendo la madera, pero si no se siembran más
árboles de los que se corta, pronto ya no habrá árboles
y el sustento se habrá acabado. Entonces no es sostenible.

2
¿Qué es la prevención y mitigación de desastres?
La prevención y mitigación son todo lo que hacemos
para asegurarnos de que no suceda un desastre o, si
sucede, que no nos perjudique tanto como podría. La
mayoría de los fenómenos naturales no pueden
impedirse; pero sí podemos reducir los daños que
causa un sismo si construimos casas más resistentes y
en lugares donde el suelo sea sólido.

3
¿Qué es la prevención?

Es la aplicación de medidas para evitar que un evento se

convierta en un desastre. Por ejemplo, sembrar árboles
previene la erosión y los deslizamientos. También puede
prevenir las sequías.

¿Qué es la mitigación?

Son medidas para reducir la vulnerabilidad frente a

ciertas amenazas. Por ejemplo, hay formas de
construcción que aseguran que nuestras casas, escuelas
o hospitales no se caigan con un terremoto o un huracán.

4
La prevención y mitigación comienzan por:

 Conocer cuáles son las amenazas y riesgos a los que

estamos expuestos en nuestra comunidad.
 Reunirnos con nuestra familia y los vecinos y hacer
planes para reducir esas amenazas y riesgos o evitar
que nos hagan daño.
 Realizar lo que planeamos para reducir nuestra
vulnerabilidad.

No es suficiente hablar sobre el asunto, hay que tomar

acciones.

5
¿Qué es una amenaza?
Se entiende por amenaza una condición del entorno del
sistema de información (persona, máquina, suceso o idea)
que, dada una oportunidad, podría dar lugar a que se
produjese una violación de la seguridad (confidencialidad,
integridad, disponibilidad o uso legítimo). La política de
seguridad y el análisis de riesgos habrán identificado las
amenazas que han de ser contrarrestadas, dependiendo
del diseñador del sistema de seguridad especificar los
servicios y mecanismos de seguridad necesarios.

6
RIESGO = AMENAZA * VULNERABILIDAD

Amenaza= PROBABILIDAD de un evento con una

cierta magnitud

7
¿Qué es vulnerabilidad?

En seguridad informática, la palabra vulnerabilidad hace

referencia a una debilidad en un sistema permitiendo a
un atacante violar la confidencialidad, integridad,
disponibilidad, control de acceso y consistencia del
sistema o de sus datos y aplicaciones.

Las vulnerabilidades son el resultado de bugs o de fallos

en el diseño del sistema. Aunque, en un sentido más
amplio, también pueden ser el resultado de las propias
limitaciones tecnológicas, porque, en principio, no existe
sistema 100% seguro. Por lo tanto existen
vulnerabilidades teóricas y vulnerabilidades reales
(conocidas como exploits).

8
Algunas vulnerabilidades típicas suelen ser:
* Desbordes de pila y otros buffers.
*Errores en la validación de entradas como: inyección
SQL, bug en el formato de cadenas, etc.
* Secuestro de sesiones.
* Ejecución de código remoto.
* XSS.
* etc
(Cross-site Scripting). El Cross-site Scripting o XSS es un problema de
seguridad en las páginas web, generalmente por vulnerabilidades en el
sistema de validación de datos entrantes. Un ataque XSS consiste en enviar
un script malicioso a la página, ocultándolo entre solicitudes legítimas.

Para funcionar necesitan un punto de entrada, que suelen ser los formularios.
A través de un ataque XSS, se puede secuestrar cuentas, cambiar
configuraciones de los usuarios, acceder a partes restringidas del sitio,
modificar el contenido del sitio, etc.
9
Vulnerabilidad = grado de destrucción. Función
de:
• Magnitud del evento, y
• Tipo de elementos bajo riesgo

10
 Riesgo Vs Amenaza
Una causa de riesgo previa es la amenaza. Las
amenazas en un contexto de seguridad de la información,
incluyen actos dirigidos, deliberados (por ejemplo por
crackers) y sucesos no dirigidos, aleatorios o
impredecibles (como puede ser un rayo).

Amenaza es la causa de riesgo que crea aptitud dañina

sobre personas y bienes. En el ámbito económico las
amenazas latentes (con posibilidad de existencia) es, por
ejemplo, la causa origen de pérdida de dinero por baja de
las cotizaciones de la bolsa, mientras que el riesgo de
pérdida de las acciones es la posibilidad de daño
monetario.

11
Seguridad

Cotidianamente se puede referir a la seguridad como la

«ausencia» de riesgo o también a la confianza en algo
o alguien. Sin embargo, el término puede tomar
diversos sentidos según el área o campo a la que haga
referencia.

12
 Seguridad informática

La seguridad informática es el área de la informática

que se enfoca en la protección de la infraestructura
computacional y todo lo relacionado con esta
(incluyendo la información contenida). Para ello existen
una serie de estándares, protocolos, métodos, reglas,
herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la información.

La seguridad informática comprende software, bases

de datos, metadatos, archivos y todo lo que la
organización valore (activo) y signifique un riesgo si
ésta llega a manos de otras personas. Este tipo de
información se conoce como información privilegiada o
confidencial. 13
El concepto de seguridad de la información no debe ser
confundido con el de seguridad informática, ya que este
último sólo se encarga de la seguridad en el medio
informático, pudiendo encontrar información en
diferentes medios o formas.

14
Seguridad de la Información
Se entiende por seguridad de la información a todas
aquellas medidas preventivas y reactivas del hombre, de
las organizaciones y de los sistemas tecnológicos que
permitan resguardar y proteger la información buscando
mantener la confidencialidad, la disponibilidad e
Integridad de la misma.

15
PRUEBAS ALPHA

Es la primera versión del programa, la cual es enviada a

los verificadores para probarla.

Algunos equipos de desarrollo utilizan el término alfa

informalmente para referirse a una fase donde un
producto todavía es inestable, aguarda todavía a que se
eliminen los errores o a la puesta en práctica completa de
toda su funcionalidad, pero satisface la mayoría de los
requisitos.

16
PRUEBAS BETA
Una versión beta o lanzamiento beta representa
generalmente la primera versión completa del programa
informático o de otro producto, que es posible que sea
inestable pero útil para que las demostraciones internas
y las inspecciones previas seleccionen a clientes.
Algunos desarrolladores se refieren a esta etapa como
inspección previa (preview) o como una inspección
previa técnica (technical preview [TP])

17
PRUEBAS DE CAJA NEGRA

En las pruebas de caja negra se decide no tener en

cuenta el funcionamiento interno de un sistema y solo se
analizan sus entradas y salidas. Se aplica tanto como
estrategia de testeo, fijándose más en el exterior
(usuario) o en la conexión entre diferentes sistemas
(interfaz), que como necesidad cuando no es accesible o
no es practico estudiar el funcionamiento interno del
sistema en análisis.

18
PRUEBAS DE CAJA BLANCA

En las pruebas de caja blanca se conoce y se tiene en

cuenta el funcionamiento interno de un sistema. Las
pruebas se planifican observando la estructura del
algoritmo del sistema, sus condicionales, bucles, casos
especiales.

En la teoría de sistemas a menudo se encuentra el

caso menos ideal llamado caja gris en que además
de conocer las entradas y salidas se conoce algún
detalle o parámetro de su funcionamiento interno.

19
20