Universidad Tecnológica De Campeche

Ingeniería en Tecnologías de la Información

Título de la Actividad:

Investigación

Correspondiente a la asignatura:

Seguridad de la Información

Unidad I:

Introducción a la Seguridad de la Información

Nombre de los Alumnos:

Eduar Jesús López Francisco.

Nombre del Docente:

David Pérez López

Grado y Grupo:

10 “B”

Periodo:

Septiembre – Diciembre 2018

 Introducción

Entre los activos más importantes de una organización está la información y por
tanto, la custodia de la misma, es un factor relevante para su continuidad y éxito
profesional.

El establecimiento de metodologías, prácticas y procedimientos que buscan

proteger la información como activo valioso, es el objetivo del conjunto de
estándares de la ISO/IEC 27000.

En este sentido, con el fin de minimizar las amenazas y riesgos continuos a los que
está expuesta cualquier organización y a efectos de asegurar la continuidad de
negocio y minimizar los daños, se desarrollan una serie de pasos de aplicación:

Elaboración de un Inventario de Activos: la información es poder, dice una de las

consignas más antiguas en el mundo de los negocios, sin embargo, en la mayoría
de las organizaciones se desconoce ese gran valor; de esta forma, la identificación,
la categorización, la descripción, la asignación de propietarios y la localización de
los activos de información es la base para la correcta gestión de la seguridad en
cualquier empresa.

La Valoración de los Activos: una vez que la organización tiene identificados sus
activos de información, debe valorarlos. La organización debe evaluar mediante una
serie de parámetros los efectos que pudieran derivar en eventuales fallos de
seguridad.
 Introducción a la Seguridad de la Información

Se entiende por seguridad informática al conjunto de normas, procedimientos y

herramientas, que tienen como objetivo garantizar la disponibilidad, integridad,
confidencialidad y buen uso de la información que reside en un sistema de
información.

Cada día más y más personas mal intencionadas intentan tener acceso a los datos
de nuestros ordenadores.

El acceso no autorizado a una red informática o a los equipos que en ella se

encuentran puede ocasionar en la gran mayoría de los casos graves problemas.

Uno de las posibles consecuencias de una intrusión es la pérdida de datos. Es un

hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al día de
las copias de seguridad. Y aunque estemos al día, no siempre es posible recuperar
la totalidad de los datos.

Otro de los problemas más dañinos es el robo de información sensible y

confidencial. La divulgación de la información que posee una empresa sobre sus
clientes puede acarrear demandas millonarias contra esta, o un ejemplo más
cercano a usted es el de nuestras contraseñas de las cuentas de correo por las que
intercambiamos información con otros.

Disponibilidad

En general, el término 'disponibilidad' hace referencia a una cualidad de 'disponible'

y dicho de una cosa "Que se puede disponer libremente de ella o que está lista para
usarse o utilizarse."

En términos de seguridad de la información, la disponibilidad hace referencia a que

la información del sistema debe permanecer accesible a elementos autorizados.

El objetivo de la disponibilidad es, entonces, prevenir interrupciones no

autorizadas/controladas de los recursos informáticos.
En términos de seguridad informática “un sistema está disponible cuando su diseño
e implementación permite deliberadamente negar el acceso a datos o servicios
determinados”. Es decir, un sistema es disponible si permite no estar disponible.

Y un sistema 'no disponible' es tan malo como no tener sistema. No sirve.

Como resumen de las bases de la seguridad informática que hemos comentado,

podemos decir que la seguridad consiste en mantener el equilibrio adecuado entre
estos tres factores. No tiene sentido conseguir la confidencialidad para un archivo
si es a costa de que ni tan siquiera el usuario administrador pueda acceder a él, ya
que se está negando la disponibilidad.

Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un

aspecto de la seguridad o a otro. En ambientes militares suele ser siempre prioritaria
la confidencialidad de la información frente a la disponibilidad. Aunque alguien
pueda acceder a ella o incluso pueda eliminarla no podrá conocer su contenido y
reponer dicha información será tan sencillo como recuperar una copia de seguridad
(si las cosas se están haciendo bien).

En ambientes bancarios es prioritaria siempre la integridad de la información frente

a la confidencialidad o disponibilidad. Se considera menos dañino que un usuario
pueda leer el saldo de otro usuario a que pueda modificarlo.

Integridad

En general, el término 'integridad' hace referencia a una cualidad de 'íntegro' e indica

"Que no carece de ninguna de sus partes." y relativo a personas "Recta, proba,
intachable.".

En términos de seguridad de la información, la integridad hace referencia a la la

fidelidad de la información o recursos, y normalmente se expresa en lo referente a
prevenir el cambio impropio o desautorizado.

El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de

la información.
La integridad hace referencia a:

 la integridad de los datos (el volumen de la información)

 la integridad del origen (la fuente de los datos, llamada autenticación)
Es importante hacer hincapié en la integridad del origen, ya que puede afectar a su
exactitud, credibilidad y confianza que las personas ponen en la información.

A menudo ocurre que al hablar de integridad de la información no se da en estos

dos aspectos.

Por ejemplo, cuando un periódico difunde una información cuya fuente no es

correcta, podemos decir que se mantiene la integridad de la información ya que se
difunde por medio impreso, pero sin embargo, al ser la fuente de esa información
errónea no se está manteniendo la integridad del origen, ya que la fuente no es
correcta.

Confidencialidad

En general el término 'confidencial' hace referencia a "Que se hace o se dice en

confianza o con seguridad recíproca entre dos o más personas."

En términos de seguridad de la información, la confidencialidad hace referencia a la

necesidad de ocultar o mantener secreto sobre determinada información o recursos.

El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada

de la información.

En general, cualquier empresa pública o privada y de cualquier ámbito de actuación

requiere que cierta información no sea accedida por diferentes motivos. Uno de los
ejemplos mas típicos es el del ejército de un país. Además, es sabido que los logros
mas importantes en materia de seguridad siempre van ligados a temas estratégicos
militares.

Por otra parte, determinadas empresas a menudo desarrollan diseños que deben
proteger de sus competidores. La sostenibilidad de la empresa así como su
posicionamiento en el mercado pueden depender de forma directa de la
implementación de estos diseños y, por ese motivo, deben protegerlos mediante
mecanismos de control de acceso que aseguren la confidencialidad de esas
informaciones.

Un ejemplo típico de mecanismo que garantice la confidencialidad es la Criptografía,

cuyo objetivo es cifrar o encriptar los datos para que resulten incomprensibles a
aquellos usuarios que no disponen de los permisos suficientes.

Pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y
es la clave de encriptación. Esta clave es necesaria para que el usuario adecuado
pueda descifrar la información recibida y en función del tipo de mecanismo de
encriptación utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada
mediante herramientas diseñadas para ello. Si se produce esta situación, la
confidencialidad de la operación realizada (sea bancaria, administrativa o de
cualquier tipo) queda comprometida.

Políticas de seguridad

El objetivo de la Política de Seguridad de Información de una organización es, por

un lado, mostrar el posicionamiento de la organización con relación a la seguridad,
y por otro lado servir de base para desarrollar los procedimientos concretos de
seguridad.

La empresa debe disponer de un documento formalmente elaborado sobre el tema

y que debe ser divulgado entre todos los empleados.

No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una

declaración de intenciones. Lo más importante para que estas surtan efecto es
lograr la concienciación, entendimiento y compromiso de todos los involucrados.

Las políticas deben contener claramente las practicas que serán adoptadas por la
compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas,
periódicamente.
Las políticas deben:

 definir qué es seguridad de la información, cuáles son sus objetivos

principales y su importancia dentro de la organización
 mostrar el compromiso de sus altos cargos con la misma
 definir la filosofía respecto al acceso a los datos
 establecer responsabilidades inherentes al tema
 establecer la base para poder diseñar normas y procedimientos referidos a
o Organización de la seguridad
o Clasificación y control de los datos
o Seguridad de las personas
o Seguridad física y ambiental
o Plan de contingencia
o Prevención y detección de virus
o Administración de los computadores
A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego
los procedimientos de seguridad que serán la guía para la realización de las
actividades.

La política de seguridad comprende todas las reglas de seguridad que sigue una
organización (en el sentido general de la palabra). Por lo tanto, la administración de
la organización en cuestión debe encargarse de definirla, ya que afecta a todos los
usuarios del sistema.

La seguridad informática de una compañía depende de que los empleados

(usuarios) aprendan las reglas a través de sesiones de capacitación y de
concienciación.

Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y
cubrir las siguientes áreas:

 Un mecanismo de seguridad física y lógica que se adapte a las necesidades

de la compañía y al uso de los empleados
  Un procedimiento para administrar las actualizaciones
 Una estrategia de realización de copias de seguridad planificada
adecuadamente
 Un plan de recuperación luego de un incidente
 Un sistema documentado actualizado
Por lo tanto y como resumen, la política de seguridad es el documento de referencia
que define los objetivos de seguridad y las medidas que deben implementarse para
tener la certeza de alcanzar estos objetivos.

Escenarios de ataques a redes

Ataque de inundación MAC

En un ataque típico de inundación MAC, un switch se inunda con paquetes, cada

uno con diferentes direcciones MAC de origen. La intención es consumir la memoria
limitada reservada en el switch para almacenar la tabla de traducción de puerto a
físico de MAC. El resultado de este ataque hace que el switch ingrese a un estado
llamado modo de apertura fallida, en el cual todos los paquetes entrantes se emiten
en todos los puertos (como con un concentrador), en lugar de simplemente hacia
abajo del puerto correcto según la operación normal. Un usuario malintencionado
podría utilizar un analizador de paquetes (como Wireshark) ejecutándose en modo
promiscuo para capturar datos confidenciales de otras computadoras (como
contraseñas no encriptadas, correo electrónico y conversaciones de mensajería
instantánea), que no serían accesibles si el interruptor funcionara con normalidad

ARP

ARP Poison Routing (APR), es una técnica utilizada para atacar una red cableada
o inalámbrica de Ethernet. ARP Spoofing puede permitir que un atacante detecte
frameworks de datos en una red de área local (LAN), modifique el tráfico o detenga
el tráfico por completo. El ataque solo se puede usar en redes que realmente usan
ARP y no en otro método de resolución de direcciones.
La detección la realizamos mediante ARP inverso (RARP) que es un protocolo
utilizado para consultar la dirección IP asociada con una dirección MAC dada. Si se
devuelve más de una dirección IP, la clonación MAC está presente.

VLAN

Es un método para crear redes lógicamente independientes dentro de una misma

red física. Una 'VLAN' consiste en una red de ordenadores que se comportan como
si estuviesen conectados al mismo conmutador, aunque pueden estar en realidad
conectados físicamente a diferentes segmentos de una red de área local. Los
administradores de red configuran las VLANs mediante software en lugar de
hardware, lo que las hace extremadamente flexibles. Una de las mayores ventajas
de las VLANs surge cuando se traslada físicamente algún ordenador a otra
ubicación: puede permanecer en la misma VLAN sin necesidad de cambiar la
configuración IP de la máquina.

Las VLANs funcionan en el nivel 2 (enlace de datos) del modelo OSI. Sin embargo,
los administradores suelen configurar las VLANs como correspondencia directa de
una red o subred IP, lo que les da apariencia de funcionar en el nivel 3 (red).

En el contexto de las VLANs, el término trunk (‘troncal’) designa una conexión de

red que transporta múltiples VLANs identificadas por etiquetas (o tags) insertadas
en sus paquetes. Dichos trunks deben operar entre tagged ports (‘puertos
etiquetados’) de dispositivos con soporte de VLANs, por lo que a menúdo son
enlaces conmutador a conmutador o conmutador a enrutador más que enlaces a
nodos. (Para mayor confusión, el término trunk también se usa para lo que Cisco
denomina «canales»; Un enrutador (conmutador de nivel 3) funciona como columna
vertebral para el tráfico de red transmitido entre diferentes VLANs

STP

Spanning Tree Protocol (SmmTPr) es un protocolo de red de nivel 2 de la capa OSI,

(nivel de enlace de datos). Está basado en un algoritmo diseñado por Radia Perlman
mientras trabajaba para DEC. Hay 2 versiones del STP: la original (DEC STP) y la
estandarizada por el IEEE (IEEE 802.1D), que no son compatibles entre sí. En la
actualidad, se recomienda utilizar la versión estandarizada por el IEEE.

Su función es la de gestionar la presencia de bucles en topologías de red debido a

la existencia de enlaces redundantes (necesarios en muchos casos para garantizar
la disponibilidad de las conexiones). El protocolo permite a los dispositivos de
interconexión activar o desactivar automáticamente los enlaces de conexión, de
forma que se garantice que la topología está libre de bucles. STP es transparente a
las estaciones de usuario.

Los bucles infinitos ocurren cuando hay rutas alternativas hacia una misma máquina
o segmento de red de destino. Estas rutas alternativas son necesarias para
proporcionar redundancia, ofreciendo una mayor fiabilidad. Si existen varios
enlaces, en el caso que uno falle, otro enlace puede seguir soportando el tráfico de
la red. Los problemas aparecen cuando utilizamos dispositivos de interconexión de
nivel de enlace, como un puente de red o un conmutador de paquetes.

Cuando hay bucles en la topología de red, los dispositivos de interconexión de nivel

de enlace reenvían indefinidamente las tramas Broadcast y multicast, al no existir
ningún campo TTL (Time To Live, Tiempo de Vida) en la Capa 2, tal y como ocurre
en la Capa 3.

Se consume entonces una gran cantidad de ancho de banda, y en muchos caso la

red queda inutilizada. Un router, por el contrario, sí podría evitar este tipo de
reenvíos indefinidos. La solución consiste en permitir la existencia de enlaces físicos
redundantes, pero creando una topología lógica libre de bucles. STP permite
solamente una trayectoria activa a la vez entre dos dispositivos de la red (esto
previene los bucles) pero mantiene los caminos redundantes como reserva, para
activarlos en caso de que el camino inicial falle.
 Código Malicioso
Gusanos

Un gusano informático es un programa informático de malware auto replicante.

Utiliza una red informática para enviar copias de sí mismo a otros nodos
(computadoras en la red) y puede hacerlo sin intervención del usuario. Esto se debe
a deficiencias de seguridad en la computadora de destino. A diferencia de un virus,
no es necesario que se una a un programa existente. Los gusanos casi siempre
causan al menos algún daño a la red, al consumir ancho de banda, mientras que
los virus casi siempre corrompen o modifican archivos en una computadora
específica.

Virus

Un virus informático es un programa informático que puede copiarse e infectar una

computadora. El término "virus" también se usa comúnmente pero erróneamente
para referirse a otros tipos de malware, incluidos, entre otros, los programas de
adware y spyware que no tienen la capacidad reproductiva. Un virus verdadero
puede propagarse de una computadora a otra (en algún tipo de código ejecutable)
cuando su host se lleva a la computadora de destino; por ejemplo, porque un usuario
lo envió a través de una red o Internet, o lo llevó en un medio extraíble, como una
unidad USB.

Troyanos

Un troyano, a veces denominado caballo de Troya, es un malware no

autorreplicante que parece realizar una función deseable para el usuario pero que
en cambio facilitar el acceso no autorizado al sistema informático del usuario.

Principios matemáticos para criptografía

Criptografía simétrica

La criptografía simétrica solo utiliza una clave para cifrar y descifrar el mensaje, que
tiene que conocer el emisor y el receptor previamente y este es el punto débil del
sistema, la comunicación de las claves entre ambos sujetos, ya que resulta más
fácil interceptar una clave que se ha transmitido sin seguridad (diciéndola en alto,
mandándola por correo electrónico u ordinario o haciendo una llamada telefónica).

Teóricamente debería de ser más fácil conocer la clave interceptándola que

probándola una por una por fuerza bruta, teniendo en cuenta que la seguridad de
un mensaje cifrado debe recaer sobre la clave y nunca sobre el algoritmo (por lo
que sería una tarea eterna reventar la clave, como comenté en un ejemplo de
ataque por fuerza bruta).

Criptografía asimétrica

La criptografía asimétrica se basa en el uso de dos claves: la pública (que se podrá

difundir sin ningún problema a todas las personas que necesiten mandarte algo
cifrado) y la privada (que no debe de ser revelada nunca).

Sabiendo lo anterior, si queremos que tres compañeros de trabajo nos manden un

archivo cifrado debemos de mandarle nuestra clave pública (que está vinculada a
la privada) y nos podrán mandar de forma confidencial ese archivo que solo
nosotros podremos descifrar con la clave privada.

Puede parecer a simple vista un sistema un poco cojo ya que podríamos pensar
que sabiendo la clave pública podríamos deducir la privada, pero este tipo de
sistemas criptográficos usa algoritmos bastante complejos que generan a partir de
la frase de paso (la contraseña) la clave privada y pública que pueden tener
perfectamente un tamaño de 2048bits (probablemente imposible de reventar).

Algoritmos de Criptografía.
DES (DATA ENCRYPTION STANDARD)

Su arquitectura está basada en un sistema monoalfabético, donde un algoritmo de

cifrado aplica sucesivas permutaciones y sustituciones al texto en claro. En un
primer momento la información de 64bits se somete a una permutación inicial, y a
continuación se somete a una permutación con entrada de 8 bits, y otra de
sustitución de entrada de 5 bits, todo ello constituido a través de un proceso con 16
etapas de cifrado.
El algoritmo DES usa una clave simétrica de 64bits, los 56 primeros bits son
empleados para el cifrado, y los 8 bits restantes se usan para comprobación de
errores durante el proceso. La clave efectiva es de 56 bits, por tanto, tenemos 2⁵⁶
combinaciones posibles, por lo que la fuerza bruta se hace casi imposible.

3DES (TRIPLE DATA ENCRYPTION STANDARD)

Se basa en aplicar el algoritmo DES tres veces, la clave tiene una longitud de 128
bits. Si se cifra el mismo bloque de datos dos veces con dos llaves diferentes (de
64 bits), aumenta el tamaño de la clave. El 3DES parte de una llave de 128 bits, que
es divida en dos llaves, A y B.

Al recibir los datos, aplicamos el algoritmo DES con la llave A, a continuación se

repite con la llave B y luego otra vez con la llave A (de nuevo). 3DES aumenta de
forma significativa la seguridad del sistema de DES, pero requiere más recursos del
ordenador. Existe una variante del 3DES, conocida como DES-EDE3, con tres
claves diferentes y una longitud de 192bits, consiguiendo un sistema mucho más
robusto.

AES (ADVANCED ENCRYPTION STANDARD)

Este algoritmo es el más conocido entre los usuarios de routers, ya que WPA opera
con AES como método de cifrado. Este cifrado puede implementar tanto en
sistemas hardware como en software. El sistema criptográfico AES opera con
bloques y claves de longitudes variable, hay AES de 128bits, de 192 bits y de 256
bits.

El resultado intermedio del cifrado constituye una matriz de bytes de cuatro filas por
cuatro columnas. A esta matriz se le vuelve a aplicar una serie de bucles de cifrado
basado en operaciones matemáticas (sustituciones no lineales de bytes,
desplazamiento de filas de la matriz, combinaciones de las columnas mediante
multiplicaciones lógicas y sumas XOR en base a claves intermedias).
Rsa

Es un algoritmo de cifrado de clave pública que le permite al usuario conservar la

confidencialidad de la información cuando es transmitida o compartida con otros
usuarios. Conocer en que consiste es la mejor opción para utilizarlo de forma
adecuada y salvaguardar la información más sensible.

La fortaleza del algoritmo RSA se basa en la complejidad de cálculo que tiene

encontrar los dos factores primos de un número compuesto muy grande. La
operación inversa de este problema, es decir multiplicar dos números primos
grandes, es una operación poco costosa computacionalmente y que se puede
realizar rápidamente, pero en sentido contrario, es decir encontrar los factores
primos de un número es una operación que a medida que se incrementa el tamaño
del número aumenta los requerimientos de hardware para su cálculo además de
aumentar el tiempo requerido para su cálculo. Por ejemplo, sin utilizar ningún tipo
de ayuda electrónica, cuando tiempo demoras en calcular el producto 11 por 31. Y
ahora, cuanto se demora en hallar los factores primos de 221.

Normatividad nacional e internacional de seguridad

ISO 27001

Este es el nuevo estándar oficial. Su título completo en realidad es BS 7799-2:2005

(ISO/IEC 27001:2005). También fue preparado por el JTC 1 y en el subcomité SC
27, IT Security Techniques. La versión que se considerará es la primera edición, de
fecha 15 de octubre de 2005.
El conjunto de estándares que aportan información de la familia ISO-2700x que se
puede tener en cuenta son:
• ISO/IEC 27000 Fundamentals and vocabulary.
• ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005).
• Publicado el 15 de octubre del 2005.
• ISO/IEC 27002 Code of practice for information security management.
• Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005.
• ISO/IEC 27003 ISMS implementation guidance (en desarrollo).
 • ISO/IEC 27004 Information security management measurement (en
desarrollo).
• ISO/IEC 27005 Information security risk management (basado en
ISO/IEC 13335 MICTS Part 2 e incorporado a éste; en desarrollo).

El ISO-27001:2005 es aceptado internacionalmente para la administración de la

seguridad de la información y aplica a todo tipo de organizaciones, tanto por su
tamaño como por su actividad. Presentar al ISO-27001:2005 como estándar de
facto genera la posibilidad de tener un estándar mejorado y más robusto en el
trayecto de la historia; los entes que aplican estos procedimientos para garantizar
la seguridad e integridad de la información mejorarán considerablemente el
estándar, luego de haber hecho las pruebas y haber tenido la experiencia.

ISO 17799

Proporciona recomendaciones de las mejores prácticas en la gestión de la

seguridad de la información a todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestión de la seguridad de la información. La
seguridad de la información se define en el estándar como "la preservación de la
confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder
a la información), integridad (asegurando que la información y sus métodos de
proceso son exactos y completos) y disponibilidad (asegurando que los usuarios
autorizados tienen acceso a la información y a sus activos asociados cuando lo
requieran)".
La versión de 2005 del estándar incluye las siguientes once secciones principales:
• Política de Seguridad de la Información.
• Organización de la Seguridad de la Información.
• Gestión de Activos de Información.
• Seguridad de los Recursos Humanos.
• Seguridad Física y Ambiental.
• Gestión de las Comunicaciones y Operaciones.
• Control de Accesos.
 • Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
• Gestión de Incidentes en la Seguridad de la Información.
• Cumplimiento
• Gestión de Continuidad del Negocio.

COBIT

COBIT es un acrónimo para Control Objectives for Information and related

Technology (Objetivos de Control para tecnología de la información y relacionada);
desarrollada por la Information Systems Audit and Control Association (ISACA) y el
IT Governance Institute (ITGI). COBIT es una metodología aceptada mundialmente
para el adecuado control de proyectos de tecnología, los flujos de información y los
riesgos que éstas implican. La metodología COBIT se utiliza para planear,
implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de
control, directivas de auditoría, medidas de rendimiento y resultados, factores
críticos de éxito y modelos de madurez.

Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a
proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y
aceptados, para mejorar las prácticas de planeación, control y seguridad de las
Tecnologías de Información. COBIT contribuye a reducir las brechas existentes
entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y
aspectos técnicos propios de un proyecto TIC; proporcionando un Marco
Referencial Lógico para su dirección efectiva.

