Gestión de datos

Es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP, garantizando

que las redes físicas heterogéneas que la componen funcionen como una red lógica

única, de alcance mundial.

Estas funciones las realizan los protocolos TCP/IP:

Transmisión Control Protocol (TCP) se encarga de fragmentar y unir los paquetes.

Internet Protocol (IP) tiene como misión hacer llegar los fragmentos de información a su destino correcto

Es un número que identifica un dispositivo en una red. La dirección IP está formada por 4 números de hasta 3 cifras separados por “.” (Punto). Los valores que pueden tomar estos números varían entre 0 y 255, por ejemplo, una dirección IP puede ser 192.168.66.254

Un localizador de recursos uniforme, más comúnmente denominado URL (sigla en inglés de uniform resource locator), es una secuencia de caracteres, de acuerdo a un formato modélico y estándar, que se usa para nombrar recursos en Internet para su localización o identificación, como por ejemplo documentos textuales, imágenes, vídeos, presentaciones digitales, etc. Los localizadores uniformes de recursos fueron una innovación en la historia de la Internet.

World Wide Web [WWW]: Las páginas web son la parte más visual de toda la red. La combinación de texto, gráficos, sonido, animaciones, vídeo... convierte este servicio en todo un espectáculo para nuestros sentidos.

Correo electrónico: Junto con la WWW, el correo electrónico es otro de los servicios más utilizados en Internet. Un mensaje puede contener, a parte del propio texto, imágenes e incluso ficheros adjuntos.

Transferencia de ficheros (FTP): En la actualidad, desde el mismo navegador también se puede acceder a estos ordenadores, cambiando la etiqueta http:// por la de ftp: //, aunque la velocidad y fiabilidad de la conexión es menor que utilizando programas específicamente diseñados con esta finalidad.

Grupos de Noticias [Newsgroups]: Bajo el nombre de “Grupos de Noticias” se encuentran miles de grupos de discusión sobre los temas más dispares. Cada uno de estos grupos está formado por personas que desean intercambiar mensajes entre sí sobre una temática determinada.

IRC [Internet Relay Chat]: Las charlas -conversaciones mediante el teclado en tiempo real-, es otro de los servicios de Internet que causa furor, y no sólo en el sector más joven de usuarios.

Navegador web o explorador web (del inglés, navegador o browser) es una aplicación software que permite al usuario recuperar y visualizar documentos de hipertexto, comúnmente descritos en HTML, desde servidores web de todo el mundo a través de Internet.

Vulnerabilidad de desbordamiento de buffer.

Si un programa no controla la cantidad de datosque se copian en buffer, puede llegar unmomento en que se sobrepase la capacidaddel buffer y los bytes que sobran sealmacenan en zonas de memoria adyacentes.

En esta situación se puede aprovechar paraejecutar código que nos de privilegios deadministrador.

Vulnerabilidad de condición de carrera (race condition). Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado.

Vulnerabilidad de Cross Site Scripting (XSS).Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBScript o Java Script en páginas web vistas por el usuario. El phishing es una aplicación de esta vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este sitio se las está enviando al atacante.

Vulnerabilidad de ventanas engañosas (Windows Spoofing). Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que el usuario de información.

Vulnerabilidad de denegación del servicio. La denegación de servicio hace que un servicio o recurso no esté disponible para los usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima.

El diseño de una estrategia de seguridad debe contemplar tres aspectos:

Protección antivirus

Un firewall

Protección anti Spam

Los virus, los troyanos, las vulnerabilidades y los spammers están relacionados, haciendo un cóctel más que peligroso para un usuario que no tome las medidas de protección adecuadas.

Es el área responsable de la documentación de políticas, procedimientos y estándares de seguridad así como del cumplimiento con estándares internacionales y regulaciones que apliquen a la organización. Se debe interactuar de forma directa con otras áreas de seguridad y garantizar cumplimiento, es conveniente que no quede al mismo nivel que el resto de las áreas pero todas reportan al CISO

Es el área a cargo de llevar a cabo las acciones congruentes con la estrategia definida por el CISO lograr los objetivos del área (en otras palabras, la “gente que está en la trinchera”). Entre sus responsabilidades se encuentran:* Monitoreo de indicadores de controles de seguridad

* Soporte a usuarios* Alta, baja y modificación de accesos a sistemas y aplicaciones

Es el área responsable de verificar el correcto funcionamiento de las medidas de seguridad así como del cumplimiento de las normas y leyes correspondientes (en otras palabras, brazo derecho del área de normatividad). Entre sus responsabilidades se encuentran:

* Evaluaciones de cumplimiento con normas de seguridad

* Atención de auditores y consultores de seguridad

Es el área responsable de la documentación de políticas, procedimientos y estándares de seguridad así como del cumplimiento con estándares internacionales y regulaciones que apliquen a la organización. Dado que debe interactuar de forma directa con otras áreas de seguridad y garantizar cumplimiento, es conveniente que no quede al mismo nivel que el resto de las áreas pero todas reportan al CISO.

Planificación: La Planificación de Recursos Empresariales es un término derivado de la planificación de recursos de manufactura (MRPII) y seguido de la planificación de requerimientos de material (MRP); sin embargo los ERP han evolucionado hacia modelos de subscripción por el uso del servicio (SaaS, cloud computing)

Desarrollo: Conocimiento de la Organización: Analizar y conocer todos los sistemas que forman parte de la organización, así como los futuros usuarios del SI. En las empresas, se analiza el proceso de negocio y los procesos transaccionales a los que dará soporte el SI.Identificación de problemas y oportunidades: Relevar las situaciones que tiene la organización y sacar una ventaja competitiva, así como las situaciones desventajosas o limitaciones que hay que sortear o que tomar en cuenta.

La información: La seguridad informática debe ser administrada por los administradores y supervisores, evitando que usuarios externos y no autorizándonos puedan acceder a ella sin autorización. Otra función de la seguridad informática en esta área es la de asegurar el acceso a la información en el momento oportuno, respaldando en caso que sufra daños o pérdida producto de accidentes, atentados o desastres.

La infraestructura computacional: La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y proveer en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico etc.

Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática.