www.vidyarthiplus.

com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

IT2042 SEGURIDAD DE INFORMACIÓN

(REGLAMENTO 2008)

UNIDAD I INTRODUCCIÓN
Historia, ¿Qué es la seguridad de la información?, Características críticas de la información,
Modelo de seguridad NSTISSC, Componentes de un sistema de información, Protección de los
componentes, Equilibrio entre seguridad y acceso, El SDLC, El SDLC de seguridad

UNIDAD II INVESTIGACIÓN DE SEGURIDAD

Necesidad de seguridad, necesidades comerciales, amenazas, ataques, cuestiones legales, éticas
y profesionales

UNIDAD III ANÁLISIS DE SEGURIDAD

Gestión de riesgos: identificación y evaluación de riesgos, evaluación y control de riesgos

UNIDAD IV DISEÑO LÓGICO

Plan de seguridad, política, estándares y prácticas de seguridad de la información, ISO 17799/BS
7799, modelos NIST, modelo de seguridad internacional VISA, diseño de arquitectura de
seguridad, planificación de continuidad

UNIDAD V DISEÑO FÍSICO

Tecnología de seguridad, IDS, herramientas de escaneo y análisis, criptografía, control de acceso
Dispositivos, Seguridad Física, Seguridad y Personal

UNIDAD – YO
PARTE - A (2 puntos)

1. Definir seguridad de la información.

Es una sensación bien informada de seguridad de que los riesgos y controles de la
información están en equilibrio.

2. Enumere las características críticas de la información.

• Disponibilidad
• Exactitud
• Autenticidad
• Confidencialidad
• Integridad
• Utilidad
• Posesión

3. Definir seguridad. ¿Cuáles son las múltiples capas de seguridad?

La seguridad es “la cualidad o estado de estar seguro: estar libre de peligro”.

16
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS
• Seguridad física
• Seguridad personal
• Seguridad de las operaciones
• Seguridad de las comunicaciones
• Seguridad de la red
• Seguridad de información

4. ¿Cuándo puede un ordenador ser sujeto y objeto de un ataque respectivamente?

Cuando una computadora es objeto de ataque, se utiliza como herramienta activa para
llevar a cabo el
ataque. Cuando una computadora es objeto de un ataque, es la entidad atacada.

5. ¿Por qué es importante una metodología en la implementación de la seguridad de la

información?
La metodología es un enfoque formal para resolver un problema basado en una secuencia
estructurada de procedimientos.

6. Diferencia entre vulnerabilidad y exposición.

Vulnerabilidad Exposición
Debilidad o falla en un sistema o mecanismo de La exposición de un sistema de información es
protección que expone la información a un caso único en el que el sistema está
ataques o daños. expuesto a sufrir daños.

17
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

7. Dibuje el modelo de seguridad

NSTISSC.

8. Enumere los servicios de seguridad.

Tres servicios de seguridad:
Confidencialidad, integridad y disponibilidad.
Las amenazas se dividen en cuatro grandes clases:
• Divulgación o acceso no autorizado a la información.
• Engaño, o aceptación de datos falsos
• Perturbación, o interrupción o impedimento del correcto funcionamiento
• Usurpación o control no autorizado de alguna parte de un sistema.

9. Defina el espionaje y la suplantación de identidad.

Espiar: La interceptación no autorizada de información es una forma de divulgación. Es
pasivo y sugiere simplemente que alguna entidad está escuchando (o leyendo) comunicaciones o
navegando por archivos o información del sistema.
Enmascaramiento o suplantación de identidad: la suplantación de una entidad por otra es
una forma tanto de engaño como de usurpación.

10. Enumere los componentes utilizados en los modelos de seguridad.

• Software
• Hardware
• Datos
• Gente
• Trámites
• Redes

11. ¿Cuáles son las funciones de la Seguridad de la Información?

• Protege la capacidad de la organización para funcionar.
• Permite el funcionamiento seguro de las aplicaciones implementadas en los sistemas
de TI de la organización.
• Protege los datos que la organización recopila y utiliza.
• Salvaguarda los activos tecnológicos en uso en la organización.

18
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS
12. ¿Cuáles son las fases del método SDLC Waterfall?
• Investigación
• Análisis
• Diseño lógico
• Diseño físico
• Implementación
• Mantenimiento y cambio

13. ¿Qué es el Informe Rand R-609?

El Informe Rand fue el primer documento publicado ampliamente reconocido que identificó
el papel de las cuestiones de gestión y políticas en la seguridad informática.
El alcance de la seguridad informática pasó de la seguridad física a incluir:
• Seguridad de los datos
• Limitar el acceso no autorizado a esos datos
• Participación de personal de múltiples niveles de la organización.

14. ¿Qué se entiende por equilibrio de seguridad y acceso?

• Es imposible obtener una seguridad perfecta; no es absoluta; es un proceso
• La seguridad debe considerarse un equilibrio entre protección y disponibilidad.
• Para lograr el equilibrio, el nivel de seguridad debe permitir un acceso razonable

PARTE - B (16 puntos)

1. Describir las características críticas de la información.

noviembre/diciembre 2011
Nov/Dic 2012 May/Jun 2012
Disponibilidad
Permite a los usuarios autorizados (personas o sistemas informáticos) acceder a la
información sin interferencias ni obstrucciones y recibirla en el formato requerido.
Exactitud
Información que esté libre de errores y que tenga el valor que espera el usuario final (por
ejemplo, la inexactitud de su cuenta bancaria puede provocar errores como el rechazo de un
cheque). Autenticidad
Calidad o estado de ser genuino u original, en lugar de reproducción o fabricación.
La información es auténtica cuando el contenido es original tal como fue creado, colocado,
almacenado o transmitido. (La información recibida como correo electrónico puede no ser auténtica
cuando su contenido se modifica, lo que se conoce como E-mail spoofing) Confidencialidad
La confidencialidad garantiza que sólo aquellos con los derechos y privilegios para acceder
a la información puedan hacerlo.
Cuando personas o sistemas no autorizados pueden ver información, se viola la
confidencialidad.

19
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS
Integridad
• La información tiene integridad cuando es completa, completa y no está corrupta.
• La integridad de la información se ve amenazada cuando se expone a corrupción,
daño, destrucción u otra alteración de su estado auténtico.
• Muchos virus o gusanos informáticos están diseñados con el propósito explícito de
corromper datos.
• La integridad de la información es la piedra angular de los sistemas de información,
porque la información no tiene valor ni utilidad si los usuarios no pueden verificar su
integridad.
• Los bits de redundancia y los bits de verificación pueden compensar las amenazas
internas y externas a la integridad de la información.
Utilidad
La utilidad de la información es la calidad o estado de tener valor para algún propósito o fin.
(Por ejemplo, los datos del censo de EE. UU. revelan información sobre los votantes como su
género, edad, raza, etc.).

Posesión
Es la cualidad o estado de tener la propiedad o control de algún objeto o artículo. La
violación de la posesión no resulta en violación de la confidencialidad.
La posesión ilegal de datos cifrados nunca permite que alguien los lea sin los métodos de
descifrado adecuados.

2. Explicar los componentes de un sistema de información.

noviembre/diciembre 2011
Nov/Dic 2012 Mayo/Jun 2013
Software
El componente de software de IS comprende aplicaciones, sistemas operativos y una
variedad de utilidades de comando. Los programas de software son los vasos que transportan la
sangre vital de la información a través de una organización. Los programas de software se
convierten en un blanco fácil de ataques accidentales o intencionales.
Hardware
Es la tecnología física que alberga y ejecuta el software, almacena y transporta los datos,
proporciona interfaces para la entrada y eliminación de información del sistema. Las políticas de
seguridad física tratan del hardware como un activo físico y de la protección de estos activos contra
daños o robos.
Gente

Las personas siempre han sido una amenaza para la seguridad de la información y son el
eslabón más débil de una cadena de seguridad. Se deben emplear adecuadamente políticas,
educación y capacitación, concientización y tecnología para evitar que las personas dañen o
pierdan información, accidental o intencionalmente.
Datos

20
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS
Los datos almacenados, procesados y transmitidos a través de un sistema informático
deben estar protegidos. Los datos son el activo más valioso que posee una organización y son el
principal objetivo de ataques intencionales.

Trámites
Los procedimientos son instrucciones escritas para cumplir cuando un usuario no
autorizado obtiene los procedimientos de una organización; representa una amenaza a la
integridad de la información. Educar a los empleados sobre cómo salvaguardar los procedimientos
es tan importante como proteger el sistema de información. La falta de procedimientos de
seguridad provocó la pérdida de más de diez millones de dólares antes de que se corrigiera la
situación.
Redes
Los sistemas de información en las LAN están conectados a otras redes, como Internet, y
rápidamente surgen nuevos desafíos de seguridad. Además de las cerraduras y llaves que se
utilizan como medidas de seguridad física, la seguridad de la red también es un aspecto importante
a considerar.