NIST

El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés,

National Institute of Standards and Technology) es una agencia de la Administración
de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de
este instituto es promover la innovación y la competencia industrial mediante
avances en metrología, normas y tecnología de forma que mejoren la estabilidad
económica y la calidad de vida.
Systrust

Exámenes SysTrust, también conocidos como SOC 3 informes cuando se utiliza

para organizaciones de servicio, son las certificaciones, basado en los principios de
Servicios Fiduciarios y criterios son emitidos por el Comité Ejecutivo de Servicios de
Aseguramiento del Instituto Americano de Contadores Públicos Certificados. Los
servicios sólo pueden ser entregados por una empresa de Contadores Públicos
Certificados licencia. Servicios de Confianza diferencian las empresas desde sus
competidores demostrando su conocimiento de los riesgos planteados por su
entorno y proporcionar la verificación de terceros por una firma de contadores
certificados que están equipadas con los controles necesarios para hacer frente a
esos riesgos. Beneficiarios de informes de garantía de servicios de confianza son
los consumidores, socios comerciales, los acreedores, los banqueros y otros
acreedores, reguladores, subcontratistas y los que utilizan los servicios.

Webtrust de AICPA

WebTrust para Autoridades de Certificación es un sello de confianza, calidad y

seguridad que se concede a las entidades prestadoras de servicios de confianza
tras obtener un informe favorable de auditoría independiente, el cual constata el
cumplimiento de los Principios y Criterios Webtrust definidos por el Instituto
Americano de Auditores Públicos de Cuentas (AICPA) y el Instituto Canadiense de
Auditores de Cuentas (CICA). WebTrust para Autoridades de Certificación - SSL
Baseline Requirements es un sello complementario que se entrega a aquellos
prestadores de servicios de confianza que superan una auditoría independiente de
cumplimiento con las directrices que marca el CA/Browser Forum respecto al ciclo
de vida de los certificados de SSL, obteniendo un informe favorable.

Ambos sellos están mundialmente reconocidos y aceptados por la comunidad

internacional, convirtiendose en el método más efectivo de transmitir confianza para
los usuarios de Internet.
 Conclusión

Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías
permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo
tanto, es fundamental saber qué recursos de la compañía necesitan protección para
así controlar el acceso al sistema y los derechos de los usuarios del sistema de
información. Los mismos procedimientos se aplican cuando se permite el acceso a
la compañía a través de Internet.

Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en

día, el cual permite a los empleados conectarse a los sistemas de información casi
desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema
de información fuera de la infraestructura segura de la compañía.

Generalmente, los sistemas de información incluyen todos los datos de una

compañía y también en el material y los recursos de software que permiten a una
compañía almacenar y hacer circular estos datos. Los sistemas de información son
fundamentales para las compañías y deben ser protegidos.

Generalmente, la seguridad informática consiste en garantizar que el material y los

recursos de software de una organización se usen únicamente para los propósitos
para los que fueron creados y dentro del marco previsto.

La seguridad informática se resume, por lo general, en cinco objetivos principales:

Integridad, que garantiza que los datos sean los que se supone que son;
Confidencialidad, que asegura que solo los individuos autorizados tengan acceso a
los recursos que se intercambian; Disponibilidad, que garantiza el correcto
funcionamiento de los sistemas de información; Evitar el rechazo, que garantiza de
que no pueda negar una operación realizada; Autenticación, que asegura que solo
los individuos autorizados tengan acceso a los recursos.
 Fuentes de Información

https://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica

http://recursostic.educacion.es/observatorio/web/ca/software/software-
general/1040-introduccion-a-la-seguridad-informatica?start=1

https://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-
informatica.shtml

https://www.uv.mx/celulaode/seguridad-info/tema1.html

https://ciberseguridad.blog/25-tipos-de-ataques-informaticos-y-como-prevenirlos/

https://riunet.upv.es/bitstream/handle/10251/15262/SEGURIDAD%20CAPA%202
%20del%20modelo%20OSI.pdf?sequence=1

https://www.genbeta.com/desarrollo/tipos-de-criptografia-simetrica-asimetrica-e-
hibrida

https://mariiss15.wordpress.com/2012/11/14/algoritmos-de-encriptacion-simetrica-
y-asimetrica/

https://es.scribd.com/document/326301511/Algoritmos-Des-3des-Aes-Rsa

https://es.scribd.com/document/242755694/Normatividad-nacional-e-internacional-
de-seguridad-yahaira-docx

https://www.accv.es/webtrust/