Professional Documents
Culture Documents
OBJETIVOS
Aplicar una metodología de análisis de riesgo para evaluar la seguridad informática en las
organizaciones.
Definir los procedimientos para aplicar la Política de seguridad informática.
Realizar encuestas para ver incidentes de seguridad y atender los problemas
relacionados a la seguridad informática dentro de la organización.
Promover la aplicación de auditorías enfocadas a la seguridad, para evaluar las prácticas
de seguridad informática dentro de la organización.
DESARROLLO DE LA ACTIVIDAD
1. A continuación usted encontrara un test de seguridad diseñada para medir los niveles
de riesgo en materia de seguridad de la información existentes en los equipos de las
diferentes empresas donde usted trabaja, conoce, o desee aplicarla.
Solicite a la persona que la respuesta que su respuesta sea lo más cercana a la realidad,
es decir que responda con sinceridad, todas las preguntas son de amplio conocimiento de
los administradores de una red. Cada integrante del grupo debe por lo menos hacer
diligenciar 2 encuestas:
PREGUNTAS SI NO
a. Comparto mi contraseña de acceso a mi equipo con mis
compañeros de trabajo x
PREGUNTAS SI NO
a. Comparto mi contraseña de acceso a mi equipo con mis
compañeros de trabajo x
RECOMENDACIONES
o En la barra del navegador debe aparecer el icono del candado cerrado. A través de
este icono se puede acceder a un certificado digital que confirma la autenticidad de la
página.
Sea cuidadoso al utilizar programas de acceso remoto. A través de internet y
mediante estos programas, es posible acceder a un ordenador, desde otro situado a
kilómetros de distancia. Aunque esto supone una gran ventaja, puede poner en peligro
la seguridad de su sistema.
Ponga especial atención en el tratamiento de su correo electrónico, ya que es
una de las herramientas más utilizadas para llevar a cabo estafas, introducir virus, etc.
Por ello le recomendamos que:
o No abra mensajes de correo de remitentes desconocidos.
Un excelente artículo publicado por ZDnet Australia, donde se afirma que las contraseñas
están heridas de muerte, sin embargo sigue siendo la mejor opción para muchas
compañías. Se cree que este manejo, seguirá siendo un problema hasta cuando sean
sustituidas por tecnologías como la biometría.
Pero hasta que eso ocurra, hay que tener presente algunas recomendaciones que son
muy importantes. Aquí algunas de ellas:
Las contraseñas o passwords nunca se deben anotar.
Requerir de pocas contraseñas como sea posible. Tratar en lo posible de definir
prioridades en sitios o redes.
Se debe cambiar las contraseñas regularmente.
Cuando cambie una contraseña, trate de distinguirla de la anterior. No cambie
únicamente las dos o tres últimas letras como por ejemplo: RandomW0RD1,
RandomW0RD2, RandomW0RD3.
Evitar las palabras obvias. Evitar nombres, direcciones y otras palabras que
tengan relación al individuo.
Piense y haga pensar. Una contraseña que consiste en por lo menos ocho
caracteres con una mezcla de mayúsculas, minúsculas y números es un buen
comienzo.
Automatizar los cambios de la contraseña.
Educar al personal. Personalmente una recomendación fundamental, imagínese
que en una conocida empresa ecuatoriana, todo el personal conocía y lo más
grave, utilizaba la contraseña del jefe de sistemas.
Observar al futuro. Finalmente, plantearse soluciones a largo plazo que
substituirán contraseñas eventuales.
Takedown o el último ataque es una película que se basa en como Kevin David Mitnick,
con ayuda de su inseparable amigo Alex Lowe, obtiene información a través de sus
ataques informáticos que dejaban ver su creatividad e inteligencia y los ataques de
ingeniería social que muestran su audacia y talento. Desde el inicio de la película vemos
como la arquitectura de seguridad se ve vulnerada tanto en ataques pasivos y ataques
activos; ya que desde el inicio el protagonista conoce la información de un sistema SAS y
empieza a enmascararse para obtener la información necesaria para apoderarse de la
información del FBI, de la policía de los Ángeles, el departamento de justicia y diferentes
datos de teléfonos móviles.
Vemos como los personajes contactados por este personaje timador descontrolado le
facilitaron las cosas, por ingenuos y por no aplicar la autenticación y control de acceso a
los diferentes datos que obtuvo con engaños pero de forma fácil.
Después de que el timador Kevin obtiene toda la información que quería se cruza con
Tsutomu Shimomura quien es un científico de seguridad de sistemas informáticos; quien
asesora sobre la seguridad de los sistemas; pero vemos que aun una persona experta en
el tema puede estar expuesta a ataques de los crackers y más aun si no se tiene en
cuenta la integridad y los mecanismos de seguridad; ya que Kevin, en un ataque de su
orgullo herido decide invadir el computador de Shimomura y apoderarse de toda la
información que este tiene allí y no lo deja entrar a recuperar todas los ficheros que
guarda.
Después de esto vemos los intentos de Kevin por descifrar la información que contienen
los ficheros robados a Shimomura. En esta parte podemos ver que si la información
hubiera estado más protegida como por medio de la encriptación (cifrada) no habría sido
tan fácil el hecho de descifrarla.
Bueno con respecto a la compresión con y sin perdida, creo que protagonista utiliza la de
sin pérdida ya que él se apodera de toda la información que quiere tanto de las empresas
que quiere como del computador de Shimomura.
Con respecto de los ataques pasivos y activos visto en la película, como ya lo dije se
reconocen los dos desde el inicio de la película y a medida que avanza va aumentando el
daño causado a todos los sistemas de líneas telefónicas, emails, controladores aéreos,
redes de luz, agua, hospitales etc. si él lo quiere y esto es porque el científico shimomura
creó un programa que destruye todos los sistemas de protección y esto en manos del
ciberterrorista le facilita obtener y manejar los sistemas a su acomodo; como es el de
hacer desvíos de llamadas, parches para que no lo identificaran cuando y donde estaba
en la red.
Al final de la película vemos como aun que lo atrapan, se sale con la suya ya que sube la
información de Shimomura a la red para compartirla con todos y le deja una gran
enseñanza sobre la seguridad informática, cifrado y codificación de mensajes, ya que la
internet es un gran almacén y por esta razón se deben tener normas de uso y seguridad
como en cualquier otro sitio.
CONCLUSIONES
Es por eso que no basta con tener un adecuado conocimiento técnico de la Seguridad
Informática para ser un profesional de éxito en la materia, sino que hay que dominar el
desarrollo de estrategias de organización de Seguridad acordes para cada empresa y de
los esquemas de control que verifiquen su cumplimiento.
BIBLIOGRAFÍA
Módulo Telemática. Directora Nacional: Eleonora Palta Velasco. Acreditador: Javier
Jiménez
Popayán – Colombia 2012 - UNAD
WEBGRAFÍA.
http://campus07.unadvirtual.org/moodle/course/view.php?id=65
http://www.pecert.gob.pe/media/uploads/isoiec17799.pdf
http://www.iec.csic.es/criptonomicon/amenazas.html
http://www.criptored.upm.es/paginas/docencia.htm#gteoria
http://candadodigital.blogspot.com/2007/10/la-funcin-de-seguridad-informtica-en-
la.html