3. Analice SDLC en detalle. mayo/junio 2013

Investigación
¿Cuál es el problema para cuya solución se está desarrollando el sistema?
• Se especifican los objetivos, limitaciones y alcance del proyecto.
• Se desarrolla un análisis preliminar de costo/beneficio.
• Se realiza un análisis de viabilidad para evaluar las viabilidades económicas, técnicas y
de comportamiento del proceso.
Análisis
• Evaluaciones de la organización.
• Estado de los sistemas actuales
• Capacidad para soportar los sistemas propuestos.
• Los analistas comienzan a determinar

• Qué se espera que haga el nuevo sistema

• Cómo interactuará el nuevo sistema con los sistemas existentes

•Finaliza con la documentación de los hallazgos y una actualización del análisis de

viabilidad Diseño Lógico
• Según las necesidades del negocio, se seleccionan aplicaciones capaces de
proporcionar los servicios necesarios.
•En función de las aplicaciones necesarias, se identifican el soporte de datos y las
estructuras capaces de proporcionar los insumos necesarios.
• Se eligen formas específicas de implementar la solución física.
• Se realiza otro análisis de viabilidad.
Diseño físico

• Se seleccionan tecnologías específicas para respaldar las alternativas identificadas y

evaluadas en el diseño lógico.
21
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS
• Los componentes seleccionados se evalúan en función de una decisión de
fabricación o compra.
•
La solución completa se presenta a los representantes del usuario final para su
aprobación. Implementación
• Los componentes se solicitan, reciben, ensamblan y prueban.
• Se capacita a los usuarios y se crea documentación.
•
Luego se presenta a los usuarios el sistema para una revisión del desempeño y una
prueba de aceptación.
Mantenimiento y cambio

• Tareas necesarias para soportar y modificar el sistema durante el resto de su vida útil.
• El ciclo de vida continúa hasta que el proceso comienza nuevamente desde la fase de
investigación.
• Cuando el sistema actual ya no puede soportar la misión de la organización, se
implementa un nuevo proyecto.

4. Describe SecSDLC en detalle. noviembre/diciembre

2011
Nov/Dic 2012 Mayo/Jun 2013
Ciclo de vida del desarrollo de sistemas de seguridad

• Mismas fases utilizadas en el SDLC tradicional adaptadas para soportar la

implementación especializada de un proyecto de seguridad.
• El proceso básico es la identificación de amenazas y controles para contrarrestarlas.
•SecSDLC es un programa coherente en lugar de una serie de acciones aleatorias y
aparentemente desconectadas.
Investigación
• Identifica el proceso, los resultados y los objetivos del proyecto, y las limitaciones.
• Comienza con una declaración de la política de seguridad del programa.
• Se organizan equipos, se analizan los problemas y se define el alcance, incluidos los
objetivos y las limitaciones no cubiertas en la política del programa.
• Se realiza un análisis de viabilidad organizacional.

Análisis

• Análisis de políticas o programas de seguridad existentes, junto con amenazas actuales

documentadas y controles asociados.
• Incluye un análisis de cuestiones legales relevantes que podrían impactar el diseño de
la solución de seguridad.
•También comienza la tarea de gestión de riesgos (identificar, valorar y valorar los
niveles de riesgo)
Diseño lógico y físico
• Crea planos de seguridad.
• Planificación crítica y análisis de viabilidad para determinar si el proyecto debe
continuar o no.

22
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS
• En el diseño físico, se evalúa la tecnología de seguridad, se generan alternativas y se
selecciona el diseño final.
• Al final de la fase, el estudio de viabilidad determina el estado de preparación para que
todas las partes involucradas tengan la oportunidad de aprobar el proyecto.

Implementación

• Las soluciones de seguridad se adquieren (fabrican o compran), se prueban, se

implementan y se vuelven a probar.
• Se evalúan las cuestiones de personal y se llevan a cabo programas específicos de
formación y educación.
• Finalmente, todo el paquete probado se presenta a la alta dirección para su aprobación
final.
Mantenimiento y cambio

• La fase de mantenimiento y cambio es quizás la más importante, dado el alto nivel de

ingenio en las amenazas actuales.
• La reparación y restauración de la información es un duelo constante con un adversario
muchas veces invisible
• A medida que surgen nuevas amenazas y evolucionan las antiguas, el perfil de
seguridad de la información de una organización requiere una adaptación constante.

5. Explique el modelo de seguridad NSTISSC y el enfoque de arriba hacia abajo para la

implementación de seguridad. noviembre/diciembre
2011

23
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

Enfoque de arriba hacia abajo

• Iniciado por la alta dirección:

• emitir políticas, procedimientos y procesos
• dictar los objetivos y resultados esperados del proyecto
• determinar quién es responsable de cada una de las acciones requeridas

• Fuerte apoyo de la alta dirección, un defensor dedicado, financiación dedicada,

planificación clara y la oportunidad de influir en la cultura organizacional.
• También puede implicar una estrategia de desarrollo formal conocida como ciclo de
vida de desarrollo de sistemas.
V El enfoque de arriba hacia abajo más exitoso

6. Describir el modelo de seguridad NSTISSC y el enfoque ascendente para la implementación de

seguridad.
Enfoque de abajo hacia arriba

• Seguridad desde un esfuerzo de base: los administradores de sistemas intentan

mejorar la seguridad de sus sistemas
• Ventaja clave: experiencia técnica de los administradores individuales
• Rara vez funciona, ya que carece de una serie de características críticas:
• Apoyo a los participantes

24
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS
• Poder de permanencia organizacional

7. Explique a cinco profesionales en seguridad de la información con su función y enfoque.

Gerencia senior
• Director de Información
V El oficial superior de tecnología
• Principalmente responsable de asesorar a los altos ejecutivos para la
planificación estratégica.
• Director de seguridad de la información
• Responsable de la evaluación, gestión e implementación de medidas de
seguridad de la información en la organización.
• Conocido como el Gerente de Seguridad

Equipo de proyecto de seguridad

• Un número de personas con experiencia en uno o varios requisitos tanto del área técnica
como no técnica:
• El campeón
• El líder del equipo
• Desarrolladores de políticas de seguridad
• Especialistas en evaluación de riesgos
• Profesionales de seguridad
• Administradores de sistemas
• Los usuarios finales

Propiedad de los datos

• Propietario de los datos: responsable de la seguridad y el uso de un conjunto particular
de información.
• Custodio de datos: responsable del almacenamiento, mantenimiento y protección de la
información.
• Usuarios de datos: usuarios finales que trabajan con información para realizar sus
trabajos diarios apoyando la misión de la organización.

UNIDAD – II
PARTE - A (2 puntos)

1. ¿Por qué la seguridad de la información es un problema de gestión?

La dirección es responsable de implementar la seguridad de la información para proteger la
capacidad de funcionamiento de la organización.

Deben establecer políticas y operar la organización de manera que cumpla con las leyes
que rigen el uso de la tecnología.

25
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS
2. Distinguir entre Dos y DDos.
Dos DDos
Ataque de denegación de servicio: el La denegación de servicio distribuida es
atacante envía una gran cantidad de un ataque en el que se lanza un flujo
solicitudes de conexión o información a coordinado de solicitudes contra un
un objetivo. objetivo desde muchas ubicaciones al
mismo tiempo.

3. ¿Qué es la propiedad intelectual?

Es la propiedad de las ideas y el control sobre la representación tangible o virtual de esas
ideas.

4. ¿Qué es una política? ¿En qué se diferencia de la ley?

Políticas: conjunto de expectativas que describen comportamientos aceptables e
inaceptables de los empleados en el lugar de trabajo.
Funciona como leyes organizativas, completas con penas, prácticas judiciales y sanciones
para requerir quejas.
Sin embargo, la diferencia entre política y ley es que la ignorancia de una política es una
defensa aceptable.

5. ¿Qué es una amenaza? ¿Cuáles son las amenazas a la Seguridad de la Información?

Amenaza es un objeto, persona u otra entidad que representa un peligro constante para un
activo.
• Actos de error o falla humana.
• Compromisos con la propiedad intelectual
• Actos deliberados de espionaje o invasión
• Actos deliberados de extorsión de información.
• Actos deliberados de sabotaje y vandalismo.
• Actos deliberados de robo.
• Ataques de software deliberados
• Fuerzas de la naturaleza
• Desviaciones en la calidad del servicio de los proveedores de servicios.
• Fallos o errores técnicos de hardware
• Fallos o errores técnicos del software
• Obsolescencia Tecnológica

6. ¿Cuáles son las categorías generales de comportamiento ilegal y poco ético?

Hay tres categorías generales de comportamiento poco ético que las organizaciones y la
sociedad deberían tratar de eliminar:
• Ignorancia
• Accidente
• Intención

26
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS
7. ¿Cuáles son los distintos tipos de malware? ¿En qué se diferencian los gusanos de los virus?
• Virus
• gusanos
• caballos de Troya
• Scripts web activos
Virus Gusano
Un virus se adhiere a un programa Un gusano es similar a un virus por diseño.
informático y se propaga de una También se propaga de una computadora a
computadora a otra. otra.
Se propaga con velocidad uniforme según Los gusanos se propagan más rápidamente
lo programado. que los virus.
Se puede adjuntar a .EXE, .COM, .XLS, etc. Se puede adjuntar a cualquier archivo
adjunto de correo electrónico o cualquier
Ex Melisca, cascada etc. archivo
Ex en la
gusano red.
blaster
Requiere la difusión de un archivo host Los replica sin el archivo host.
infectado.

8. ¿Quiénes son los piratas informáticos? ¿Cuáles son los niveles de los hackers?
Los piratas informáticos son personas que utilizan y crean software informático para
divertirse o para obtener acceso a información de forma ilegal.
Hay dos niveles de hackers.
• Hacker experto: desarrolla códigos de software
• Hacker no calificado: utiliza códigos desarrollados por expertos.

9. ¿Qué es el plan de seguridad?

El plan de seguridad es el plan para la implementación de nuevas medidas de seguridad en
la organización. A veces llamado marco, el modelo presenta un enfoque organizado para el
proceso de planificación de seguridad.

10. ¿Cuales son los tipos de virus?

• macrovirus
• virus de arranque
11. Distinguir entre ataque y amenaza.
Ataque Amenaza
Un acto que está en trámite. Una promesa de un ataque por venir.
Un ataque es intencional. La amenaza puede ser intencional o no
intencional.
El ataque a la información puede tener la La amenaza a la información no significa
posibilidad de alterar o dañar la información que esté dañada o modificada.
cuando tiene éxito.

27
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS
12. Definir extorsión de información.

• La extorsión de información es un atacante o una persona que antes era de confianza

que roba información de un sistema informático y exige una compensación por su
devolución o no uso.
• Se descubre extorsión en robo de número de tarjeta de crédito

13. Defina engaño.

• Un engaño de virus informático es un mensaje que advierte al destinatario de una

amenaza de virus informático inexistente.
• El mensaje suele ser una cadena de correo electrónico que le dice al destinatario que lo
reenvíe a todos sus conocidos.

PARTE - B (16 puntos)

1. Explicar las funciones de una organización de seguridad de la información.

Nov/Dic 2011 Nov/Dic 2012
Proteger la capacidad de funcionar
• La gerencia es responsable
• Seguridad de información
• Problema de gestión
• cuestión de personas
• Las comunidades de interés deben defender la seguridad de la información en términos
de impacto y costo.
Permitir una operación segura
• Las organizaciones deben crear aplicaciones integradas, eficientes y capaces.
• La organización necesita entornos que protejan las aplicaciones
• La dirección no debe ceder al departamento de TI su responsabilidad de tomar
decisiones y hacer cumplir las decisiones.

28
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

Protección de datos
• Uno de los activos más valiosos son los datos.
• Sin datos, una organización pierde su registro de transacciones y/o su capacidad de
entregar valor a sus clientes.
• Un programa eficaz de seguridad de la información es esencial para la protección de la
integridad y el valor de los datos de la organización.
Protección de los activos tecnológicos

• Las organizaciones deben contar con servicios de infraestructura seguros según el

tamaño y alcance de la empresa.
• Es posible que sea necesario proporcionar servicios de seguridad adicionales.
• Es posible que se necesiten soluciones más sólidas para reemplazar los programas de
seguridad que la organización ha superado

2. Describir sobre diversas formas de ataques. noviembre/diciembre

2012
Escaneo y ataque de IP: el sistema comprometido escanea un rango aleatorio o local de
direcciones IP y apunta a cualquiera de las varias vulnerabilidades conocidas por los piratas
informáticos o que quedaron de exploits anteriores.
Navegación web: si el sistema infectado tiene acceso de escritura a cualquier página web, hace
que todos los archivos de contenido web sean infecciosos, de modo que los usuarios que navegan
a esas páginas se infectan.
Virus: cada máquina infectada infecta ciertos archivos ejecutables o scripts comunes en todas las
computadoras en los que puede escribir con código de virus que puede causar infección.
Recursos compartidos desprotegidos: uso de archivos compartidos para copiar componentes
virales en todas las ubicaciones accesibles.
Correo masivo: envío de infecciones de correo electrónico a direcciones que se encuentran en la
libreta de direcciones.
SMTP: Protocolo simple de administración de red: vulnerabilidades SNMP utilizadas para
comprometer e infectar.
Engaños: Un enfoque más tortuoso para atacar sistemas informáticos es la transmisión de un virus
engañoso, con un virus real adjunto.
Puertas traseras: utilizar un mecanismo de acceso conocido o previamente desconocido y recién
descubierto.
Crack de contraseña: intentar revertir calcula una contraseña.
Fuerza bruta: la aplicación de recursos informáticos y de red para probar todas las combinaciones
posibles de opciones de una contraseña.
Diccionario: el ataque de contraseñas de diccionario reduce el campo al seleccionar cuentas
específicas para atacar y utiliza una lista de contraseñas de uso común (el diccionario) para guiar
las conjeturas.
Denegación de servicio (DoS)

• El atacante envía una gran cantidad de solicitudes de conexión o información a un

objetivo.
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

• Se realizan tantas solicitudes que el sistema de destino no puede manejarlas

exitosamente junto con otras solicitudes de servicio legítimas.

• puede provocar un fallo del sistema o simplemente la imposibilidad de realizar

funciones ordinarias
Denegación de servicio distribuida (DDoS): un ataque en el que un flujo coordinado de solicitudes
29
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

se lanza contra un objetivo desde muchos lugares al mismo tiempo.

• Spoofing: técnica utilizada para obtener acceso no autorizado mediante la cual el intruso
envía mensajes a una computadora con una dirección IP que indica que el mensaje
proviene de un host confiable.
• Man-in-the-Middle: un atacante rastrea paquetes de la red, los modifica y los inserta
nuevamente en la red.
• Spam (correo electrónico comercial no solicitado), si bien muchos consideran que el
spam es una molestia más que un ataque, está surgiendo como un vector para algunos
ataques.
Desbordamiento de búfer
• El error de aplicación ocurre cuando se envían más datos a un búfer de los que puede
manejar
• Cuando el búfer se desborda, el atacante puede hacer que el sistema objetivo ejecute
instrucciones, o el atacante puede aprovechar alguna otra consecuencia no deseada de
la falla.
Ataque de sincronización

• Trabajos relativamente nuevos que exploran el contenido de la memoria caché de un

navegador web pueden permitir la recopilación de información sobre el acceso a sitios
protegidos con contraseña.
• Otro ataque con el mismo nombre consiste en intentar interceptar elementos
criptográficos para determinar claves y algoritmos de cifrado.

3. Explicar las diferentes categorías de amenaza. Dar ejemplos.

Nov/Dic 2011 Mayo/Junio 2012 Actos
de error o falla humana
• Incluye actos realizados sin intención maliciosa.
• Causado por:
V Inexperiencia
V entrenamiento inadecuado
V Incorrecto
• Los errores de los empleados pueden conducir fácilmente a lo siguiente:
• revelación de datos clasificados
• entrada de datos erróneos
• eliminación o modificación accidental de datos
• almacenamiento de datos en áreas no protegidas
• falta de protección de la información
Muchos errores o fallas humanos se pueden prevenir con capacitación y actividades
continuas de concientización.
Compromisos con la propiedad intelectual

• La propiedad intelectual es “la propiedad de ideas y el control sobre la representación

tangible o virtual de esas ideas”
• Muchas organizaciones se dedican a crear secretos comerciales de propiedad
30
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

intelectual, derechos de autor, marcas comerciales y patentes.

• Las organizaciones de vigilancia investigan:
• Asociación de la industria de la información y el software (SIIA)
• Alianza de software empresarial (BSA)
Medidas de protección
Se ha intentado hacer cumplir los derechos de autor con mecanismos técnicos de
seguridad, como el uso de marcas de agua digitales y código incrustado.
El recordatorio más común de la obligación individual de realizar un uso justo y responsable
es la ventana del acuerdo de licencia que suele aparecer durante la instalación de un nuevo
software.
Actos deliberados de espionaje o invasión
Espionaje/invasión
• Amplia categoría de actividades que violan la confidencialidad
• Acceso no autorizado a la información.
• Inteligencia competitiva versus espionaje
• La navegación desde el hombro puede ocurrir en cualquier lugar donde una
persona acceda a información confidencial.
Sabotaje o vandalismo
El ataque a la imagen de una organización puede ser tan grave como desfigurar un sitio web.

• Individuo o grupo que quiere sabotear deliberadamente las operaciones de un sistema

informático o negocio, o realizar actos de vandalismo para destruir un activo o dañar la
imagen de la organización.
• Estas amenazas pueden variar desde vandalismo menor hasta sabotaje organizado.
• Las organizaciones dependen de la imagen, por lo que la alteración de la Web puede
provocar una caída de la confianza del consumidor y de las ventas.
• Amenaza creciente de operaciones de activistas o ciberactivistas: la versión más
extrema es el ciberterrorismo
Actos deliberados de robo.
• Toma ilegal de la propiedad de otra persona (física, electrónica o intelectual)
• El valor de la información se ve afectado cuando se copia y se retira sin el conocimiento
del propietario.
• El robo físico se puede controlar: se utilizan una amplia variedad de medidas, desde
puertas cerradas hasta guardias o sistemas de alarma.
• El robo electrónico es un problema más complejo de gestionar y controlar: es posible
que las organizaciones ni siquiera sepan que ha ocurrido.
Ataques de software deliberados

• Cuando un individuo o grupo diseña software para atacar sistemas, crea

código/software malicioso llamado malware.
• Incluye:
• macro virus
{ virus de arranque
• gusanos

31
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

• caballos de Troya
• bombas logicas
• puerta trasera o trampilla
• Ataques de denegación de servicio
• polimórfico
• engaños
Fuerzas de la naturaleza

• Las fuerzas de la naturaleza, la fuerza mayor o los actos fortuitos son peligrosos porque
son inesperados y pueden ocurrir con muy poca advertencia.
• Puede alterar no sólo la vida de las personas, sino también el almacenamiento, la
transmisión y el uso de la información.
• Incluyen incendios, inundaciones, terremotos y relámpagos, así como erupciones
volcánicas e infestaciones de insectos.
• Dado que no es posible evitar muchas de estas amenazas, la dirección debe
implementar controles para limitar los daños y también preparar planes de contingencia
para la continuación de las operaciones.
Fallos o errores técnicos de hardware

• Las fallas o errores técnicos de hardware ocurren cuando un fabricante distribuye a los
usuarios equipos que contienen fallas.
• Estos defectos pueden hacer que el sistema funcione fuera de los parámetros
esperados, lo que resulta en un servicio poco confiable o falta de disponibilidad.
• Algunos errores son terminales, ya que resultan en la pérdida irrecuperable del equipo.
• Algunos errores son intermitentes, es decir, sólo se manifiestan periódicamente, lo que
da lugar a fallos que no se repiten fácilmente.
Fallos o errores técnicos del software
• Esta categoría de amenazas proviene de la compra de software con fallas no reveladas.
• Se escriben, depuran, publican y venden grandes cantidades de código informático sólo
para determinar que no se resolvieron todos los errores.
• A veces, combinaciones únicas de cierto software y hardware revelan nuevos errores.
• A veces, estos elementos no son errores, sino atajos intencionados dejados por los
programadores por razones honestas o deshonestas.
Obsolescencia Tecnológica

• Cuando la infraestructura se vuelve anticuada o desactualizada, genera sistemas poco

confiables y no dignos de confianza.
• La gerencia debe reconocer que cuando la tecnología se vuelve obsoleta, existe el
riesgo de pérdida de integridad de los datos debido a amenazas y ataques.
• Idealmente, una planificación adecuada por parte de la dirección debería evitar los
riesgos de la obsolescencia de la tecnología, pero cuando se identifica la obsolescencia, la
dirección debe tomar medidas.

4. Escriba en detalle sobre los vectores de replicación de ataques. noviembre/diciembre

2011
32
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

Escaneo y ataque de IP: el sistema infectado escanea un rango aleatorio o local de

direcciones IP y apunta a cualquiera de las vulnerabilidades conocidas por los piratas informáticos.
Navegación web: si el sistema infectado tiene acceso correcto a cualquier página web,
hace que todos los archivos de contenido web sean infecciosos, de modo que los usuarios que
navegan por las páginas web se infectan.
Virus: cada máquina infectada infecta ciertos archivos ejecutables o scripts comunes en
todas las computadoras en los que puede escribir con código de virus que puede causar infección.
Recursos compartidos desprotegidos: aprovechando las vulnerabilidades del sistema de
archivos y la forma en que muchas organizaciones los configuran, la máquina infectada copia el
contenido viral en todas las ubicaciones a las que puede llegar.
Correo masivo: al enviar infecciones de correo electrónico a direcciones que se encuentran
en la libreta de direcciones, la máquina infectada infecta a los usuarios cuyos programas de lectura
de correo también ejecutan automáticamente el programa e infectan otros sistemas.
SNMP: al utilizar las contraseñas comunes y ampliamente conocidas que se emplearon en
versiones anteriores de este protocolo, el programa atacante puede obtener el control del
dispositivo.

5. Discutir los conceptos éticos en seguridad de la información.

• No usarás una computadora para dañar a otras personas
• No interferirás con el trabajo informático de otras personas.
• No husmearás en archivos informáticos de otras personas
• No usarás una computadora para robar
• No usarás una computadora para dar falso testimonio
• No copiarás ni utilizarás software propietario por el que no hayas pagado
• No utilizarás los recursos informáticos de otras personas sin autorización o
compensación adecuada.
• No te apropiarás de la producción intelectual de otras personas
• Pensarás en las consecuencias sociales del programa que estás escribiendo o del
sistema que estás diseñando.
• Siempre usarás una computadora de manera que asegures la consideración y el
respeto por tus semejantes.
Diferencias éticas entre culturas
• Las diferencias culturales crean dificultades para determinar qué es y qué no es ético.
• Las dificultades surgen cuando el comportamiento ético de una nacionalidad entra en
conflicto con la ética de otro grupo nacional.
• Ejemplo: muchas de las formas en que las culturas asiáticas utilizan la tecnología
informática son piratería de software.
Ética y Educación
• El factor primordial para nivelar las percepciones éticas dentro de una población
pequeña es
educación

33
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

• Los empleados deben estar capacitados en los comportamientos esperados de un

empleado ético, especialmente en áreas de seguridad de la información.
• Una formación ética adecuada es vital para crear usuarios del sistema informados, bien
preparados y de bajo riesgo.
Disuasión de conductas poco éticas e ilegales

• Disuasión: mejor método para prevenir una actividad ilegal o poco ética; por ejemplo,
leyes, políticas, controles técnicos
• Las leyes y políticas sólo disuaden si se dan tres condiciones:
• Miedo a la pena
• Probabilidad de ser atrapado
• Probabilidad de que se aplique la pena

6. Enumere y analice el papel y el enfoque de cuatro organizaciones profesionales que brindan

seguridad de la información. Mayo/junio 2012 Mayo/junio 2013
• Varias organizaciones profesionales han establecido códigos de conducta/ética.
• Los códigos de ética pueden tener efectos positivos; Desafortunadamente, muchos
empleadores no alientan la afiliación a estas organizaciones profesionales.
• Responsabilidad de los profesionales de seguridad de actuar éticamente y de acuerdo
con las políticas del empleador, la organización profesional y las leyes de la sociedad.
• ACM se estableció en 1947 como "la primera sociedad informática científica y educativa
del mundo"
• El código de ética contiene referencias a proteger la confidencialidad de la información,
no causar daño, proteger la privacidad de los demás y respetar la propiedad intelectual
de los demás. Consorcio Internacional de Certificación de Seguridad de Sistemas de
Información, Inc.
• Organización sin fines de lucro que se enfoca en el desarrollo e implementación de
certificaciones y credenciales de seguridad de la información.
• Código diseñado principalmente para profesionales de seguridad de la información que
cuentan con certificación de
• El código de ética se centra en cuatro cánones obligatorios
Instituto de Administración de Sistemas, Redes y Seguridad (SANS)

• Organización profesional con una gran membresía dedicada a la protección de

información y sistemas.
• SANS ofrece un conjunto de certificaciones denominadas Certificación Global de
Garantía de Información (GIAC) Asociación de Control y Auditoría de Sistemas de
Información (ISACA)
• Asociación profesional con enfoque en auditoría, control y seguridad.
• Se concentra en proporcionar prácticas y estándares de control de TI.
• ISACA cuenta con un código de ética para sus profesionales.
UNIDAD – III
PARTE - A (2 puntos)

34
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

1. En las estrategias de gestión de riesgos, ¿por qué una revisión periódica tiene que ser parte del
proceso? Mayo/junio 2012 Mayo/junio 2013
• El primer enfoque es el inventario de activos.
• Se debe verificar la integridad y exactitud del inventario de activos.
• Se deben verificar las amenazas y vulnerabilidades que son peligrosas para el
inventario de activos.

2. ¿Qué es la valoración de activos? Enumere 2 componentes cualesquiera de la valoración de

activos.
mayo/junio 2012
Un método para evaluar el valor de una empresa, bienes inmuebles, valores, antigüedades
u otros artículos de valor. La valoración de activos se realiza comúnmente antes de la venta de un
activo o antes de comprar un seguro para un activo.
• Preguntas para ayudar a desarrollar los criterios que se utilizarán para la valoración de
activos:
• ¿Qué activo de información es el más crítico para el éxito de la organización?
• ¿Qué activo de información genera más ingresos?

3. Defina la conducción en contenedores de basura. mayo/junio 2013

Para recuperar información que podría avergonzar a una empresa o comprometer la
seguridad de la información.

4. ¿Qué es la gestión de riesgos? noviembre/diciembre

2012
La gestión de riesgos es el proceso de identificar vulnerabilidades en los sistemas de
información de una organización y tomar medidas cuidadosamente razonadas para asegurar la
confidencialidad, la integridad y la disponibilidad.

5. Definir evaluación comparativa.

La evaluación comparativa es un proceso de búsqueda y estudio de las prácticas utilizadas
en otras organizaciones que producen resultados que le gustaría duplicar en su organización.

6. ¿Cuáles son los diferentes tipos de controles de acceso?

• Controles de acceso discrecional (DAC)
• Controles de acceso obligatorios (MAC)
• Controles no discrecionales
• Controles basados en roles
• Controles basados en tareas
• Control basado en celosía
7. Definir el plan de recuperación ante desastres.
El procedimiento de mitigación más común es el Plan de Recuperación ante Desastres
(DRP). El DRP incluye todo el espectro de actividades utilizadas para recuperarse del incidente y

35
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

estrategias para limitar las pérdidas antes y después del desastre. Los DRP suelen incluir todos los
preparativos para el proceso de recuperación y estrategias para limitar las pérdidas durante el
desastre.

8. ¿Qué es el riesgo residual?

La exposición a pérdidas que queda después de que otros riesgos conocidos hayan sido
contrarrestados, tenidos en cuenta o eliminados. Simplemente se ve como el riesgo que persiste
después de que se han implementado las salvaguardias.

9. Mencionar los Factores de Estimación de Identificación de Riesgos.

• Probabilidad
• Valor de los activos de información
• Porcentaje de riesgo mitigado
• Incertidumbre

10. ¿Cuál es la fórmula para calcular el riesgo?

Riesgo = Amenaza x Vulnerabilidad x Costo
Evaluación de riesgos = ((Probabilidad + Impacto + Impacto actual)/3) * 2 - 1

PARTE - B (16 puntos)

1. Explique en detalle el proceso de identificación de activos para las diferentes categorías.

noviembre/diciembre 2012
Personas, procedimientos e identificación de activos de datos

• Los recursos humanos, la documentación y los activos de información de datos no se

descubren ni documentan tan fácilmente.
• Estos activos deben ser identificados, descritos y evaluados por personas utilizando
conocimiento, experiencia y juicio.
• A medida que se identifican estos elementos, también deben registrarse en algún
proceso confiable de manejo de datos.
Información de activos para personas

• Nombre/número/ID del puesto: trate de evitar nombres y limítese a identificar puestos,

roles o funciones
• Supervisor
• Nivel de autorización de seguridad
• Habilidades especiales
Identificación de hardware, software y activos de red
• ¿Qué atributos de cada uno de estos activos de información se deben rastrear?

• Al decidir qué activos de información rastrear, considere incluir estos atributos de

activos:

36
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

• Nombre
• dirección IP
Dirección MAC
• Tipo de elemento
• Número de serie
• Nombre del Fabricante
• Número de modelo o número de pieza del fabricante
• Versión de software, revisión de actualización o número FCO
• Localizacion fisica
• Ubicación lógica
• Entidad controladora

Información de Activos para Trámites

• Descripción
• Finalidad prevista
• ¿A qué elementos está ligado?
• ¿Dónde se almacena como referencia?
• ¿Dónde se almacena para fines de actualización?
• Nivel de autorización de seguridad
• Habilidades especiales
Información de activos para datos
• Para datos:
• Clasificación
• Propietario/creador/administrador
• Tamaño de la estructura de datos
• Estructura de datos utilizada: secuencial, relacional
V En línea o fuera de línea
• donde se encuentra
• Procedimientos de respaldo empleados

2. ¿Qué son las estrategias de control de riesgos? Nov/Dic 2011 Mayo/Junio 2012

• Cuando los riesgos de las amenazas a la seguridad de la información están creando

una desventaja competitiva
• Las comunidades de interés en tecnología de la información y seguridad de la
información toman el control de los riesgos
• Se utilizan cuatro estrategias básicas para controlar los riesgos que resultan de las
vulnerabilidades:
• Aplicar salvaguardias (evitación)
^ Transferir el riesgo (transferencia)
• Reducir el impacto (mitigación)
• Informarse de todas las consecuencias y aceptar el riesgo sin control ni
mitigación (aceptación)

37
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

Estrategias de control de riesgos:

Evitación
• Intentos de evasión para impedir la explotación de la vulnerabilidad.
• Se logra contrarrestando amenazas, eliminando vulnerabilidades en los activos,
limitando el acceso a los activos, agregando salvaguardas protectoras.
• Tres áreas de control:
V Política
V Entrenamiento y educación
V Tecnología
Transferencia

• La transferencia es el enfoque de control que intenta trasladar el riesgo a otros activos,

otros procesos u otras organizaciones.
• Si una organización aún no tiene experiencia en gestión y administración de
seguridad de calidad, debe contratar personas o empresas que brinden dicha
experiencia.

• Esto permite a la organización transferir el riesgo asociado con la gestión de

estos sistemas complejos a otra organización con experiencia establecida en
el manejo de esos riesgos.
Mitigación

• La mitigación intenta reducir el impacto de la explotación mediante la planificación y la

preparación.
• Tres tipos de planes:
• planificación de recuperación ante desastres (DRP)
• Planificación de la continuidad del negocio (BCP)
• planificación de respuesta a incidentes (IRP)
Aceptación

• Aceptar el riesgo es no hacer nada para cerrar una vulnerabilidad y aceptar el resultado
de su explotación.
• La aceptación es válida sólo cuando:
• Determinado el nivel de riesgo.
• Se evaluó la probabilidad de ataque.
• Estimó el daño potencial.
• Se realizó un análisis exhaustivo de costos y beneficios.
• Controles evaluados utilizando cada factibilidad adecuada.
• Decidió que la función, servicio, información o activo en particular no justificaba
el costo de la protección.

• El apetito por el riesgo describe el grado en que una organización está dispuesta a
aceptar el riesgo como compensación a expensas de la aplicación de controles.
Evaluación de riesgos

• Determinar el riesgo relativo para cada una de las vulnerabilidades a través de un

38
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

proceso llamado evaluación de riesgos.

• La evaluación de riesgos asigna una calificación o puntuación de riesgo a cada activo
de información específico, lo que resulta útil para medir el riesgo relativo introducido por
cada activo de información vulnerable y realizar calificaciones comparativas más
adelante en el proceso de control de riesgos.
• Factores de estimación de identificación de riesgos
/ Probabilidad
• Valor de los activos de información
V Porcentaje de Mitigación de Riesgos
3. Explicar el proceso de evaluación de riesgos. Nov/Dic 2011 Nov/Dic 2012

• La evaluación de riesgos asigna una calificación o puntuación de riesgo a cada activo

de información específico, lo que resulta útil para medir el riesgo relativo introducido por
cada activo de información vulnerable y realizar calificaciones comparativas más
adelante en el proceso de control de riesgos.
• Factores de estimación de identificación de riesgos
/ Probabilidad
• Valor de los activos de información
• Porcentaje de riesgo mitigado
• Incertidumbre

4. Escriba notas breves sobre a) Plan de respuesta a incidentes b) Plan de recuperación ante
desastres
c) Plan de continuidad del negocio.
Plan de respuesta a incidentes
Las acciones que una organización quizás debería tomar mientras el incidente está en
curso están documentadas en lo que se conoce como Plan de Respuesta a Incidentes (IRP). El
IRP proporciona respuestas a las preguntas que las víctimas podrían plantear en medio del
incidente, como por ejemplo: "¿Qué hago ahora?". ?”.
• ¿Qué debe hacer el administrador primero?
• ¿A quién deberían contactar?
• ¿Qué deberían documentar?
Por ejemplo, en caso de un brote grave de virus o gusanos, el IRP puede usarse para
evaluar la probabilidad de un daño inminente e informar a los tomadores de decisiones clave en las
diversas comunidades de interés.

Plan de recuperación en un desastre

El procedimiento de mitigación más común es el Plan de Recuperación ante Desastres
(DRP). El DRP incluye todo el espectro de actividades utilizadas para recuperarse del incidente.
DRP puede incluir estrategias para limitar las pérdidas antes y después del desastre. Estas
estrategias se implementan plenamente una vez que el desastre ha cesado.
El DRP generalmente incluye todos los preparativos para el proceso de recuperación,
estrategias para limitar las pérdidas durante el desastre y pasos detallados a seguir cuando el

39
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

humo se disipa, el polvo se asienta o las aguas de la inundación retroceden.

Plan de negocios continuo
El BCP es el más estratégico y de largo plazo de los tres planes. Abarca la continuación de
las actividades comerciales si ocurre un evento catastrófico, como la pérdida de una base de datos
completa, un edificio o un centro de operaciones completo. El BCP incluye la planificación de los
pasos necesarios para asegurar la continuidad de la organización cuando el alcance o escala de un
desastre excede la capacidad del DRP para restaurar las operaciones. Esto puede incluir pasos de
preparación para la activación de centros de datos secundarios, sitios activos o sitios de
recuperación empresarial.

5. Explicar el proceso de identificación y evaluación de vulnerabilidades para las diferentes

amenazas que enfrenta un sistema de seguridad de la información.
Identificación de vulnerabilidad

• Las vulnerabilidades son vías específicas que los agentes de amenazas pueden
aprovechar para atacar un activo de información.
• Examinar cómo se podría perpetrar cada una de las amenazas posibles o probables y
enumerar los activos de la organización y sus vulnerabilidades.
• El proceso funciona mejor cuando grupos de personas con diversos orígenes dentro de
la organización trabajan de forma iterativa en una serie de sesiones de lluvia de ideas.
• Al final del proceso, se ha desarrollado una lista de activos de
información/vulnerabilidades.
• Este es el punto de partida para el siguiente paso, la evaluación de riesgos.

6. Analice brevemente la clasificación y gestión de datos.

Clasificación y gestión de datos

• Las organizaciones corporativas y militares utilizan una variedad de esquemas de

clasificación.
• Los propietarios de la información son responsables de clasificar los activos de
información de los que son responsables.
• Los propietarios de la información deben revisar las clasificaciones de la información
periódicamente.
• El ejército utiliza un esquema de clasificación de cinco niveles, pero la mayoría de las
organizaciones no necesitan el nivel detallado de clasificación utilizado por el ejército o las
agencias federales. Gestión de datos clasificados
• Incluye el almacenamiento, distribución, portabilidad y destrucción de información
clasificada.
• Las políticas de escritorio limpio requieren que toda la información se almacene en su
contenedor de almacenamiento apropiado al final de cada día.
• Se debe tener el cuidado adecuado para destruir cualquier copia innecesaria.
• Bucear en contenedores de basura puede resultar embarazoso para la organización.

40
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

7. Explicar el proceso del ciclo de control de riesgos.

Una vez que se ha implementado una estrategia de control, se debe monitorear y medir de manera
continua para determinar la efectividad de los controles de seguridad y la precisión de la estimación
del riesgo residual. El siguiente diagrama de flujo muestra cómo este proceso cíclico se utiliza
continuamente para garantizar que los riesgos estén controlados.

• Antes de decidir la estrategia para una vulnerabilidad específica se debe explorar toda
la información sobre las consecuencias económicas y no económicas de la
vulnerabilidad que enfrenta el activo de información.
• Análisis Costo Beneficio (CBA)
• El enfoque más común para un proyecto de controles y salvaguardas de seguridad de
la información es la viabilidad económica de su implementación.
• Comienza evaluando el valor de los activos de información que se van a proteger y la
pérdida de valor si esos activos de información se ven comprometidos.
• Es de sentido común que una organización no debería gastar más de lo que vale para
proteger un activo.
• El proceso formal para documentar esto se llama análisis de costo-beneficio o estudio
de viabilidad económica.
• Algunos de los elementos que impactan el costo de un control o salvaguarda incluyen:
• Costo de desarrollo o adquisición.
• Tarifas de formación
• Costo de implementación
• Costos de servicio
{ Costo de mantenimiento
• Valoración de activos

41
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

• Es el proceso de asignar valor o valor financiero a cada activo de información.

• La valoración de activos implica la estimación de los costos reales y percibidos
asociados con el diseño, desarrollo, instalación, mantenimiento, protección,
recuperación y defensa contra pérdidas de mercado y litigios.
• Estas estimaciones se calculan para cada conjunto de sistemas portadores de
información o activos de información.
• El valor esperado de una pérdida se puede expresar en la siguiente ecuación:
Expectativa de pérdida anualizada (ALE) = Expectativa de pérdida única (SLE) x Tasa de
ocurrencia anualizada (ARO)
SLE = valor del activo x factor de exposición (EF)
ARO es simplemente la frecuencia con la que se espera que ocurra un tipo específico de
ataque por año.
SLE es el cálculo del valor asociado con la pérdida más probable por un ataque. EF es el
porcentaje de pérdida que se produciría si se explotara una vulnerabilidad determinada.
• Al realizar evaluaciones comparativas, una organización suele utilizar una de dos medidas:
• Las medidas basadas en métricas son comparaciones basadas en estándares
numéricos.
• Las medidas basadas en procesos examinan las actividades realizadas en pos de
su objetivo, en lugar de los detalles de cómo se alcanzaron los objetivos.

• La viabilidad organizacional examina qué tan bien las alternativas de seguridad de la

información propuestas contribuirán a la eficiencia, eficacia y operación general de una
organización.
• La viabilidad operativa aborda la aceptación y el soporte del usuario, la aceptación y el
soporte de la administración y los requisitos generales de las partes interesadas de la
organización. A veces se le conoce como viabilidad conductual, porque mide el
comportamiento de los usuarios.

42
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

UNIDAD – IV
PARTE - A (2 puntos)

1. ¿Qué medida utiliza al preparar una evaluación de daños potenciales?

mayo/junio 2012
Identificar qué se debe hacer para recuperarse de cada caso posible. Los costos incluyen
las acciones del equipo de respuesta mientras actúan para recuperarse rápida y eficazmente de un
incidente o desastre.

2. Definir políticas y estándares. mayo/junio 2012

Una política es un plan o curso de acción, de un gobierno, partido
político o empresa, destinado a influir y determinar decisiones, acciones y otros asuntos. Las
normas, por otra parte, son declaraciones más detalladas de lo que se debe hacer para cumplir con
una política.

3. ¿Cuál es la diferencia entre el control de gestión, técnico y operativo?

¿Cuándo se aplicaría cada uno como parte de un marco de seguridad? mayo/junio 2012
Los controles de gestión cubren los procesos de seguridad diseñados por los planificadores
estratégicos e implementados por la administración de seguridad de la organización.

4. Indique 5 secciones principales de las normas ISO/IEC 17799. mayo/junio 2013

• Política de seguridad organizacional
• Infraestructura de seguridad organizacional
• Clasificación y control de activos
• Personal de Seguridad
• Cumplimiento

5. ¿Cuáles son los tres tipos de políticas de seguridad? noviembre/diciembre

2012
• Política general o del programa de seguridad
• Políticas de seguridad específicas para cada problema
• Políticas de seguridad específicas de los sistemas

6. Mencione los inconvenientes de ISO 17799/BS 7799. noviembre/diciembre

2011

• La comunidad global de seguridad de la información no ha definido ninguna justificación

para un código de práctica como se identifica en la norma ISO/IEC 17799.
• 17799 carece de “la precisión de medición necesaria de una norma técnica”
• No hay razón para creer que 17799 sea más útil que cualquier otro enfoque disponible
actualmente.
• 17799 no es tan completo como otros marcos disponibles
• Se percibe que 17799 se preparó apresuradamente dado el tremendo impacto que su

43
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

adopción podría tener en los controles de seguridad de la información de la industria.

7. ¿Qué es la defensa en profundidad?
Uno de los fundamentos de las arquitecturas de seguridad es el requisito de implementar
seguridad en capas. La defensa en profundidad requiere que la organización establezca suficientes
controles y salvaguardas de seguridad, de modo que un intruso se enfrente a múltiples capas de
controles.

8. ¿Qué es la planificación de contingencias?

noviembre/diciembre 2012
Es toda la planificación realizada por la organización para prepararse, reaccionar y
recuperarse de eventos que amenazan la seguridad de la información y los activos de información
de la organización.

9. ¿Cuáles son los enfoques del ISSP?

• Crear una serie de documentos ISSP independientes
• Cree un único documento ISSP completo
• Crear un documento ISSP modular

10. ¿Qué es la Esfera de protección?

• La “esfera de protección” superpone cada uno de los niveles de la “esfera de uso” con
una capa de seguridad, protegiendo esa capa del uso directo o indirecto a través de la
siguiente capa.
• Las personas deben convertirse en una capa de seguridad, un firewall humano que
proteja la información del acceso y uso no autorizados.
• Por lo tanto, la seguridad de la información se diseña e implementa en tres capas.
V Políticas
• Personas (programas de educación, capacitación y sensibilización)
V tecnología

11. ¿Qué es el perímetro de seguridad?

El punto en el que termina la protección de seguridad de una organización y comienza el
mundo exterior se denomina perímetro de seguridad.

12. Mencione los controles operativos de NIST SP 800-26.

• Personal de Seguridad
• Seguridad física
• Controles de producción, entrada/salida.
• Planificación de contingencias
• Hardware y software de sistemas
• Integridad de los datos
• Documentación

44
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

• Concientización, capacitación y educación sobre seguridad

• Capacidad de respuesta a incidentes.
13. ¿Qué es el plan de seguridad de la información?
El Blue Print de Seguridad es la base para el Diseño, Selección e Implementación de
Políticas de Seguridad, programas de educación y capacitación y controles tecnológicos.

14. ¿Qué son las políticas de ACL?

• ¿Quién puede utilizar el sistema?
• A qué pueden acceder los usuarios autorizados
• Cuándo los usuarios autorizados pueden acceder al sistema
• Donde los usuarios autorizados pueden acceder al sistema desde
• Cómo los usuarios autorizados pueden acceder al sistema

15. Definir la política de seguridad para problemas específicos (ISSP).

• aborda áreas específicas de la tecnología
• requiere actualizaciones frecuentes
• Contiene una declaración sobre la posición de la organización sobre un tema.

16. ¿Qué es la política del programa de seguridad?

• Una política general de seguridad
• política de seguridad informática
• Política de seguridad de la información

PARTE - B (16 puntos)

1. Describa NIST SP 800-26.

Controles de gestión
• Gestión de riesgos
• Revisión de controles de seguridad
• Mantenimiento del ciclo de vida
• Autorización de Tramitación (Certificación y Acreditación)
• Plan de seguridad del sistema
Controles operativos
• Personal de Seguridad
• Seguridad física
• Controles de Producción, Entrada/Salida
• Planificación de contingencias
• Hardware y software de sistemas
• Integridad de los datos
• Documentación
• Concientización, capacitación y educación sobre seguridad

45
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

• Capacidad de respuesta a incidentes

Controles técnicos
• Identificación y Autenticación
• Controles de acceso lógico
• Pistas de auditoría

2. Explicar en detalle el diseño de la arquitectura de seguridad. mayo/junio 2013

• Identificadores basados en host
• Identificadores basados en red
• Identificaciones basadas en firmas
• Identificadores basados en anomalías estadísticas

3. Analice en detalle los tipos de políticas de seguridad de la información. noviembre/diciembre

2011
• Política general o del programa de seguridad
• Políticas de seguridad específicas para cada problema
• Políticas de seguridad específicas de los sistemas
Política del programa de seguridad

• Establece la dirección estratégica, el alcance y el tono de todos los esfuerzos de

seguridad dentro de la organización.
• Un documento de nivel ejecutivo, generalmente redactado por o con el CIO de la
organización y que suele tener entre 2 y 10 páginas.
Política de seguridad para temas específicos (ISSP)

• A medida que se implementan diversas tecnologías y procesos, se necesitan ciertas

pautas para utilizarlos correctamente.
• ISSP:
• aborda áreas específicas de la tecnología
• requiere actualizaciones frecuentes
• Contiene una declaración sobre la posición de la organización sobre un tema.
• Tres enfoques:
• Crear una serie de documentos ISSP independientes
• Cree un único documento ISSP completo
• Crear un documento ISSP modular
Política específica de sistemas (SysSP)

• Los SysSP se codifican con frecuencia como estándares y procedimientos utilizados al

configurar o mantener sistemas.
• Las listas de control de acceso (ACL) constan de listas de control de acceso, matrices y
tablas de capacidades que rigen los derechos y privilegios de un usuario particular a un
sistema particular.
• Las reglas de configuración comprenden los códigos de configuración específicos

46
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

ingresados en
Sistemas de seguridad para guiar la ejecución del sistema.

