Pรกgina 1 de 21
SEGURIDAD INFORMÁTICA
JOSÉ FRANCISCO HORMIGA NAVAS CARLOS ALBERTO GALLO SANDOVAL LUIS ALBERTO BERNAL VELASCO ESTEFANIA LAGUADO MONCADA YARITZA RAMIREZ ROJAS
CORPORACIÓN UNIVERSITARIA REMINGTON INGENIERÍA DE SISTEMAS – CONTADURÍA PÚBLICA CUCUTA 2014 Página 2 de 21
SEGURIDAD INFORMÁTICA
JOSÉ FRANCISCO HORMIGA NAVAS CARLOS ALBERTO GALLO SANDOVAL LUIS ALBERTO BERNAL VELASCO ESTEFANIA LAGUADO MONCADA YARITZA RAMIREZ ROJAS
Tutora DIANA MARCELA RODRIGUEZ
CORPORACIÓN UNIVERSITARIA REMINGTON INGENIERÍA DE SISTEMAS – CONTADURÍA PÚBLICA CUCUTA 2014 Página 3 de 21
¿QUÉ ES DEONTOLOGÍA? La Ética Profesional o Deontología (del griego δέον ―debido‖ + λόγος ―tratado‖, término introducido por Jeremy Bentham en su Deontology or the Science of Morality, ―Deontología o Ciencia de la Moralidad‖, 1834). Es una rama de la ética cuyo propósito es establecer los deberes y obligaciones morales y éticas que tienen que asumir quienes ejercen una determinada profesión. Por lo general, se halla recogida en forma escrita en los llamados Códigos Deontológicos. La Deontología es conocida también bajo el nombre de ―Teoría del Deber‖ y, al lado de la Axiología, es una de las dos ramas principales de la ética normativa. Un Código Deontológico es un conjunto de criterios, apoyados en la Deontología con normas y valores, que formulan y asumen quienes llevan a cabo una actividad Profesional.
Página 4 de 21
¿QUÉ ES CÓDIGO DEONTOLÓGICO? Es un documento que recoge un conjunto más o menos de criterios, apoyados en la deontología con normas y valores que formulen y asumen quienes llevan a cabo correctamente una Actividad Profesional. Los Códigos Deontológicos se ocupan de los aspectos éticos del ejercicio de la profesión que regulan. Estos códigos cada vez son más frecuentes en otras actividades. No se debe confundir la Deontología con los Códigos Deontológicos. La Deontología tiene un carácter más amplio, y puede incluir normas que no figuren en ningún código particular. El Código Deontológico es la aplicación de la Deontología a un campo concreto.
Página 5 de 21
¿QUÉ ES INGENIERÍA DE SISTEMAS? Es un modo de enfoque interdisciplinario que permite estudiar y comprender la realidad, con el propósito de implementar u optimizar Sistemas complejos. Puede también verse como la aplicación Tecnológica, adoptando en todo este trabajo el paradigma Sistémico. La Ingeniería de Sistemas es, la aplicación de las ciencias matemáticas y físicas para desarrollar sistemas que utilicen económicamente los materiales y fuerzas de la naturaleza para el beneficio de la humanidad. Una de las principales diferencias de la Ingeniería de Sistemas respecto a otras disciplinas de Ingeniería tradicionales, consiste en que la Ingeniería de Sistemas no construye productos tangibles. Mientras que los: Ingenieros Civiles podrían diseñar edificios o puentes. Ingenieros electrónicos podrían diseñar circuitos Los Ingenieros de Sistemas tratan con Sistemas abstractos con ayuda de las Metodologías de la Ciencia de Sistemas, y confían además en otras disciplinas para diseñar y entregar los productos tangibles que son la realización de esos Sistemas. De manera equivocada algunas personas confunden la Ingeniería de Sistemas con las Ingenierías de Computación o en Informática, cuando ésta es mucho más cercana a la Electrónica y la Mecánica cuando se aplica.
