Anteproyecto Seguridad Informatica

INSTITUTO UNIVERSITARIO DE TECNOLOGIA INDUSTRIAL “RODOLFO LOERO ARISMENDI” IUTIRLA EXTENSION MATURIN

IMPLEMENTAR ESTRATEGIAS DE SEGURIDAD EN LOS SOFTWARES DE LAS EMPRESAS VIRTUALES

PROFESOR: AUDREY MAGO

INTEGRANTES: JOSE ELIAS ROJAS SECCION: 1TI.

MATURIN, 22-08-19.

CAPITULO I El PROBLEMA PLANTEAMIENTO DEL PROBLEMA El presente trabajo propone implementar estrategias de seguridad en los softwares de las empresas virtuales usando nuevos métodos para solucionar vulnerabilidades en un futuro, y así poder ayudar de manera que podamos estar al tanto de los problemas que se van generando y desarrollando día a día para tener más protección a la hora de un robo de datos o ciberhackeo. A medida que la presencia en la web se hace más común y necesaria para cualquier empresa o emprendimiento, también crecen los riesgos y allí aparece la seguridad informática como herramienta para contrarrestarlos. Las aplicaciones deben ser desarrolladas teniendo en cuenta no sólo a los usuarios normales de las mismas, sino previendo el usufructo que podría hacer de vulnerabilidades existentes. Por ejemplo, a ninguna empresa le gustaría que, desde su página de comercio electrónico, se pudiera obtener su base de clientes completa. Es precisamente en el trámite de este anteproyecto, que nos hemos dado cuenta de que hay muchas empresas virtuales sin protección a sus softwares y que no cuentan con un equipo de soporte técnico óptimo y los que ya tienen no usan las técnicas adecuadas ocasionando mayor vulnerabilidad en sus sistemas. ¿Qué es lo que hace vulnerable el software de una empresa virtual? ¿Cuáles son los motivos de querer vulnerar el software de una empresa virtual? ¿Qué estrategias de seguridad podríamos implementar a los softwares de las empresas virtuales? ¿Quiénes son los causantes de vulnerar los sistemas de las empresas virtuales?

OBJETIVO GENERAL Desarrollar estrategias de seguridad en los softwares de las empresas virtuales.

OBJETIVOS ESPECIFICOS 

Identificar los principales aspectos vulnerables en los softwares de las empresas virtuales.



Proponer estrategias a futuro con la finalidad de ayudar a combatir los Malware del día a día en las empresas virtuales.



Precisar las bases teóricas que fundamentan el presente estudio.

JUSTIFICACION En la actualidad el uso de los sistemas de información tiene una gran demanda dado el incremento de servicios tecnológicos en las diferentes ramas de la industria y con ello también el aumento de problemas de seguridad, afectando activos esenciales como la información. Es necesario que las empresas virtuales se concienticen de la importancia de proteger la integridad de los datos que manejan, puesto que el dejar de lado el tema podría incurrir en deterioro de la información degradando los servicios y generando pérdidas económicas. Teniendo en cuenta lo anterior es necesario contar con estrategias y medidas de seguridad de la información, con el fin de garantizar el funcionamiento adecuado de todos los sistemas y dado el caso de alguna amenaza y/o ataque que impliquen la pérdida de información, se apliquen los procedimientos correctivos necesarios.

DELIMITACION En cuanto al tiempo y el espacio esta investigación se realizara principalmente a las empresas virtuales que tengan más riesgo de vulnerabilidad en sus softwares o sistemas.

CAPITULO II MARCO TEORICO ANTECEDENTES En la Universidad Nacional Mayor de San Marcos, facultad de Ciencias Matemáticas, en el 2003, se desarrolló el proyecto PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA. El cual consiste en definir un plan de seguridad para una entidad financiera, empieza por definir la estructura organizacional (roles y funciones), después pasa a definir las políticas, para finalmente concluir con un plan de implementación o adecuación a las políticas anteriormente definidas.