4. Explique el modelo de seguridad del NIST en detalle. noviembre/diciembre

2011
• Publicación especial del NIST SP 800-12
• Publicación especial del NIST SP 800-14
• Publicación especial del NIST SP 800-18

5. Analice en detalle los modelos de seguridad de VISA International. noviembre/diciembre

2012
• VISA Internacional promueve fuertes medidas de seguridad y cuenta con lineamientos
de seguridad
• Desarrollé dos documentos importantes que mejoran y regulan los sistemas de
información: “Proceso de Evaluación de Seguridad”; "Procedimientos acordados"
• Utilizando los dos documentos, el equipo de seguridad puede desarrollar una estrategia
sólida y el diseño de una buena arquitectura de seguridad.
• El único inconveniente de este enfoque es que se centra muy específicamente en
sistemas que pueden integrarse o se integran con los sistemas de VISA.

6. Describa los pasos principales en la planificación de contingencias. noviembre/diciembre

2012
• Los planes para eventos de este tipo se denominan de varias maneras:
• Planes de continuidad del negocio (BCP)
• Planes de recuperación de desastres (DRP)
• Planes de respuesta a incidentes (IRP)
• Planes de Contingencia

• Las organizaciones grandes pueden tener muchos tipos de planes y las organizaciones
pequeñas pueden tener un plan simple, pero la mayoría tiene una planificación
inadecuada.

47
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

• Antes de comenzar cualquier planificación, un equipo debe planificar el esfuerzo y

preparar los documentos resultantes.
• Campeón: gerente de alto nivel para apoyar, promover y respaldar los hallazgos del
proyecto.
• Gerente de proyecto: lidera el proyecto y se asegura de que se utilice un proceso de
planificación de proyecto sólido, se desarrolle un plan de proyecto completo y útil y se
administren con prudencia los recursos del proyecto.
• Miembros del equipo: deben ser gerentes o sus representantes de diversas
comunidades de interés (negocios, TI y seguridad de la información).
Pasos principales en la planificación de contingencias:

48
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

Incidente Desastre Negocio

Impacto de negocios respuesta recuperación continuidad
análisis (BIA) planificación planificación planificación

• El equipo de CP realiza BIA en las siguientes etapas:

• Identificación de ataques de amenazas
• Análisis de unidades de negocio
• Escenarios de éxito del ataque
• Evaluación de daños potenciales
• Clasificación del plan subordinado.

• La planificación de respuesta a incidentes cubre la identificación, clasificación y

respuesta a un incidente.
• Un incidente es un ataque contra un activo de información que representa una clara
amenaza a la confidencialidad, integridad o disponibilidad de los recursos de
información.
• El equipo de IR está formado por aquellas personas necesarias para manejar los
sistemas a medida que se produce el incidente.
• IR consta de las siguientes cuatro fases:
• Planificación
• Detección
• Reacción
• Recuperación

La planificación de recuperación ante desastres (DRP) consiste en planificar la

preparación y la recuperación tras un desastre.
El equipo de planificación de contingencias debe decidir qué acciones constituyen
desastres y cuáles constituyen incidentes.
Pasos del PRD:
• Debe haber un establecimiento claro de prioridades
• Debe haber una delegación clara de roles y responsabilidades.
• Alguien debe iniciar la lista de alerta y notificar al personal clave.
• La gestión de crisis se produce durante y después de un desastre y se centra en las
personas.
49
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

involucrados y abordar la viabilidad del negocio

• La planificación de la continuidad del negocio describe el restablecimiento de

operaciones comerciales críticas durante un desastre que impacta las operaciones.

UNIDAD – V
PARTE - A (2 puntos)

1. Distinga entre cifrado simétrico y asimétrico.

noviembre/diciembre 2011
Simétrico Asimétrico
Utiliza la misma clave secreta (privada) para Utiliza una clave pública y privada.
cifrar y descifrar sus datos.
Requiere que la clave secreta sea conocida Asimétrico permite la distribución de su clave
por la parte que cifra los datos y por la parte pública a cualquier persona con la que
que los descifra. pueda cifrar los datos que desea enviar de
forma segura y luego solo puede ser
decodificada por la persona que tiene la
clave privada.
Rápido 1000 veces más lento que simétrico

2. ¿Qué es el filtro de contenido? mayo/junio 2013

Un filtro de contenido es un filtro de software (técnicamente no un firewall) que permite a
los administradores restringir el acceso al contenido desde dentro de una red.

3. Enumere todos los controles de seguridad física. mayo/junio 2013

•guardias
• perros
• cerradura y llaves
• monitoreo electrónico
• Tarjetas de identificación e insignias
• trampas para el hombre
• alarmas y sistemas de alarma

4. ¿Cuáles son las siete fuentes principales de pérdida física?

•Temperaturas extremas
• gases
• Líquidos
• Organismos vivos

50
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

• Proyectiles

• Movimiento
• Anomalías energéticas

5. ¿Cuáles son las ventajas y desventajas de utilizar el enfoque de recipiente de miel o celda
acolchada?
Ventajas:
• Los atacantes pueden ser desviados hacia objetivos que no pueden dañar.
• Los administradores tienen tiempo para decidir cómo responder a un atacante
• La acción de los atacantes se puede monitorear fácil y ampliamente
• Los Honey Pots pueden ser efectivos para atrapar a personas con información
privilegiada que están husmeando en una red.

Desventajas:
• Las implicaciones legales del uso de este tipo de dispositivos no están bien
definidas.
• Aún no se ha demostrado que los recipientes de miel y las celdas acolchadas sean
tecnologías de seguridad generalmente útiles.
• Un atacante experto, una vez desviado hacia un sistema señuelo, puede enojarse y
lanzar un ataque hostil contra los sistemas de una organización.
• Los administradores de seguridad necesitarán un alto nivel de experiencia para
utilizar estos sistemas.

6. Definir cifrado y descifrado.

El cifrado es el proceso de convertir un mensaje original a un formato que sea ilegible
para personas no autorizadas, es decir, para cualquiera que no tenga las herramientas
necesarias para convertir el mensaje cifrado a su formato original.
El descifrado es el proceso de convertir el texto cifrado en un mensaje que transmite un
significado fácilmente comprensible.

7. ¿Cuáles son los diferentes tipos de IDS?

• IDS basado en red
• IDS basado en host
• IDS basado en aplicaciones
• IDS basado en firma
• IDS basado en anomalías estadísticas

8. ¿Qué son los cortafuegos?

Un firewall es cualquier dispositivo que impide que un tipo específico de información se

51
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

mueva entre la red externa no confiable y la red interna confiable. El cortafuegos puede ser:
• un sistema informático separado
• un servicio que se ejecuta en un enrutador o servidor existente
• una red separada que contiene varios dispositivos de soporte

9. ¿Qué es el IDS basado en aplicaciones?

Un refinamiento de los ID basados en host es el IDS basado en aplicaciones (AppIDS).
Las identificaciones basadas en aplicaciones examinan una solicitud en busca de incidentes
anormales. Busca sucesos anómalos, como usuarios que exceden su autorización, ejecuciones
de archivos no válidas, etc.

10. ¿Qué son las firmas digitales?

• Algo interesante sucede cuando se invierte el proceso asimétrico, es decir, la clave

privada se utiliza para cifrar un mensaje corto.
• La clave pública se puede utilizar para descifrarlo, y no se puede atribuir el hecho de
que el mensaje fue enviado por la organización propietaria de la clave privada.
• Esto se conoce como no repudio, que es la base de las firmas digitales.
• Las firmas digitales son mensajes cifrados que una instalación central (registro)
verifica de forma independiente como auténticos.

11. ¿Qué son los firewalls de host dual?

• El host bastión contiene dos NIC (tarjetas de interfaz de red)
• Una NIC está conectada a la red externa y otra está conectada a la red interna
• Con dos NIC, todo el tráfico debe pasar físicamente a través del firewall para
moverse entre las redes interna y externa.
• Una tecnología conocida como traducción de direcciones de red (NAT) se
implementa comúnmente con esta arquitectura para asignar desde direcciones IP
externas reales y válidas a rangos de direcciones IP internas que no son enrutables.

12. ¿Cómo se clasifican los firewalls por modo de procesamiento?

• Filtrado de paquetes
• Puertas de enlace de aplicaciones
• Pasarelas de circuito
• Cortafuegos de capa MAC
• Híbridos

13. ¿Qué es el criptoanálisis?

El criptoanálisis es el proceso de obtener el mensaje original (llamado texto sin formato)
a partir de un mensaje cifrado (llamado texto cifrado) sin conocer los algoritmos y las claves
utilizadas para realizar el cifrado.

52
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

14. ¿Qué es la infraestructura de clave pública (PKI)?

La infraestructura de clave pública es el conjunto completo de hardware, software y

criptosistemas necesarios para implementar el cifrado de clave pública.
Los sistemas PKI se basan en criptosistemas de clave pública e incluyen certificados
digitales y autoridades de certificación (CA) y pueden:
• Emitir certificados digitales
• Emitir claves criptográficas

PARTE - B (16 puntos)

1. Escribe sobre las diferentes generaciones de firewalls.

Primera generación
• Llamados cortafuegos de filtrado de paquetes
• Examina cada encabezado de paquete entrante y filtra selectivamente los paquetes
según la dirección, el tipo de paquete, la solicitud de puerto y otros factores.
• Las restricciones más comúnmente implementadas se basan en:
• Dirección IP de origen y destino
• Dirección (entrante o saliente)
• Solicitudes de puerto de origen y destino TCP o UDP
Segunda generación
• Llamado firewall a nivel de aplicación o servidor proxy
• A menudo, una computadora dedicada separada del enrutador de filtrado
• Con esta configuración, el servidor proxy, en lugar del servidor web, está expuesto al
mundo exterior en la DMZ.
• Se pueden implementar enrutadores de filtrado adicionales detrás del servidor proxy.
• La principal desventaja de los firewalls a nivel de aplicación es que están diseñados
para un protocolo específico y no pueden reconfigurarse fácilmente para proteger
contra ataques a protocolos para los cuales no están diseñados.
Tercera generación
• Llamados firewalls de inspección con estado
• Realiza un seguimiento de cada conexión de red establecida entre los sistemas
internos y externos utilizando una tabla de estado que rastrea el estado y el contexto
de cada paquete en la conversación al registrar qué estación envió qué paquete y
cuándo.
• Si el firewall con estado recibe un paquete entrante que no puede coincidir en su
tabla de estado, entonces utiliza de manera predeterminada su ACL para determinar
si permite que el paquete pase.
• La principal desventaja son los requisitos de procesamiento adicionales para
administrar y verificar paquetes con respecto a la tabla de estado, lo que
posiblemente puede exponer el sistema a un ataque DoS.