Página 6 de 21
Pรกgina 7 de 21
SEGURIDAD INFORMÁTICA
Análisis y Estudio
Desarrollo de las PSI
Difusión e Implementación
PSI Políticas Seguridad Informática Página 8 de 21
Monitoreo y Evaluación
Revisión o Actualización
La Seguridad Informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un Sistema Informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un Sistemas. Un Sistema Informático puede ser protegido desde un punto de vista lógico (con el desarrollo de Software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la Computadora del usuario (como un Virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a distintos Sistemas). En el caso de los virus hay que subrayar que en la actualidad es amplísima la lista de ellos que existen y que pueden vulnerar de manera palpable cualquier equipo o Sistema Informático. Así, por ejemplo, nos encontramos con los llamados virus residentes que son aquellos que se caracterizan por el hecho de que se hallan ocultos en lo que la memoria RAM y eso les da la oportunidad de interceptar y de controlar las distintas operaciones que se realizan en el ordenador en cuestión llevando a cabo la infección de programas o carpetas que formen parte fundamental de aquellas. De la misma forma también están los conocidos Virus de Acción Directa que son aquellos que lo que hacen es ejecutarse rápidamente y extenderse por todo el equipo trayendo consigo de todo lo que encuentren a su paso. Los Virus Cifrados, los de Arranque, los del Fichero o los Sobre escritura son igualmente otros de los peligros contagiosos más importantes que pueden afectar a nuestro ordenador. Entre las herramientas más usuales de la Seguridad Informática, se encuentran los Programas Antivirus, los Cortafuegos o Firewall, la encriptación de la información y el .uso de contraseñas (passwords). Página 9 de 21
Herramientas todas ellas de gran utilidad como también lo son los conocidos Sistemas de Detección de Intrusos, también conocidos como Anti – Spyware. Se trata de programas o aplicaciones gracias a los cuales se puede detectar de manera inmediata lo que son esos programas espías que se encuentran en nuestro Sistema Informático y que lo realizan es una recopilación de información del mismo para luego ofrecérsela a un dispositivo externo sin contar con nuestra autorización en ningún momento. Un Sistema Seguro debe ser Integro (con información modificable solo por las personas autorizadas), Confidencial (los datos tienen que ser legibles únicamente para los usuarios autorizados), Irrefutable (el usuario no debe poder negar las acciones que realizo) y tener Buena Disponibilidad (debe ser estable). De todas formas, como en la mayoría de los ámbitos de la Seguridad, lo esencial sigue siendo la capacitación de los usuarios. Una persona que conoce cómo protegerse de las amenazas sabrá utilizar sus recursos de la mejor manera posible para evitar ataques o accidentes. En otras palabras, puede decirse que la Seguridad Informática busca garantizar que los recursos de un Sistema de Información sean utilizados tal como una organización o un usuario lo ha decidido, sin intromisiones.
Página 10 de 21
VIRUS INFORMÁTICO Un virus informático es un malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario.) que tiene por objeto alterar el normal funcionamiento del ordenador, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.
El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, incluso cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.
Página 11 de 21
TIPOS Existen diversos tipos de virus, varían según su función o la manera en que este se ejecuta en nuestra computadora alterando la actividad de la misma, entre los más comunes están: Troyano: Consiste en robar información o alterar el sistema del hardware o en un caso extremo permite que un usuario externo pueda controlar el equipo. Gusano: Tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. Bombas lógicas o de tiempo: Son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario. Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas novatos. Joke: Al igual que los hoax, no son virus, pero son molestos, un ejemplo: una página pornográfica que se mueve de un lado a otro, y si se le llega a dar a cerrar es posible que salga una ventana que diga: OMFG!! No se puede cerrar!.
Página 12 de 21
ACCIONES Algunas de las acciones de algunos virus son: Unirse a un programa instalado en el computador permitiendo su propagación. Mostrar en la pantalla mensajes o imágenes humorísticas, generalmente molestas. Ralentizar o bloquear el computador. Destruir la información almacenada en el disco, en algunos casos vital para el sistema, que impedirá el funcionamiento del equipo. Reducir el espacio en el disco. Molestar al usuario cerrando ventanas, moviendo el ratón...
Página 13 de 21
HACKER Es alguien que descubre las debilidades de una computadora o de una red informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado de computadoras y de redes informáticas. Los hackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro, protesta o por el desafío. La subcultura que se ha desarrollado en torno a los hackers a menudo se refiere a la cultura underground (movimientos contraculturales que se consideran alternativos, paralelos, contrarios, o ajenos a la cultura oficial) de computadoras, pero ahora es una comunidad abierta. Aunque existen otros usos de la palabra «hacker» que no están relacionados con la seguridad informática, rara vez se utilizan en el contexto general. Están sujetos a la antigua controversia de la definición de hacker sobre el verdadero significado del término. En esta controversia, el término hacker es reclamado por los programadores, quienes argumentan que alguien que irrumpe en las computadoras se denomina «cracker», sin hacer diferenciación entre los delincuentes informáticos —sombreros negros— y los expertos en seguridad informática —sombreros blancos—. Algunos hackers de sombrero blanco afirman que ellos también merecen el título de hackers, y que solo los de sombrero negro deben ser llamados crackers.
Página 14 de 21
HACKER DE SOMBRERO NEGRO Es un hacker que viola la seguridad informática por razones más allá de la malicia o para beneficio personal. Los hackers de sombrero negro son la personificación de todo lo que el público teme de un criminal informático. Los hackers de sombrero negro entran a redes seguras para destruir los datos o hacerlas inutilizables para aquellos que tengan acceso autorizado. La forma en que eligen las redes a las que van a entrar es un proceso que puede ser dividido en tres partes: 1. Elección de un objetivo: El hacker determina a cuál red irrumpir durante esta fase. El objetivo puede ser de especial interés para el hacker, ya sea política o personalmente, o puede ser elegido al azar.
Luego, el hacker revisará los puertos de una red para determinar si es vulnerable a ataques, lo cual simplemente es probar todos los puertos de una máquina anfitrión en busca de una respuesta.
Un puerto se define como una abertura por la que la computadora recibe datos a través de la red. Los puertos abiertos —aquellos que respondan— le permitirían a un hacker tener acceso al sistema.
2. Recopilación de información e investigación: Es en esta etapa que el hacker visita o hace contacto con el objetivo de alguna manera con la esperanza de descubrir información vital que le ayudará a acceder al sistema. La principal forma en que los hackers obtienen los resultados deseados durante esta etapa es la de la ingeniería social. Página 15 de 21
Además de la ingeniería social, los hackers también pueden utilizar una técnica llamada recolección urbana, que es cuando un hacker, literalmente, bucea en un contenedor de basura con la esperanza de encontrar los documentos que los usuarios han tirado, lo cual le ayudará a obtener acceso a una red.
3. Finalización del ataque: Esta es la etapa en la que el hacker invadirá al objetivo preliminar que había planeado atacar o robar. En este punto, muchos hackers pueden ser atraídos o atrapados por sistemas conocidos como honeypot —trampa colocada por el personal de seguridad informática—. HACKER DE SOMBRERO BLANCO Rompe la seguridad por razones no maliciosas, quizás para poner a prueba la seguridad de su propio sistema o mientras trabaja para una compañía de software que fabrica software de seguridad. El término sombrero blanco en la jerga de Internet se refiere a un hacker ético. Esta clasificación también incluye a personas que llevan a cabo pruebas de penetración y evaluaciones de vulnerabilidad dentro de un acuerdo contractual. El Consejo Internacional de Consultores de Comercio Electrónico, también conocido como EC-Council, ha desarrollado certificaciones, cursos, clases y capacitaciones en línea cubriendo toda la esfera del hacker ético. Además existen certificaciones como CPEH Certified Professional Ethical Hacker y CPTE
Certified
Penetration
Testing
Engineer
de
Mile2,
que
cuentan
con
acreditaciones de la Agencia Nacional de Seguridad de los Estados Unidos (NSA) y de la Iniciativa Nacional para los Estudios y Carreras en Ciberseguridad de los Estados Unidos (NICCS).