En la Universidad Tecnológica de Pereira, facultad de ingenierías, programa de ingeniería de sistemas y computación, en el 2013 se desarrolló el proyecto DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA EL GRUPO EMPRESARIAL LA OFRENDA. El cual diseño un Sistema de gestión de seguridad de la información SGSI, como parte de un sistema de gestión global basado directamente en los riesgos para el negocio y los activos del mismo contemplado en la norma ISO 27001:2005, el objetivo primordial fue ayudar a las empresas a gestionar de una forma eficaz la seguridad de la información evitando las inversiones mal dirigidas, contrarrestando las amenazas presentes en el entorno y dentro de la misma, implementación de controles proporcionado y de un coste menos elevado.

En la pontificia universidad católica de Perú, facultad de ciencias e ingeniería, en el año 2005, se realizó el ANÁLISIS Y DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN BASADO EN LA NORMA ISO/IEC 27001:2005 PARA UNA EMPRESA DE PRODUCCIÓN Y COMERCIALIZACIÓN DE PRODUCTOS DE CONSUMO MASIVO. Este proyecto se diseñó para el caso de una empresa del rubro de producción y distribución de alimentos de consumo masivo, este tipo de empresas también tienen la necesidad de proteger la información.

BASES TEORICAS Podemos dar a definir la seguridad informática como el proceso de prevenir y detectar el uso no autorizado de un sistema informático. Implica el proceso de proteger contra intrusos el uso de nuestros recursos informáticos con intenciones maliciosas o con intención de obtener ganancias, o incluso la posibilidad de acceder a ellos por accidente. La seguridad informática es en realidad una rama de un término más genérico que es la seguridad de la información, aunque en la práctica se suelen utilizar de forma indistinta ambos términos. La seguridad informática abarca una serie de medidas de seguridad, tales como programas de software de antivirus, firewalls, y otras medidas que dependen del usuario, tales como la activación de la desactivación de ciertas funciones de software, como scripts de Java, ActiveX, cuidar del uso adecuado de la computadora, los recursos de red o de Internet.

¿Por qué es tan importante la seguridad informática? Prevenir el robo de datos tales como números de cuentas bancarias, información de tarjetas de crédito, contraseñas, documentos relacionados con el trabajo, hojas de cálculo, etc. es algo esencial durante las comunicaciones de hoy en día. Muchas de las acciones de nuestro día a día dependen de la seguridad informática a lo largo de toda la ruta que siguen nuestros datos. Y como uno de los puntos iniciales de esa ruta, los datos presentes en un ordenador también pueden ser mal utilizados por intrusiones no autorizadas. Un intruso puede modificar y cambiar los códigos fuente de los programas y también puede utilizar tus imágenes o cuentas de correo electrónico para crear contenido perjudicial, como imágenes pornográficas o cuentas sociales falsas. Hay también ciberdelincuentes que intentarán acceder a los ordenadores con intenciones maliciosas como pueden ser atacar a otros equipos o sitios web o redes simplemente para crear el caos. Los hackers pueden bloquear un sistema informático para propiciar la pérdida de datos. También son capaces de lanzar ataques DDoS para conseguir que no se pueda acceder a sitios web mediante consiguiendo que el servidor falle.

Todos los factores anteriores vuelven a hacer hincapié en la necesidad de que nuestros datos deben permanecer seguros y protegidos confidencialmente. Por lo tanto, es necesario proteger tu equipo y eso hace que sea necesario y muy importante todo lo que es la seguridad informática.