53
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

• Estos firewalls pueden rastrear el tráfico de paquetes sin conexión, como UDP y el
tráfico de llamadas a procedimientos remotos (RPC).
Cuarta generación

• Mientras que los cortafuegos de filtrado estático, como los de primera y tercera
generación, permiten que entren conjuntos completos de un tipo de paquete en
respuesta a solicitudes autorizadas, un cortafuegos de filtrado dinámico de paquetes
permite que solo entre un paquete concreto con un origen, un destino y una dirección
de puerto concretos. a través del cortafuegos
• Para ello, comprende cómo funciona el protocolo y abre y cierra "puertas" en el
firewall, según la información contenida en el encabezado del paquete. De esta
manera, los filtros de paquetes dinámicos son una forma intermedia entre los filtros
de paquetes estáticos tradicionales y los servidores proxy de aplicaciones.
Quinta Generación

• La forma final de firewall es el proxy del kernel, una forma especializada que
funciona bajo Windows NT Executive, que es el kernel de Windows NT.
• Evalúa paquetes en múltiples capas de la pila de protocolos, verificando la seguridad
en el kernel a medida que los datos pasan hacia arriba y hacia abajo por la pila.

2. Explique brevemente las definiciones básicas de cifrado.

• Algoritmo: fórmula matemática utilizada para convertir un mensaje no cifrado en un

mensaje cifrado
• Cifrado: transformación de los componentes individuales (caracteres, bytes o bits) de
un mensaje no cifrado en componentes cifrados.
• Texto cifrado o criptograma: mensaje cifrado o codificado ininteligible resultante de
un cifrado
• Código: transformación de los componentes más grandes (palabras o frases) de un
mensaje no cifrado en componentes cifrados.
• Criptosistema: conjunto de transformaciones necesarias para convertir un mensaje
no cifrado en un mensaje cifrado
• Descifrar: descifrar o convertir texto cifrado a texto sin formato
• Cifrar: cifrar o convertir texto sin formato en texto cifrado
• Clave o criptovariable: información utilizada junto con el algoritmo para crear texto
cifrado a partir de texto sin formato.
• Espacio de claves: rango completo de valores que posiblemente se pueden usar
para construir una clave individual
• Cifrado de enlace: una serie de cifrados y descifrados entre varios sistemas,
mediante los cuales cada nodo descifra el mensaje que se le envía y luego lo vuelve
a cifrar utilizando diferentes claves y lo envía al siguiente vecino, hasta que llega al
destino final.
• Texto sin formato: mensaje original no cifrado que está cifrado y resulta de un

54
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

descifrado exitoso
• Esteganografía: proceso de ocultar mensajes en una imagen o gráfico.
• Factor de trabajo: cantidad de esfuerzo (generalmente en horas) requerido para
realizar criptoanálisis en un mensaje codificado.

3. Explique sobre el algoritmo RSA.

• técnica de cifrado de clave pública
• algoritmo de cifrado
• algoritmo de descifrado
• seguridad en RSA
Algoritmo RSA
El algoritmo Rivest-Shamir-Adleman (RSA) es uno de los métodos de cifrado de clave
pública más populares y seguros. El algoritmo aprovecha el hecho de que no existe una manera
eficiente de factorizar números muy grandes (de 100 a 200 dígitos).
Usando una clave de cifrado (e,n), el algoritmo es el siguiente:

• Representa el mensaje como un número entero entre 0 y (n-1). Los mensajes

grandes se pueden dividir en varios bloques. Luego, cada bloque estaría
representado por un número entero en el mismo rango.
• Cifre el mensaje elevándolo al módulo de potencia eth n. El resultado es un mensaje
de texto cifrado C.
• Para descifrar el mensaje de texto cifrado C, elévelo a otra potencia d módulo n
La clave de cifrado (e,n) se hace pública. El usuario mantiene privada la clave de
descifrado (d,n).
Cómo determinar los valores apropiados para e, d y n

• Elija dos números primos muy grandes (más de 100 dígitos). Denota estos números
como p y q.
• Establezca n igual a p * q.
• Elija cualquier número entero grande, d, tal que MCD(d, ((p-1) * (q-1))) = 1
• Encuentre e tal que e * d = 1 (mod ((p-1) * (q-1)))

4. ¿Cuáles son los diferentes tipos de sistemas de detección de intrusiones (IDS)? Explique las
identificaciones.
Mayo/junio 2013
Sistemas de detección de intrusos (IDS)
• Los IDS funcionan como alarmas antirrobo
• Los IDS requieren configuraciones complejas para proporcionar el nivel de detección
y respuesta deseados
• Un IDS opera ya sea basado en red, cuando la tecnología se enfoca en proteger los
activos de información de la red, o basado en host, cuando la tecnología se enfoca

55
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

en proteger los activos de información del servidor o del host.

• Los IDS utilizan uno de dos métodos de detección: anomalía estadística o basada en
firmas. basado

56
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

Un IDS basado en red (NIDS) reside en una computadora o dispositivo conectado a un

segmento de la red de una organización y monitorea el tráfico en ese segmento de red,
buscando indicaciones de ataques en curso o exitosos.

5. ¿Cuáles son las prácticas recomendadas en el diseño de firewalls?

• Todo el tráfico de la red de confianza está permitido.
• El dispositivo firewall siempre es inaccesible directamente desde la red pública
• Permita que los datos del Protocolo simple de transporte de correo (SMTP) pasen a
través de su firewall, pero asegúrese de que todos estén enrutados a una puerta de
enlace SMTP bien configurada para filtrar y enrutar el tráfico de mensajes de forma
segura.
• Se deben negar todos los datos del Protocolo de mensajes de control de Internet
(ICMP)
• Bloquear el acceso telnet (emulación de terminal) a todos los servidores internos de
las redes públicas
• Cuando los servicios web se ofrecen fuera del firewall, niegue que el tráfico HTTP
llegue a sus redes internas utilizando alguna forma de acceso proxy o arquitectura
DMZ.

6. Explicar los diferentes tipos de herramientas de escaneo y análisis disponibles.

Escáneres de puertos

• Escáneres de puertos de redes de huellas dactilares para encontrar puertos y

servicios y otra información útil
• ¿Por qué proteger los puertos abiertos?
• Se puede utilizar un puerto abierto para enviar comandos a una computadora,
obtener acceso a un servidor y ejercer control sobre un dispositivo de red.

• La regla general es retirar del servicio o asegurar cualquier puerto que no sea
absolutamente necesario para la realización de negocios.
Escáneres de vulnerabilidad
• Los escáneres de vulnerabilidades son capaces de escanear redes en busca de
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

vulnerabilidades muy detalladas.

56
www.vidyarthiplus.com
 www.vidyarthiplus.com Edición RJ

IV CSE – (VIII SEM) NOTAS INSTITUTO DE TECNOLOGÍA PPG

DEPARTAMENTO DE INGENIERÍA Y CIENCIAS INFORMÁTICAS

información

• Como clase, identifican nombres de usuario y grupos expuestos, muestran recursos

compartidos de red abiertos, exponen problemas de configuración y otras
vulnerabilidades en los servidores.
Rastreadores de paquetes
• en una red que es propiedad de la organización
• bajo autorización directa de los propietarios de la red
• tener conocimiento y consentimiento de los creadores de contenido (usuarios) Filtros
de Contenido
• Aunque técnicamente no es un firewall, un filtro de contenido es un filtro de software
que permite a los administradores restringir el contenido accesible desde dentro de
una red.
• El filtrado de contenidos restringe los sitios Web con contenidos inapropiados Trap
and Trace
• Rastreo: determinar la identidad de alguien que utiliza acceso no autorizado
• Más conocidos como Honey Pots, distraen al atacante mientras avisan al
administrador.

7. ¿Qué es la criptografía? Explique los términos clave asociados con la criptografía.

La criptografía, que proviene de la palabra griega kryptos, que significa "oculto", que
significa "escribir", es un proceso de creación y uso de códigos para asegurar la transmisión de
información.
El criptoanálisis es el proceso de obtener el mensaje original (llamado texto sin formato)
a partir de un mensaje cifrado (llamado texto cifrado) sin conocer los algoritmos y las claves
utilizadas para realizar el cifrado.
El cifrado es el proceso de convertir un mensaje original a un formato que sea ilegible
para personas no autorizadas, es decir, para cualquiera que no tenga las herramientas
necesarias para convertir el mensaje cifrado a su formato original.
El descifrado es el proceso de convertir el texto cifrado en un mensaje que transmite un
significado fácilmente comprensible.

57
www.vidyarthiplus.com