FACULTAD: INGENIERA EAP: INGENIERA DE SISTEMAS E INFORMTICA

PROYECTO DE INVESTIGACIN:

INVESTIGADOR (ES): BADA VERGARA, Walter Ylianov POMALAZA ANTICONA, Brigthide Yesenia DOCENTE: Dra. Marisol Condori Apaza CICLO: IX

2012-I

CAPTULO I PLANTEAMIENTO DEL ESTUDIO

1.1. PLANTEAMIENTO DEL PROBLEMA En la actualidad el desarrollo tecnolgico es constante, y por estas variaciones dinmicas en el ambiente en el que se desarrollan las organizaciones modernas, se plantea la necesidad de adaptarse a transformaciones de manera inmediata. La Alta Direccin empresarial durante muchos aos, han reconocido que la informacin tradicional utilizada para el clculo de utilidades ha tenido un valor limitado para el control. Sin embargo existen muchas empresas donde estos son los nicos datos que se recopilan peridicamente. No obstante, la gran mayora de las empresas estn conscientes de que para obtener mejores resultados se necesita adaptarse constantemente a las nuevas condiciones del entorno, un entorno que ha dejado de ser estable para convertirse en turbulento. La innovacin, la rapidez, el servicio de gran calidad y el ritmo al que se mejora y aplica el conocimiento constituyen las nuevas reglas del juego. En el mundo de hoy, la dedicacin y la aportacin de fuerza laboral son decisivas y la informacin es el arma esencial en esta batalla. Mientras que los directivos vean la informacin como un instrumento para ejercer control, y no como un medio para mejorar la empresa, sern incapaces de apreciar los beneficios que conlleva la elaboracin de nuevos sistemas de informacin basados en la relevancia de estas informaciones para la gestin empresarial. La empresa en cada una de las reas de funcionamiento se ve en la necesidad de tomar decisiones, desde la ms insignificante hasta aquella que tiene que ver con su existencia misma. Con tal responsabilidad se necesita una base de datos lo ms certera posible sobre la cual descansen esas decisiones. Como es de suponer, esta informacin necesaria para tomar las decisiones no aparece casualmente, sino que es recopilada mediante un sistema informativo que abarca su recepcin, elaboracin, registro y transmisin. Los SI son un proceso de planificacin diseo y anlisis y control de los datos, que afecta a todo el ncleo de la actividad empresarial y es el encargado de coordinar los flujos y registros de la informacin tanto internas, como la proveniente del entorno, que son necesarias para realizar las operaciones bsicas y toma de decisiones para conseguir los objetivos de la empresa. Este proceso se realiza de forma conjunta con el proceso de actividades propias de la empresa y sirve de apoyo a las decisiones de planificacin, diseo, ejecucin, y control que realiza.

Hoy en da el uso de los sistemas de informacin corporativos conlleva un conjunto de riesgos y amenazas, cuya falta de control puede llevar aparejada consecuencias altamente negativas para la organizacin, sus administradores y para las personas responsables de gestionar dichos recursos de forma correcta. El admirable y maravilloso "mundo de las computadoras" ha proporcionado un verdadero avance en diferentes reas y en ellas es menester realizar gestiones de manera dinmica, eficiente y precisa. Al aplicarse esta tecnologa en todo tipo de gestiones automatizadas, se establece un gran paso en la creacin de mejores mtodos y procedimientos que ayuden al hombre a desempear ms eficientemente las tareas que realiza en serie y, lo ms comn, aquellas de rutina. Las empresas especializadas en servicios de asesora sobre seguridad informtica han proliferado, pero no son todava del todo eficaces puesto que este es un tema que no se considera en forma apropiada. En las compaas y empresas, actualmente existe un factor nuevo de preocupacin a nivel departamental: los sistemas de informacin operan en un ambiente que est lleno de peligros latentes. Los sistemas de informacin computarizados son vulnerables a una diversidad de amenazas y atentados por parte de personas tanto internas como externas de la organizacin, desastres naturales, por servicios, suministros y trabajos no confiables e imperfectos, por la

incompetencia y las deficiencias cotidianas, por el abuso en el manejo de los sistemas informticos, por el desastre a causa de intromisin, robo, fraude, sabotaje o interrupcin de las actividades de cmputos. Todos estos aspectos hacen que sea necesario replantear la seguridad con que cuenta hasta ahora la organizacin, aunque tambin hay algunas entidades que estn haciendo un trabajo prominente en asegurar sus sistemas informticos. Es fundamental que los directivos de las organizaciones que no se han ocupado lo suficiente en implementar un estricto sistema de seguridad se preocupen en detalles como reconocer la necesidad de establecer normas de seguridad para los datos, polticas, normas y directrices, comprender que el papel que desempean en la organizacin, est relacionado con la seguridad del ciclo de vida del sistema de informacin, establecer una planificacin formalizada para la seguridad informtica, gestionar los medios necesarios para administrar correctamente la funcin de la seguridad informtica. Hasta que la seccin directiva de la compaa no tome conciencia de esto y no lo lleve a la prctica, seguirn completamente abiertas las puertas y ventanas de sus sistemas informticos. La empresa COOPAC HUANCAVELICA, es una de estas empresas, un entidad financiera que brinda servicios de ahorro, crdito y financiamiento al sector pblico y privado para lo cual

cuenta con un sistema de informacin donde alberga toda su cartera de clientes y de todos los servicios prestados, as como el historial de cada uno de ellos, siendo esta, de carcter estrictamente privada y confidencial Hoy en da existen muchos factores que pueden vulnerar estos sistemas poniendo en riesgo toda su informacin las cuales quedaran a costa de personas ajenas a la empresa dispuestas a usarlas para su propio beneficio perjudicando completamente a la Empresa y a todos los clientes.

1.2.

FORMULACIN DEL PROBLEMA DE INVESTIGACIN. Cules son los factores que vulneran la seguridad del sistema de informacin en la COOPACHuancavelica de la Ciudad de Huancayo?

1.3.

OBJETIVO DE INVESTIGACIN. Determinar los factores que vulneran la seguridad del sistema de informacin de la COOPACHuancavelica en la Ciudad de Huancayo.

1.4.

JUSTIFICACIN E IMPORTANCIA DE LA INVESTIGACIN.

1.4.1.

JUSTIFICACIN TERICA. La presente investigacin va a permitir enriquecer los conceptos que se tienen hasta el momento acerca de la seguridad y proteccin de los sistemas de informacin y los accesos inadecuados a los datos confidenciales. As mismo esta investigacin propuesta busca determinar qu factores vulneran los sistemas que contienen informacin confidencial.

1.4.2.

JUSTIFICACIN METODOLGICA. La importancia metodolgica radica en que aplicando la metodologa cientfica portar conocimientos metodolgicos para futuras investigaciones sobre la seguridad y los factores que vulneran a este.

1.4.3.

JUSTIFICACIN PRCTICA. La presente investigacin beneficiar a la Cooperativa de Ahorros y Crditos Huancavelica, Sucursal Huancayo, a los trabajadores usuarios del sistema y a los clientes, as como tambin a las diferentes empresas pblicas y privadas de similares caractersticas ya que esta, contribuir a fortalecer la seguridad contra el acceso inadecuado y/o la mala manipulacin de sus datos, convirtindola en un sistema ms robusto a prueba de los fallos de seguridad ms comunes que se encuentran en este tipo de ambientes.

CAPTULO II MARCO TERICO

2.1. ANTECEDENTES DEL PROBLEMA. 2.1.1. ANTECEDENTES NACIONALES.

EXPERIENCIA PROPIA. En el ao 2006, la empresa GEOS PC E.I.R.L. de la Ciudad de Huancayo, dedicada a la venta de productos informticos como computadoras, perifricos, accesorios y suministros, acababa de implementar un nuevo Sistema de Informacin con caractersticas avanzadas, el cual ayudara en toda la gestin de datos e informacin de una manera mucho ms veloz y eficiente para lo cual no proveyeron que la gestin de contraseas tena una vital importancia. Es por esto que dieron a cierto personal, sin las medidas de seguridad necesaria, contraseas y accesos de administradores al sistema, pensando que esto sera beneficioso para la empresa ya que de esta manera, los encargados tendran menos responsabilidad y carga laboral. Pero con el pasar del tiempo esto lleg a ser contraproducente, ya que dicho personal en el afn de sacar provecho de sus beneficios como administradores de sistema, empezaron a manipular el sistema de tal forma que perjudicaba a la empresa y los beneficiaba econmicamente. Las manipulaciones consistan de la siguiente manera: Debido a que el sistema tena la capacidad de Gestionar crditos a los clientes y guardar en las bases de datos el estado de dicho crdito, los Gerentes se basaban slo en los datos del sistema cuando haba algn tipo de generacin de crdito para el personal. De este modo los trabajadores podan sacar diversos productos en partes e ir cancelando cada quincena hasta finiquitar su deuda y todo controlado nicamente por el sistema. Es ah donde aprovechan los malos elementos que contaban con una contrasea de administrador, sacaban diversos productos al crdito y despus de un tiempo ellos mismos manipulaban la informacin de dicho producto en algunos casos bajndole el precio de compra para que su deuda disminuyera y en otros casos lograban anular completamente su deuda del sistema sin haber cancelado realmente. Todo esto result perjudicial para el sistema por lo cual se tomaron nuevas medidas de seguridad en cuanto a la Gestin de Contrasea y Usuarios del sistema, designando niveles de acceso tales como acceso total solo para los encargados o gerentes, acceso

parcial de administrador para personal de confianza y acceso muy limitado para personal con funciones limitadas o personal nuevo en la empresa. Tambin se vio por conveniente documentar todo tipo de transacciones realizadas por los mismos trabajadores, y tener un libro de crditos que se actualizara de forma sincronizada con el sistema para tener un manejo ms exacto y completo.

Bach. Jos Natividad Ocas Murrillo. En su investigacin "PROPUESTA DE SUGURIDAD E MEDIOS DE PAGOS DE COMERCIO ELECTRNICO PARA EMPRESAS DE TRANSPORTE DE LA REGIN DE CAJAMARCA", del 2009, tuvo como objetivo la implementacin de una arquitectura de seguridad en medios de pagos, en el cual se definirn claramente los estndares, normas, procedimientos, elementos, actores, aplicativos y consideraciones a tener en cuanta durante todo el proceso que implica adoptar una nueva practica de hacer negocios en las empresas. Llegando a una conclusin que la implementacin de seguridad para el comercio electrnico beneficiaria a los clientes finales y estos tendrn ms confianza en la utilizacin de este medio de pago. Norma Crdova Rodrguez En su investigacin PLAN DE SEGURIDAD INFORMTICA PARA UNA ENTIDAD

FINANCIERA, del 2003, la tesis desarrollada tuvo como objetivo realizar un diagnstico de la situacin actual en cuanto a la seguridad de informacin que el Banco actualmente administre y disear un plan de Seguridad de la Informacin que permita desarrollar operaciones seguras basadas en polticas y estndares claros y conocidos por el personal del Banco, completando la definicin de la estrategia y los proyectos ms importantes que deben ser llevados a cabo para culminar con el Plan de Implementacin. Llegando a una conclusin de que un programa de seguridad con componentes Bloqueadores de cookies rara vez produce resultados efectivos; lo ms efectivo es utilizar una metodologa comprobada que disee el programa de seguridad con base a las necesidades de su empresa, recuerde cada empresa es diferente. En la segunda conclusin al que lleg es que la clave para llegar a desarrollar con xito un programa efectivo de seguridad de la informacin consiste en recordar que las polticas, estndares y procedimientos de Seguridad de la Informacin son un grupo de documentos

interrelacionados, la relacin de los documentos es lo que dificulta el desarrollo, aunque es muy poderosa cuando se pone en prctica; muchas organizaciones ignoran esta interrelacin que es un esfuerzo por simplificar el procesos de desarrollo, sin embargo,

estas mismas relaciones son las que permiten que las organizaciones exijan y cumplan los requerimientos de seguridad.

2.1.2.

ANTECEDENTES INTERNACIONALES.

Michael Howard, David Le Blanc y John Viega. (USA) En su investigacin 19 Puntos Crticos sobre Seguridad de Software, del ao 2007, tomaron como objetivo la evaluacin de la seguridad y proteccin de los Sistemas de Informacin de una Empresa Financiera. Mediante el estudio que realizaron llegaron a las siguientes conclusiones: Crear un programa de seguridad con componentes bloqueadores de cookies rara vez produce resultados efectivos, lo ms efectivo es utilizar una metodologa comprobada que disee un programa de seguridad con base en necesidades de la empresa. La clave para desarrollar con xito un programa efectivo de seguridad de la informacin consiste en recordar que las polticas, estndares y procedimientos de seguridad de la informacin son un grupo de documentos interrelacionados.

Alexander, Alberto G. (USA) En su tesis de investigacin: Diseo de Un Sistema de Gestin de Seguridad de Informacin, realizada en el ao 2007, el cual tena el objetivo de prevenir la prdida de datos y la aplicacin de tcnicas modernas en su manipulacin, nos presenta la siguiente conclusin: Primero se debe de capacitar a los usuarios, siendo estos los elementos primordiales para la manipulacin del sistema, el cual necesita personal altamente calificado para el acceso correcto y una adecuada manipulacin.

Piattini Velthuis, Mario G. (Espaa) En su investigacin monogrfica denominada Tipos de Acceso Inapropiados a un Sistema de Manera Interna y Externa realizada en el ao 2007, tuvo como objetivo detectar la inseguridad que tiene un sistema de informacin ya sea directamente con los usuarios o con terceras personas. Piattini nos muestra como conclusin: Debemos tomar en cuenta el almacenamiento de archivos temporales en cada uno de los directorios temporales de los usuarios, los cuales no se encuentran en una ubicacin compartida. Esto tiene el beneficio agregado de facilitar la ejecucin de su aplicacin con privilegios de bajo nivel, porque el usuario tiene acceso pleno a su directorio privado. Sin embargo, en muchos casos, cuentas de alto nivel como el administrador pueden tener acceso a los directorios temporales del mismo sistema.

No aceptar un nombre de archivo sin tener las precauciones necesarias para identificar su veracidad teniendo mayor hincapi en el entorno del servidor.

2.2. BASES TERICAS.

2.2.1.

SISTEMAS DE INFORMACIN. Un sistema de informacin (SI) es un conjunto de elementos orientados al tratamiento y administracin de datos e informacin, organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo. Dichos elementos formarn parte de alguna de las siguientes categoras: personas, datos, actividades o tcnicas de trabajo, recursos materiales en general (generalmente recursos informticos y de comunicacin, aunque no necesariamente). Todos estos elementos interactan para procesar los datos (incluidos los procesos manuales y automticos) y dan lugar a informacin ms elaborada, que se distribuye de la manera ms adecuada posible en una determinada organizacin, en funcin de sus objetivos.

Habitualmente el trmino se usa de manera errnea como sinnimo de sistema de informacin informtico, en parte porque en la mayor parte de los casos los recursos materiales de un sistema de informacin estn constituidos casi en su totalidad por sistemas informticos. Estrictamente hablando, un sistema de informacin no tiene por qu disponer de dichos recursos (aunque en la prctica esto no suela ocurrir). Se podra decir entonces que los sistemas de informacin informticos son una subclase o un subconjunto de los sistemas de informacin en general.

Figura 1: Elementos del SI.

Jesuja, Esquema de los elementos que componen un sistema de informacin, 20 Febrero 2008.

2.2.1.1.

TIPOS DE SISTEMAS DE INFORMACIN. Se basa en la jerarqua de una organizacin y se llam el modelo de la pirmide. Segn la funcin a la que vayan destinados o el tipo de usuario final del mismo, los SI pueden clasificarse en:

a)

Sistema de procesamiento de transacciones (TPS).- Gestiona la informacin referente a las transacciones producidas en una empresa u organizacin, tambin se le conoce como Sistema de Informacin operativa.

b) Sistemas de informacin gerencial (MIS).- Orientados a solucionar problemas empresariales en general. c) Sistemas de soporte a decisiones (DSS).- Herramienta para realizar el anlisis de las diferentes variables de negocio con la finalidad de apoyar el proceso de toma de decisiones. d) Sistemas de informacin ejecutiva (EIS).- Herramienta orientada a usuarios de nivel gerencial, que permite monitorizar el estado de las variables de un rea o unidad de la empresa a partir de informacin interna y externa a la misma. Es en este nivel cuando los sistemas de informacin manejan informacin estratgica para las empresas.

2.2.1.2.

EVOLUCIN DE LOS SISTEMAS DE INFORMACIN A LO LARGO DEL TIEMPO.

Estos sistemas de informacin no surgieron simultneamente en el mercado; los primeros en aparecer fueron los TPS, en la dcada de los 60, sin embargo, con el tiempo, otros sistemas de informacin comenzaron a evolucionar. Los primeros proporcionan informacin a los siguientes a medida que aumenta la escala organizacional

a)

Sistemas de automatizacin de oficinas (OAS).- Aplicaciones destinadas a ayudar al trabajo diario del administrativo de una empresa u organizacin.

b) Sistema Planificacin de Recursos (ERP).- Integran la informacin y los procesos de una organizacin en un solo sistema. c) Sistema experto (SE).- Emulan el comportamiento de un experto en un dominio concreto.

Los ltimos fueron los SE, que alcanzaron su auge en los 90 (aunque estos ltimos tuvieron una tmida aparicin en los 70 que no cuaj, ya que la tecnologa no estaba suficientemente desarrollada).

10

Figura 2: Modelo de la Pirmide

Jesuja, Evolucin temporal de los sistemas de informacin (TPS, MIS, DSS, EIS, OAS y SE, 1 February 2008.

2.2.2.

VULNERABILIDAD Se entiende por vulnerabilidad, las caractersticas de susceptibilidad inherentes a un recurso, es decir su grado de fragilidad o exposicin natural. En trminos cuantitativos, la vulnerabilidad de un recursos en una medida de la mayor o menor dificultad con que ste pueda deteriorarse, cuando se expone a una actividad humana potencialmente contaminante o degenerativa. Ya que la vulnerabilidad de un recurso puede ser diferente para diferentes actividades o eventos, esta se define en funcin de un supuesto Contaminante Universal.

2.2.2.1.

VULNERABILIDAD DE LA SEGURIDAD INFORMTICA En seguridad informtica, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.

Las vulnerabilidades son el resultado de bugs o de fallos en el diseo del sistema. Aunque, en un sentido ms amplio, tambin pueden ser el resultado de las propias limitaciones tecnolgicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades tericas y vulnerabilidades reales (conocidas como exploits).

11

Las vulnerabilidades en las aplicaciones suelen corregirse con parches, hotfixs o con cambios de versin. En tanto algunas otras requieren un cambio fsico en un sistema informtico.

Las vulnerabilidades se descubren muy seguido en grandes sistemas, y el hecho de que se publiquen rpidamente por todo internet (mucho antes de que exista una solucin al problema), es motivo de debate. Mientras ms conocida se haga una vulnerabilidad, ms probabilidades de que existan piratas informticos que quieren aprovecharse de ellas.

Algunas vulnerabilidades tpicas suelen ser: Desbordes de pila y otros buffers. Symlink races. Errores en la validacin de entradas como: inyeccin SQL, bug en el formato de cadenas, etc. Secuesto de sesiones. Ejecucin de cdigo remoto. XSS.
(Extrado del site: http://www.alegsa.com.ar/Dic/vulnerabilidad.php )

2.2.3.

CONFIDENCIALIDAD Es la propiedad de prevenir la divulgacin de informacin a personas o sistemas no autorizados. A groso modo, la confidencialidad es el acceso a la informacin nicamente por personas que cuenten con la debida autorizacin.

Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el nmero de tarjeta de crdito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del nmero de la tarjeta y los datos que contiene la banda magntica durante la transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo alguno, se ha producido una violacin de la confidencialidad.

La prdida de la confidencialidad de la informacin puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene informacin confidencial en la pantalla, cuando se publica informacin privada, cuando un laptop con informacin sensible

12

sobre una empresa es robado, cuando se divulga informacin confidencial a travs del telfono, etc. Todos estos casos pueden constituir una violacin de la confidencialidad.
(Extrado del site: http://www.cypsela.es/especiales/pdf206/confidencialidad.pdf)

2.2.4.

SEGURIDAD INFORMTICA. La seguridad informtica es el rea de la informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta (incluyendo la informacin contenida). Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad informtica comprende software, bases de datos, metadatos, archivos y todo lo que la organizacin valore (activo) y signifique un riesgo si sta llega a manos de otras personas. Este tipo de informacin se conoce como informacin privilegiada o confidencial.

2.2.4.1. OBJETIVOS. La seguridad informtica est concebida para proteger los activos informticos, entre los que se encuentran:

La informacin contenida. Se ha convertido en uno de los elementos ms importantes dentro de una organizacin. La seguridad informtica debe ser administrada segn los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorizacin. De lo contrario la organizacin corre el riesgo de que la informacin sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra funcin de la seguridad informtica en esta rea es la de asegurar el acceso a la informacin en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daos o prdida producto de accidentes, atentados o desastres. La infraestructura computacional. Una parte fundamental para el almacenamiento y gestin de la informacin, as como para el funcionamiento mismo de la organizacin. La funcin de la seguridad informtica en esta rea es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro elctrico y cualquier otro factor que atente contra la infraestructura informtica. Los usuarios. Son las personas que utilizan la estructura tecnolgica, zona de comunicaciones y que gestionan la informacin. La seguridad informtica debe establecer normas que minimicen los riesgos a la informacin o infraestructura

13

informtica. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informtica minimizando el impacto en el desempeo de los funcionarios y de la organizacin en general y como principal contribuyente al uso de programas realizados por programadores. Vulnerabilidad. Una vez que la programacin y el funcionamiento de un dispositivo de almacenamiento (o transmisin) de la informacin se consideran seguras, todava deben ser tenidos en cuenta las circunstancias "no informticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la nica proteccin posible es la redundancia (en el caso de los datos) y la descentralizacin -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones).

2.2.4.2. POSIBLES CAUSAS. El usuario: causa del mayor problema ligado a la seguridad de un sistema informtico (porque no le importa, no se da cuenta o a propsito). Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilcito de los recursos del sistema. Es instalado (por inatencin o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informtico, un gusano informtico, un troyano, una bomba lgica o un programa espa o Spyware. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.). Un siniestro (robo, incendio, inundacin): una mala manipulacin o una malintencin derivan a la prdida del material o de los archivos. El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informtica.

2.2.4.3. AMENAZAS. El hecho de conectar una red a un entorno externo nos da la posibilidad de que algn atacante pueda entrar en ella, con esto, se puede hacer robo de informacin o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco aproximadamente entre 60 y 80 por ciento de los incidentes de red son causados desde adentro de la misma. Basado en esto podemos decir que existen 2 tipos de amenazas:

14

Amenazas internas: Generalmente estas amenazas pueden ser ms serias que las externas por varias razones como son: -Los usuarios conocen la red y saben cmo es su funcionamiento. -Tienen algn nivel de acceso a la red por las mismas necesidades de su trabajo. -Los IPS y Firewalls son mecanismos no efectivos en amenazas internas. Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimiento relacionado con la planeacin de un esquema de seguridad eficiente que proteja los recursos informticos de las actuales amenazas combinadas. El resultado es la violacin de los sistemas, provocando la prdida o modificacin de los datos sensibles de la organizacin, lo que puede representar un dao con valor de miles o millones de dlares.

Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos. (Extrado del libro de Jorge Rami Aguirre, Josep Mara y otros, Seguridad Informatica, v4.1 Libro Electronico.)

2.2.5.

ACCESOS INAPROPIADOS AL SISTEMA. El acceso inapropiado a sistemas, datos e informacin son riesgos que abarcan lo siguiente: Riesgos de segregacin inapropiada de trabajo, Riesgos asociados con la integridad de la informacin de sistemas de bases de datos. Riesgos asociados a la confidencialidad de la informacin. Riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informacin: Administracin de la informacin: El mecanismo provee a los usuarios acceso a la informacin especfica del entorno. Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso inapropiado al entorno de programas e informacin. Redes: En esta rea se refiere al acceso inapropiado al entorno de red y su procesamiento. Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos.

(Artculo extraido del Gran Libro Digital de Seguridad Informtica del Departamento de Seguridad en Cmputo UNAM Lima.)

15

2.3. DEFINICIN DE TRMINOS BSICOS.

2.3.1.

Factor.- elemento o concausa.

2.3.2.

Vulnerabilidad.- en informtica, las vulnerabilidades son puntos dbiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo. Algunas de las vulnerabilidades ms severas permiten que los atacantes ejecuten cdigo arbitrario, denominadas vulnerabilidades de seguridad, en un sistema comprometido.

2.3.3.

Sistema.- en Informtica, un sistema es el conjunto de partes interrelacionadas, hardware, software y de recurso humano (humanware) que permite almacenar y procesar informacin. El hardware incluye computadoras o cualquier tipo de dispositivo electrnico inteligente, que consisten en procesadores, memoria, sistemas de almacenamiento externo, etc. El software incluye al sistema operativo, firmware y aplicaciones, siendo especialmente importante los sistemas de gestin de bases de datos. Por ltimo el soporte humano incluye al personal tcnico que crean y mantienen el sistema (analistas, programadores, operarios, etc.) y a los usuarios que lo utilizan.

2.3.4.

Acceso.- posibilidad de llegar a algo o alguien.

2.3.5.

Riesgo.- es la vulnerabilidad de "sistemas protegidos" ante un posible o potencial perjuicio o dao para la informacin, particularmente, para la empresa. Cuanto mayor es la vulnerabilidad mayor es el riesgo (e inversamente), por tanto, el riesgo se refiere slo a la terica "posibilidad de dao" bajo determinadas circunstancias.

2.3.6.

Amenazas.- en informtica, son todo tipo de elementos que pueden vulnerar los sistemas computacionales de informacin as como lograr daos irreparables sobre ellos, tales amenazas pueden ser los Virus, Gusanos, Troyanos, Adware, Spyware, Rootkits, Exploits, Dialers, Cookies, Phishing, Spam, Redes de bots, Scams, entre otros.

2.3.7.

Acceso Remoto.- accin de manipular a una computadora o sistema desde otra ubicada en lugares diferentes.

2.3.8.

Administrador.- Persona o programa encargado de gestionar, controlar, permitir o denegar permisos de todo un sistema computacional de informacin y/o red de computadoras.

16

2.3.9.

Ancho de Banda.- parmetro que define la cantidad de datos que puede ser enviada en un perodo de tiempo determinado a travs de un canal de comunicacin.

2.3.10. Ataque.- es la materializacin de una amenaza: accin que puede violar los sistemas y mecanismos de seguridad de un sistema de informacin. Estos pueden ser pasivos los cuales nicamente leen los datos transmitidos sin modificarlos, o activos los cuales insertan informacin falsa, eliminan, modifican o corrompen la existente.

2.3.11. Autenticacin.- Proceso en el que se da fe de la veracidad y autenticidad de un producto, de unos datos o de un servicio, as como de la fiabilidad y legitimidad de la empresa que los ofrece.

2.3.12. Autorizacin.- Proceso por el que se acredita a un sujeto o entidad para realizar una accin determinada.

2.3.13. Certificado Digital.- Es la certificacin electrnica que emiten las Autoridades Certificadoras donde constan datos de verificacin de firma a un signatario y confirma su identidad. Entre los datos figuran la fecha de emisin y la fecha de caducidad, la clave pblica y la firma digital del emisor. Los Certificados Digitales siguen las estipulaciones del estndar X.509. Este documento sirve para vincular una clave pblica a una entidad o persona

2.3.14. Control de Accesos.- Se utiliza para restringir el acceso a determinadas reas del PC, de la red, mainframes, Internet, ftp, web, etc. El permiso o la denegacin de acceso puede realizarse en funcin de la direccin IP, el nombre de dominio, nombre de usuario y password, certificados del clientes, protocolos de seguridad de redes, entre otros.

2.3.15. Copia de Seguridad.- Es una copia de todos los datos originales contenidos en redes y PC's que puede ser utilizada en caso de que stos se destruyan por diversas causas.

2.3.16. Cortafuegos.- Un cortafuegos (firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear o denegar el acceso a personas no autorizadas a una pc, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no

17

autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.

2.3.17. Cracker.- Persona que elimina las protecciones lgicas y fsicas de los sistemas para acceder a los mismos sin autorizacin y generalmente con malas intenciones.

2.3.18. Criptoanlisis.- Estudio de un sistema de encriptacin con la intencin de detectar cualquier punto dbil dentro de su algoritmo clave.

2.3.19. Delito Informtico.- Delito cometido utilizando un PC; tambin se entiende por delito informtico cualquier ataque contra un sistema de PC's.

2.3.20. Antivirus.- Programa o aplicacin cuya finalidad es prevenir los virus informticos as como curar los ya existentes en un sistema. Estos programas deben actualizarse peridicamente.

2.3.21. Aplicacin.- Cualquier programa que corra en un sistema operativo y que haga una funcin especfica para un usuario. Por ejemplo, procesadores de palabras, bases de datos, agendas electrnicas, etc.

2.3.22. Archivo.- Archivo (file en ingls), es data que ha sido codificada para ser manipulada por una computadora. Los archivos de computadora pueden ser guardados en CD-ROM, DVD, disco duro o cualquier otro medio de almacenamiento

2.3.23. Fallo.- Bug en ingls, o conocido tambin como error en un programa. Cuando uno de ellos tiene errores, se dice que tiene Bugs. Como los virus son programas, tambin pueden contener bugs. Esto implicara que, si el virus debe realizar determinadas acciones, podra no realizarlas, o

2.3.24. Gestin de Claves.- Proceso para generar, transportar, almacenar y destruir claves de encriptacin de modo seguro.

18

2.3.25. Infeccin.- Accin que realiza un virus al introducirse en un sistema, empleando cualquier mtodo, para poder ejecutar sus acciones dainas y su carga destructiva, o bien simplemente al haber conseguido acceder al mismo.

2.3.26. LAN.- Red informtica que cubre que rea relativamente pequea (generalmente un edificio o grupo de edificios). La mayora conecta puestos de trabajo (Workstation) y PCs. Cada nodo (ordenador individual) tiene su propia CPU y programas pero tambin puede acceder a los datos y dispositivos de otros nodos as como comunicarse con stos (e-mail)... Sus caractersticas son: Topologa en anillo o lineal, Arquitectura punto a punto o cliente/servidor, Conexin por fibra ptica, cable coaxial o entrelazado, ondas de radio.

2.3.27. MAC.- Direccin hardware de 6 bytes (48 bits) nica que identifica nicamente cada nodo (tarjeta) de una red y se representa en notacin hexadecimal. En redes IEEE 802, la capa Data Link Control (DLC) del Modelo de Referencia OSI se divide en dos sub-capas: Logical Link Control (LLC) y Media Access Control (MAC), la cual se conecta directamente con el medio de red. Consecuentemente, cada tipo de medio de red diferente requiere una capa MAC diferente. En redes que no siguen los estndares IEEE 802 pero s el modelo OSI , la direccin del nodo se denomina Data Link control (DLC) address.

2.3.28. Mbps (Megabits por segundo).- Unidad de medida de la capacidad de transmisin por una lnea de telecomunicacin. Cada megabit est formado por 1.048.576 bits.

2.3.29. Phishing.- Tcnica en auge que consiste en atraer mediante engaos a un usuario hacia un sitio web fraudulento donde se le insta a introducir datos privados, generalmente nmeros de tarjetas de crdito, nombres y passwords de las cuentas, nmeros de seguridad social, etc... Uno de los mtodos ms comunes para hacer llegar a la "vctima" a la pgina falsa es a travs de un e-mail que aparenta provenir de un emisor de confianza (banco, entidad financiera u otro) en el que se introduce un enlace a una web en la que el "phiser" ha reemplazado en la barra de direccin del navegador la verdadera URL para que parezca una legal. Una de las consecuencias ms peligrosas de este fraude es que la barra "falsa" queda en memoria an despus de salir de la misma pudiendo hacer un seguimiento de todos los sitios que visitamos posteriormente y tambin el atacante puede observar todo lo que se enva y recibe a travs del navegador hasta que ste sea cerrado. Una manera para el usuario de descubrir el engao es que no se muestra la imagen del candado en la parte inferior del navegador que indica que la navegacin es segura.

19

2.3.30. Proteccin contra copiado.- Mtodo para impedir hacer copias de programas de software. Es una forma de evitar el robo de aplicaciones informticas.

2.3.31. Router.- Dispositivo que transmite paquetes de datos a lo largo de una red. Un router est conectado al menos a dos redes, generalmente dos LANs o WANs o una LAN y la red de un ISP. Los routers emplean cabeceras y tablas de comparacin para determinar el mejor camino para enviar los paquetes a su destino, y emplean protocolos como el ICMP para comunicarse con otros y configurar la mejor ruta entre varios hosts.

2.3.32. Spyware.- Pequeas aplicaciones cuyo fin es el de obtener informacin, sin que el usuario se d cuenta, de tipo comercial. Generalmente se encuentran dentro de aplicaciones gratuitas en Internet.

2.3.33. Sniffers.- Programa y/o dispositivo que monitoriza la circulacin de datos a travs de una red. Los sniffers pueden emplearse tanto con funciones legtimas de gestin de red como para el robo de informacin. Los sniffers no autorizados pueden ser extremadamente peligrosos para la seguridad de una red ya que virtualmente es casi imposible detectarlos y pueden ser emplazados en cualquier lugar, convirtindolos en un arma indispensable de muchos piratas informticos.

2.3.34. Spam.- Tambin conocido como junk-mail o correo basura, consiste en la prctica de enviar indiscriminadamente mensajes de correo electrnico no solicitados que, si bien en muchos casos tienen meramente un fin publicitario, lo que pueden provocar es un aumento de ancho de banda en la red.

2.3.35. Spoofing.- Tcnica basada en la creacin de tramas TCP/IP utilizando una direccin IP falseada; desde su equipo, un atacante simula la identidad de otra mquina de la red (que previamente ha obtenido por diversos mtodos) para conseguir acceso a recursos de un tercer sistema que ha establecido algn tipo de confianza basada en el nombre o la direccin IP del host suplantado. Otros ataques de falseamiento conocidos son: DNS Spoofing: En este caso se falsea una direccin IP ante una consulta de resolucin de nombre (DNS) o viceversa, resolver con un nombre falso una cierta direccin IP. ARP Spoofing: Hace referencia a la construccin de tramas de solicitud y respuesta ARP falseadas, de forma que un determinado equipo de una red local enve los paquetes a un host atacante en lugar de hacerlo a su destino legtimo.

20

Web Spoofing: El pirata puede visualizar y modificar una pgina web (incluso conexiones seguras SSL) solicitada por la vctima. Email Spoofing: Falsifica la cabecera de un e-mail para que parezca que proviene de un remitente legtimo. El principal protocolo de envo de e-mails, SMTP, no incluye opciones de autenticacin, si bien existe una extensin

2.3.36. Texto Codificado.- Se dice que un texto est escrito en ciphertext cuando es necesario decodificarlo para poder leerlo.

2.3.37. Tratamiento de Datos.- Operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

2.3.38. Troyano.- Programa informtico cuya ejecucin tiene unos efectos imprevistos y, generalmente, insospechados para el usuario infectado. No se les puede denominar virus porque no se replican.

2.3.39. Virus.- Programa que est diseado para copiarse a s mismo sin conocimiento del usuario y con la intencin de infectar el sistema operativo y/o aplicaciones, cuyos efectos pueden variar dependiendo de cada virus: mostrar un mensaje, sobrescribir archivos, borrar archivos, enviar informacin confidencial mediante emails a terceros, etc.

2.3.40. VPN - Red Privada Virtual.- Red privada que se configura dentro de una red pblica. Para establecer este tipo de red, la integridad de los datos y la confidencialidad se protegen mediante la autentificacin y el cifrado. Por ejemplo, los datos se pueden transmitir de forma segura entre dos sucursales a travs de Internet o cifrarse entre un servidor y un cliente en una Red de rea local (LAN).

2.3.41. Backup.- Copia de Respaldo o Seguridad. Accin de copiar archivos o datos de forma que estn disponibles en caso de que un fallo produzca la prdida de los originales. Esta sencilla accin evita numerosos, y a veces irremediables, problemas si se realiza de forma habitual y peridica.

2.3.42. Base de datos.- Conjunto de datos que pertenecen al mismo contexto almacenados sistemticamente. En una base de datos, la informacin se organiza en campos y registros. Los datos pueden aparecer en forma de texto, nmeros, grficos, sonido o vdeo.

21

2.3.43. Contrasea.- Cdigo utilizado para accesar un sistema restringido. Pueden contener caracteres alfanumricos e incluso algunos otros smbolos. Se destaca que la contrasea no es visible en la pantalla al momento de ser tecleada con el propsito de que slo pueda ser conocida por el usuario.

2.3.44. Gusano.- Programa informtico que se autoduplica y autopropaga. En contraste con los virus, los gusanos suelen estar especialmente escritos para redes. Los gusanos de redes fueron definidos por primera vez por Shoch & Hupp, de Xerox, en la revista ACM Communications (Marzo 1982).

2.3.45. Hacker.- Persona que tiene un conocimiento profundo acerca del funcionamiento de redes de forma que puede advertir los errores y fallas de seguridad del mismo. Al igual que un cracker busca acceder por diversas vas a los sistemas informticos pero con fines de protagonismo.

2.3.46. Login.- Clave de acceso que se le asigna a un usuario con el propsito de que pueda utilizar los recursos de una computadora. El login define al usuario y lo identifica dentro de Internet junto con la direccin electrnica de la computadora que utiliza.

2.3.47. Malware.- Cualquier programa cuyo objetivo sea causar daos a computadoras, sistemas o redes y, por extensin, a sus usuarios.

2.3.48. Pharming.- Se denomina Pharming al acto de explotar una vulnerabilidad en el software de un servidor de DNS, que permite que una persona se "aduee" del dominio de un website, por ejemplo, y redirija el trfico hacia otro sitio.

2.3.49. Red Inalmbrica.- Red que no utiliza como medio fsico el cableado sino el aire y generalmente utiliza microondas o rayos infrarrojos.

2.3.50. Spoofing.- Procedimiento que cambia la fuente de origen de un conjunto de datos en una red, por ejemplo, adoptando otra identidad de remitente con el fin de engaar a un servidor firewall.

2.3.51. Spyware.- Spyware son unos pequeos programas cuyo objetivo es mandar informacin, generalmente a empresas de mercadeo, del uso de internet, websites visitados, etc. del usuario, por medio del internet. Usualmente estas acciones son llevadas a cabo sin el conocimiento del usuario, y consumen ancho de banda, la computadora se pone lenta, etc.

22

CAPTULO III HIPTESIS Y VARIABLES

3.1. HIPTESIS. La Vulnerabilidad de la Seguridad del SI de la COOPAC - HUANCAVELICA, es a causa de la Deficiente Gestin del Sistema de Informacin de parte del DBA.

3.2.

OPERACIONALIZACIN DE VARIABLES.

VARIABLE

Vulnerabilidad de la Seguridad del SI La complejidad de la seguridad de los sistemas de informacin precisa la

Deficiente Gestin del SI Un sistema de informacin (SI) es un conjunto de elementos orientados al tratamiento y administracin de datos e informacin, organizados y listos para su uso posterior,

preparacin de estrategias que permitan que la informacin circule libremente, garantizando al mismo tiempo la

seguridad del uso de los sistemas de DEFINICIN CONCEPTUAL informacin en toda la Comunidad. A este respecto, la presente Decisin establece un plan de accin en el mbito de la seguridad de los sistemas de informacin y crea un comit encargado de asesorar a la Comisin sobre actuaciones en este mbito.

generados para cubrir una necesidad u objetivo. Dichos elementos

formarn parte de alguna de las siguientes categoras: personas,

datos, actividades o tcnicas de trabajo, general recursos materiales en

(generalmente

recursos

informticos y de comunicacin, aunque no necesariamente).

DEFINICIN OPERACIONAL

Reporte de incidentes en el sistema de Informacin durante el ltimo semestre de este ao 2012.

Reporte

de

Realizacin

de

cuestionario.

23

CAPTULO IV METODOLOGA
4.1. MTODO, TIPO Y NIVEL DE INVESTIGACIN.

4.1.1.

Mtodo. El mtodo utilizado en la Investigacin es el Mtodo Cientfico, l cual es verificable, explicativo y busca alcanzar la verdad fctica mediante la adaptacin de ideas a los hechos utilizando la observacin y la experimentacin. Utilizaremos procesos y tcnicas como la observacin para determinar cada una de las vulnerabilidades que se presentan y afectan al Sistema de Informacin de la COOPAC HUANCAVELICA.

4.1.2.

Tipo. La investigacin es de tipo Bsico porque contribuir a la ampliacin del Conocimiento Cientfico creando nuevas teoras o modificando las ya existentes con respecto a la Seguridad de la Informacin en Sistemas similares al utilizado en la COOPAC HUANCAVELICA de la Ciudad de Huancayo, as como tambin ayudar a realizar una Gestin de

4.1.3.

Nivel. La Investigacin es de Nivel Descriptivo, ya que describiremos paso a paso cada uno de los incidentes encontrados durante la investigacin.

4.2.

DISEO DE LA INVESTIGACIN. El diseo de la Investigacin es No Experimental porque observaremos nuestras variables tal y como se dan en su contexto natural sin manipularlas deliberadamente. Y ser Transversal porque recolectaremos los datos en un momento dado, para describir las variables y analizarlas.

4.3.

POBLACIN Y MUESTRA. 4.3.1. POBLACIN. En la presente Investigacin la Poblacin son todos los trabajadores de la COOPAC HUANCAVELICA, tanto usuarios como administradores.

24

4.3.2.

MUESTRA. En la Investigacin realizada se vio por conveniente que la muestra sea igual que la poblacin porque sta es un nmero reducido.

4.4.

TCNICAS DE RECOLECCIN DE DATOS. En la presente investigacin utilizamos dos tcnicas de recoleccin de datos:

4.4.1.

OBSERVACIN. Utilizaremos sta tcnica para registrar cada incidente que se presente durante el tiempo de ejecucin del proyecto, relacionado con la manipulacin del Sistema de Informacin tanto de los usuarios como de los administradores. As como tambin los efectos y reacciones de cada uno de los clientes si resultaran afectados directamente por tales incidentes como la demora en sus pagos, en la consulta de sus saldos entre otros.

4.4.2.

ENCUESTA. La encuesta constar de 11 preguntas cerradas y ser aplicado a todos los usuarios del Sistema de Informacin tales como los Analistas, Asistentes de Operaciones, Asistentes de Contabilidad y Recuperaciones (cobranzas).

4.4.3.

ENTREVISTA. La entrevista se realizar directamente con el Jefe de Informtica y constar de 7 preguntas cerradas con la cual registraremos el Nivel de Gestin de su rea.

25

CAPTULO V ASPECTOS ADMINISTRATIVOS

5.1. PRESUPUESTO.

PRESUPUESTO GENERAL

DENOMINACIN RECURSOS HUMANOS ASESOR REVISOR DE REDACCION

UNIDAD DE MEDIDA CANTIDAD PRECIO UNITARIO S/.

PRECIO TOTAL S/.

UNIDAD UNIDAD

1 1

S/. 3,000.00 S/. 1,000.00 SUB TOTAL

S/. 3,000.00 S/. 1,000.00 S/. 4,000.00

RECURSOS MATERIALES TONER PAPEL BOND A4 LAPICEROS CD FOLDER RESALTADOR UNIDAD MILLAR UNIDAD UNIDAD UNIDAD UNIDAD 1 1 5 10 5 2 S/. 200.00 S/. 25.00 S/. 0.50 S/. 1.00 S/. 1.00 S/. 2.50 SUB TOTAL EQUIPOS LAPTOP IMPRESORA LASER HP 1102 CMARA FOTOGRAFICA SONY W530 UNIDAD UNIDAD UNIDAD 2 1 2 S/. 2,000.00 S/. 350.00 S/. 550.00 SUB TOTAL VITICOS Y VIAJES ALIMENTACIN PASAJES UNIDAD UNIDAD 2 2 S/. 3,600.00 S/. 960.00 SUB TOTAL OTROS INTERNET MOVIL UNIDAD 2 S/. 1,200.00 SUB TOTAL S/. 2,400.00 S/. 2,400.00 S/. 7,200.00 S/. 1,920.00 S/. 9,120.00 S/. 4,000.00 S/. 350.00 S/. 1,100.00 S/. 5,450.00 S/. 200.00 S/. 25.00 S/. 2.50 S/. 10.00 S/. 5.00 S/. 5.00 S/. 247.50

TOTAL S/. 21,217.50

26

5.2.

CRONOGRAMA.

27

REFERENCIAS BIBLIOGRFICAS

LIBROS: McNab, Chris. Seguridad de Redes. 2da Edicin. Espaa: Ediciones Anaya Multimedia; 2008. Pgs. 439 481. Stolling, Williams. Fundamentos de Seguridad en Redes, Aplicaciones y Estndares. 2da. Edicin. Espaa: Prentice Hall; 2004. Pg. 359-386. Prattini Velthuis, Mario G. Tecnologa y Diseo de Base de Datos. 1ra Edicin. Mxico: AlfaOmega/RA-MA; 2007.

MONOGRAFAS: Alexander, Alberto G. Diseo de un sistema de Gestin de Seguridad de Informacin. 1ra edicin. Mxico: AlfaOmega; 2007. Howard, Michael. 19 Puntos crticos en seguridad de Software fallas ms comunes en programacin. 1ra Edicin. Mxico: McGraw Hill; 2007. Pg. 198-200.

FUENTE TERCIARIA: Nuez, Tailizet y otros. Presentacin de Seguridad Informtica de la Universidad Central de Caracas Venezuela; 2011. 37 diapositivas Valdivia, Carlos. Seguridad Informtica de la Universidad Continental de Ciencias e Ingeniera, Huancayo Per; 2011. 15 diapositivas.

WEB: Oecd.org, OECD Better Policies for Better Lives[Sede Web]. Francia: oecd.org; 2002 - [actualizada al 15 de enero de 2000; acceso 16 de abril de 2012]. Disponible en:

http://www.oecd.org/document/42/0,3746,en_2649_34223_15582250_1_1_1_1,00.html