Medidas para el mantenimiento de la seguridad informática y la prevención de intrusiones: Los ataques más utilizados en contra de un sistema informático son los troyanos, los gusanos y la suplantación y espionaje a través de redes sociales. También son populares los ataques DoS/DDoS, que pueden ser usados para interrumpir los servicios. A menudo algunos usuarios autorizados pueden también estar directamente involucrados en el robo de datos o en su mal uso. Pero si se toman las medidas adecuadas, la gran mayoría de este tipo de ataques pueden prevenirse, por ejemplo a través de la creación de diferentes niveles de acceso, o incluso limitando el acceso físico. Las medidas de seguridad informática que puedes tomar incluyen:

Asegurar la instalación de software legalmente adquirido: por lo general el software legal está libre de troyanos o virus.

Suites antivirus: con las reglas de configuración y del sistema adecuadamente definido.

Hardware y software cortafuegos: los firewalls ayudan con el bloqueo de usuarios no autorizados que intentan acceder a tu computadora o tu red.

Uso de contraseñas complejas y grandes: las contraseñas deben constar de varios caracteres especiales, números y letras. Esto ayuda en gran medida a que un hacker pueda romperla fácilmente.

Cuidado con la ingeniería social: a través de las redes sociales los ciberdelincuentes pueden intentar obtener datos e información que pueden utilizar para realizar ataques.

Criptografía, especialmente la encriptación: juega un papel importante en mantener nuestra información sensible, segura y secreta.

Responsabilidad del administrador de redes: El administrador de redes, también conocido como administrador de sistemas, en muchas de las empresas que hoy en día disponen de varios ordenadores o diverso software, realiza una función muy importante de gestión y coordinación de los distintos sistemas que interactúan en ellas y las redes que los une. Este es el responsable de mantener la red informática actualizada y en continuo funcionamiento sin que existan problemas y, en caso de que los haya, poder solucionarlos de la forma más rápida y eficaz posible. Son muchas las tareas y responsabilidades que pueden estar en manos de un administrador de redes. Estas dependerán del tamaño, las necesidades y la complejidad de las redes de la empresa para la que trabaje. Las tareas del administrador de redes se pueden agrupar en cuatro fases o bloques: Diseño y planificación Configuración Mantenimiento Expansión de la red

Seguridad de redes: La seguridad de redes consiste en las políticas y prácticas adoptadas para prevenir y supervisar el acceso no autorizado, el uso indebido, la modificación o la denegación de una red informática y sus recursos accesibles. La seguridad de redes involucra la autorización del acceso a datos en la red, que es controlada por el administrador de red. Los usuarios eligen o se les asigna una identificación y contraseña u otra información de autenticación que les permite acceder a información y programas dentro de sus autorizaciones. La seguridad de red cubre una variedad de redes de computadoras, tanto públicas como privadas, que se usan en trabajos cotidianos; realizar transacciones y comunicaciones entre empresas, agencias gubernamentales e individuos. Las redes pueden ser privadas, como dentro de una empresa, y otras que pueden estar abiertas al público. La seguridad de la redes está presente en organizaciones, empresas y otros tipos de instituciones. Hace como su nombre indica: protege la red, además de proteger y supervisar las operaciones que se realizan. La forma más común y simple de proteger un recurso de red es asignándole un nombre único y la contraseña correspondiente.

Conceptos de seguridad de redes: La seguridad de redes empieza con la autenticación, usualmente con un nombre de usuario y una contraseña. Ya que esto requiere solamente autenticar un nombre de usuario, por ejemplo, con la contraseña, se utiliza el término autenticación de un factor. Con un doble factor de autenticación se utiliza algo que el usuario "tiene", por ejemplo, un token de seguridad, una tarjeta de crédito o un teléfono celular; y con un factor triple de autenticación se usa algo que el usuario "es", por ejemplo huella dactilar o reconocimiento de iris.

Administración de seguridad: La administración de seguridad para redes varía según las diversas situaciones. Una casa u oficina pequeña puede requerir solamente seguridad básica, mientras que las grandes empresas pueden requerir un software y hardware de alto mantenimiento y avanzado para evitar ataques maliciosos de piratería y spam.

Tipos de ataques:

Las redes están sujetas a ataques de fuentes maliciosas. Los ataques pueden ser de dos categorías: "pasivos" cuando un intruso intercepta datos que viajan a través de la red, y "activos" cuando un intruso inicia comandos para interrumpir el funcionamiento normal de la red o para realizar reconocimiento y "espionaje" para encontrar y obtener acceso a activos disponibles a través de la red.

BASES LEGALES En ejercicio de la atribución que le confiere el numeral 8 del artículo 236 de la Constitución de la República Bolivariana de Venezuela, en concordancia con el artículo 1, numeral 5, literal a, de la Ley que Autoriza al Presidente de la República para Dictar Decretos con fuerza de Ley en las Materias que se Delegan, en Consejo de Ministros, Dicta: Ley de Ciencia, Tecnología e Innovación de Venezuela. Artículo 22. El Ministerio de Ciencia y Tecnología coordinará las actividades del Estado que, en el área de tecnologías de información, fueran programadas. Asumirá competencias que en materia de informática, ejercía la Oficina Central de Estadística e Informática, así como las siguientes: 1. Establecer políticas, normas y medidas técnicas orientadas a resguardar la inviolabilidad del carácter privado y confidencial de los datos electrónicos obtenidos en el ejercicio de las funciones de los organismos públicos.

Ley especial contra los delitos informáticos. Concibe como bien jurídico la protección de los sistemas informáticos que contienen, procesan, resguardan y transmiten la información. Vigente en Gaceta Oficial de la República Bolivariana de Venezuela del 30 de octubre de 2001.

Artículo 1º Objeto de la ley. La presente ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías, en los términos previstos en esta ley.

DEFINICION DE TERMINOS

Activo (Asset): Un recurso, procedimiento, sistema u otra cosa que tenga un valor para una organización y por lo tanto deba de ser protegida, los Activos pueden ser bienes físicos tales como equipos de cómputo y maquinaria, también puede ser la Información y propiedad intelectual. Adware: Software legitimo pero molesto, es una característica que tienen algunos programas gratuitos o en fase de prueba que muestran publicidad, mensajes de activación o de compra, comúnmente el creador cobra por la publicidad que se muestra, los mensajes se muestran cuando está en funcionamiento el software asociado. Antivirus: Software diseñado para la detección, prevención y eliminación de Software mal intencionado o dañino para los sistemas. Ataques de Diccionario: Es un tipo de ataque de fuerza bruta enfocado en el que se utiliza una lista predefinida de palabras. Ataque de Fuerza Bruta: Es un tipo de ataque que consiste en que el atacante intenta con todas las posibles combinaciones de letras, números y caracteres para acertar la contraseña, PIN o phassphrace. Auditoría: La verificación independiente de cualquier actividad o proceso.

Autenticación: El procedimiento de verificar la identidad que reclama un sujeto mediante una validación en un sistema de control de acceso. Autorización: Es el proceso de definir los derechos o permisos asignados a un sujeto (que puede hacer). Baja de Voltaje (Brownout): Voltaje bajo de manera prolongada de una fuente de energía eléctrica, tal como la energía eléctrica del servicio público. Biometría: Cualquiera de varios métodos utilizados como parte de un mecanismo de autenticación, para verificar la identidad de una persona. Los tipos de biometría utilizada incluye las huellas dactilares, impresiones de la palma de la mano, firmas, escaneos de retina, escaneos de voz y patrones de escritura en teclados. Certificado Digital: Es un certificado que liga una identidad a una llave de cifrado pública. Cifrado: El proceso de transformar texto plano a texto cifrado.

CAPITULO III MARCO METODOLÓGICO TIPO DE INVESTIGACION Siguiendo los criterios de Babaresco (1997, p. 9) las investigaciones descriptivas son el conocimiento de las características de una situación dada, plantea objetivos concretos y formula hipótesis sin usar laboratorios. De acuerdo a la problemática planteada esta investigación es descriptiva ya que se logra caracterizar un objeto de estudio o una situación concreta.

NIVEL DE LA INVESTIGACION Esta investigación es documental ya que se utilizan documentos oficiales y personales como fuente de información. Según Baena (1985), la investigación documental es una técnica que consiste en la selección y compilación de información a través de la lectura y crítica de documentos y materiales bibliográficos, bibliotecas, bibliotecas de periódicos, centros de documentación e información. Por su parte, Garza (1988) señala que la investigación documental se caracteriza por el uso predominante de registros gráficos y sonoros como fuentes de información (…), registros en forma manuscrita e impresos.

DISEÑO DE LA INVESTIGACION

Según el autor (Santa palella y feliberto Martins (2010)), define: el diseño bibliográfico, se fundamenta en la revisión sistemática, rigurosa y profunda del material documental de cualquier clase. Se procura el análisis de los fenómenos o el establecimiento de la relación entre dos o más variables. Cuando opta por este tipo de estudio, el investigador utiliza documentos, los recolecta, selecciona, analiza y presenta resultados coherentes. (pa.87. El diseño de la presente investigación es bibliográfico, ya que la investigación se basa en la indagación de documentos bibliográficos para fundamentar el problema.

POBLACION Y MUESTRA Según Arias (2006) define población y muestra a: Un conjunto finito o infinito de elementos con características comunes para los cuales serán extensivas conclusiones de la investigación. Esta queda determinada por el problema y por los objetivos del estudio (p. 81). Un subconjunto representativo y finito que se extrae de la población accesible (2006,p. 83). Según en los documentos bibliográficos estudiados se hacían mención de una cantidad considerable e inexacta de empresas virtuales que fueron revisadas posteriormente, la cual la mayoría de ellas tenían un sistema sin protección, por lo que eran muy vulnerables ante las amenazas del ciberhackeo.

TECNICAS DE RECOLECCION DE DATOS Arias (1999), menciona que “las técnicas de recolección de datos son las distintas formas de obtener información”.) pág.53). La técnica que se realizó para la recolección de datos, para llevar a cabo la investigación fue la indagación de documentos bibliográficos que hacían referencia al acceso de la información privada de las páginas web de diferentes empresas virtuales para observar que tan vulnerables eran sus softwares o sistemas, según los documentos revisados se obtuvieron respuestas positivas como negativas, ya que habían paginas que tenían un sistema de protección muy seguro así como también habían otras con un sistema de protección ineficiente estas últimas abundaban mas. INSTRUMENTOS Según Arias (1999),”Los instrumentos son los medios materiales que se emplean para recoger y almacenar la información (pág.53). Para recoger datos e información relevantes, la investigadora utilizó como instrumentos de recolección de datos el guión de entrevista, el registro de observación documental e igualmente el registro del diario de observación directa, cuyos resultados fueron triangulados. Para la recopilación de información, se usa la técnica de revisión documental y bibliográfica, resaltando los documentos y fuentes de mayor confiabilidad. Tales documentos son avalados por editoriales de renombre y organizaciones científicas y tecnológicas mundialmente conocidas. Los artículos de KasperskyLab analizados en un periodo de 6 años (2010,2016) se usaron para realizar un análisis cualitativo de diferentes casos de seguridad informática, pues siendo el mundo de la tecnología tan cambiante, es necesario analizar diferentes aspectos de los ataques informáticos. Los libros de Andrew Tanembaum describen de manera técnica y detallada los métodos de protección de sistemas. También se consultó documentos de periódicos y casos de diferentes revistas y medios internacionales, haciendo énfasis en los detalles metodológicos de los delitos informáticos ocurridos.

BIBLIOGRAFIA. Basado en http://www.bib.uia.mx/tesis/pdf/014663/014663.pdf Información de Responsabilidad Sada de https://smarterworkspaces.kyocera.es/blog/responsabilidad-administradorde-redes/ https://es.wikipedia.org/wiki/Seguridad_de_redes .