Página 16 de 21
CRACKER El término cracker (del inglés cracker, y este de to crack, ‗romper‘, ‗quebrar‘) se utiliza para referirse a las personas que "rompen" algún sistema de seguridad. Los crackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro, protesta, o por el desafío. LEGALIDAD Muchos programas informáticos, usualmente los privativos, no permiten la modificación o estudio del funcionamiento del programa. Esto hace que el hecho de realizar ingeniería inversa para poder generar un serial o un crack sea ilegal. En ocasiones el cracking es la única manera de realizar cambios sobre software para el que su fabricante no presta soporte, especialmente cuando lo que se quiere es, o corregir defectos, o exportar datos a nuevas aplicaciones. En estos casos, en la mayoría de legislaciones no se considera el cracking como actividad ilegal.
Página 17 de 21
ÉTICA PROFESIONAL DEL INGENIERO DE SISTEMAS La ética profesional es el conjunto de normas de carácter ético aplicadas en el desarrollo de una actividad laboral. La ética puede aparecer reflejada en códigos deontológicos o códigos profesionales a través de una serie de principios y valores contenidos en postulados en forma de decálogo o documentos de mayor extensión. La ética profesional del Ingeniero de Sistemas, implica el comportamiento adecuado con miras a alcanzar un bien común no solo para nosotros mismos sino también para la sociedad. Es así como la ingeniería de sistemas no escapa de la ética, ya que los profesionales en este campo no siempre están relacionados con instrumentos tecnológicos, por lo cual su trabajo a través de estos se orienta al beneficio de la sociedad. Ante esto un profesional debe estar consciente de que cada una de sus decisiones, invenciones e innovaciones y ejecuciones conllevan una responsabilidad social y ética en la cual debemos considerar que el profesional a partir de su trabajo lograra perfeccionarse no solo en el ámbito laboral si no en su relación como persona, es decir en su sentido integral.
Página 18 de 21
1. EN RELACIÓN CON EL CLIENTE El profesional presenta problemas acerca de los cobros, ya que el tema del precio justo se presta para problemáticas, como por ejemplo puede ser el caso de que un computador este dañado su arreglo puede consistir en solo cambiar alguna pieza, sin embargo quien arregla puede engañar al cliente haciéndole creer que llevo a cabo un gran trabajo. Cobrándole más de lo que correspondería.
2. EN RELACIÓN CON LA EMPRESA Al ser un trabajo que implica bastante labor practica y experimental, suele suceder que los profesionales deben realizar sus tareas con materiales de la empresa, sin embargo pese a tratarse de herramientas necesarias para realizar su labor no todos los tratan con óptimo cuidado, así muchas veces se genera una falta de compromiso del profesional con los recursos materiales de su empresa.
Página 19 de 21
3. EN LA RELACIÓN CON EL MEDIO PROFESIONAL Aun cuando no se trata de un problema exclusivo del ámbito de la Ingeniería de Sistemas numerosos profesionales mencionan como problemas de carácter ético aquel generado cuando sus conocimientos son cuestionado frente a un cliente o un jefe, cierto que es que en ocasiones el consejo la opinión o la crítica de otro ingeniero pueden ayudar a solucionar el inconveniente o advertir un problema que puede haber pasado desapercibido. En este sentido la actitud la lealtad y compañerismo resulta de gran apoyo para el trabajo. Sin embargo dicha critica debe ser ejecutada siempre con una intención positiva y cuidando no perjudicar al profesional en relación a su prestigio. Otro gran problema sería la apropiación de piezas por parte del profesional que hace el previo mantenimiento y detecta daños en algún equipo o sistema, muchas beses el cliente anticipa el pago de estos arreglos donde va incluido el costo de piezas a cambiar, y es allí donde quien hace el arreglo deja la pieza antigua y el cliente como no puede ver las piezas a plena vista no se da cuenta del engaño que ha sufrido.
Página 20 de 21
Pรกgina 21 de 21