Académique Documents
Professionnel Documents
Culture Documents
(KFF SOFTWARE)
PRESENTADO
POR:
FELIX MERIÑO MENDOZA
FREDDY MARQUEZ RUDIÑO
DIANA KAROLINA ROJAS CORTES
INFORMACION
2018
1. SEGMENTACIÓN DE PROCESOS, PERFILES Y ROLES:
“Hoy en día la interconexión entre redes es más común de lo que parece, desde una simple
conexión a internet, ya estamos sumergidos en un sin fin de conexiones, de las que muchas
veces como usuarios ni nos damos cuenta de todo lo que acontece detrás de un simple
cable de red.
Precisamente para mantener un orden detrás de ese cable existe algo que permite la
comunicación entre redes, que permite una mejor distribución de todos los datos que por
allí viajan, permite un mejor manejo del ancho de banda utilizado por cada usuario en la
red, a esa distribución la llamamos Segmentación de Redes.”
La segmentación de red puede ser compleja, pero los fundamentos son sencillos. En pocas
palabras, es el proceso de agrupar lógicamente activos de red, recursos y aplicaciones,
junto a las zonas compartimentadas que no tienen relaciones de confianza entre sí.
Al tratar de introducir segmentación de la red hay que tener en cuenta algunos requisitos
clave:
De ahí que la gestión adecuada de los accesos a los sistemas y recursos de información
en general es parte fundamental para asegurar la confidencialidad de la información.
Nuestra metodología va a ser refinada y constantemente actualizada para guiar en la
construcción de procedimientos claros que abarquen completamente el ciclo de vida de los
perfiles, usuarios y privilegios de acceso a los activos de Información.
El servicio de consultoría para la gestión de acceso a los sistemas de información le
permitirá administrar los privilegios de acuerdo a estándares y normativas , además de
ayudarle a aplicar los principios del menor privilegio y la necesidad de conocer, básicos en
el control de permisos sobre activos de información.
2. MECANISMO DE AUTENTICACIÓN A IMPLEMENTAR EN EL SISTEMA
En nuestro sistema se tendrán en cuenta los siguiente:
USO DE CONTRASEÑA
Una contraseña o clave (en inglés password) es una forma de autentificación que utiliza
información secreta para controlar el acceso hacia algún recurso. La contraseña
normalmente debe mantenerse en secreto ante aquellos a quien no se les permite el
acceso. Aquellos que desean acceder a la información se les solicita una clave; si conocen
o no conocen la contraseña, se concede o se niega el acceso a la información según sea
el caso.
El uso de contraseñas se remonta a la antigüedad: los centinelas que vigilaban una posición
solicitaban el «santo y seña» al que quisiera pasar. Solamente le permiten el acceso a
aquella persona que conoce la seña. En la era tecnológica, las contraseñas son usadas
comúnmente para controlar el acceso a sistemas operativos de computadoras protegidas,
teléfonos celulares, decodificadores de TV por cable, cajeros automáticos de efectivo, etc.
Un típico ordenador puede hacer uso de contraseñas para diferentes propósitos, incluyendo
conexiones a cuentas de usuario, accediendo al correo electrónico (e-mail) de los
servidores, accediendo a bases de datos, redes, y páginas Web, e incluso para leer noticias
en los periódicos (diarios) electrónicos.
En la lengua inglesa se tienen dos denominaciones distintivas para las contraseñas:
password (palabra de acceso) y pass code (código de acceso), donde la primera no implica
necesariamente usar alguna palabra existente (sin embargo, es normal emplear alguna
palabra familiar o de fácil memorización por parte del usuario), la primera suele asociarse
también al uso de códigos alfanuméricos (también llamado PIT - Personal Identification
Text), mientras que la segunda frecuentemente se liga a la utilización de algún código
numérico (asimismo llamado PIN - Personal Identification Number). Esto ocurre igualmente
en el habla española, ya que en ocasiones clave y contraseña se usan indistintamente.
PROTOCOLOS UTILIZADOS
Los protocolos de autenticación se negocian inmediatamente después de determinar la
calidad del vínculo y antes de negociar el nivel de red.
Algunos protocolos de autentificación son:
* PAP: Protocolo de autentificación de contraseña
* CHAP: Protocolo de autentificación por desafío mutuo
* SPAP: Protocolo de autentificación de contraseña de Shiva
* MS-CHAP y MS-CHAP v2: Protocolo de autentificación por desafío mutuo de Microsoft
(variantes de CHAP)
* EAP: Protocolo de autentificación extensible
* Diameter
* Kerberos
* NTLM (también conocido como NT LAN Manager)
* PEAP: P protocoló de autenticación extensible protegido
* RADIUS
* TACACS y TACACS+
algoritmo de cifrado simétrico es una fórmula matemática que convierte el texto plano en
una forma ininteligible, cifrada, y conocida como texto cifrado. La variable, o clave de
cifrado, que se utiliza para conducir un algoritmo de cifrado simétrico es derivado de la
contraseña dada cuando los datos están cifrados, y una clave única compartida es utilizada
para cifrar y descifrar los datos. Existen varios tipos diferentes de algoritmos de cifrado
simétricos y su fuerza depende, en gran parte, de la longitud, en bits (0 y 1), de su clave de
cifrado.
DES (DATA ENCRYPTION STANDARD)
DES es un algoritmo de cifrado escogido como un estándar FIPS en los Estados Unidos en
1976, y cuyo uso se ha propagado ampliamente por todo el mundo. Actualmente DES se
considera un algoritmo inseguro, y no debe utilizarse.
DES es un algoritmo de cifrado por bloques, donde se toma un texto en claro de longitud
fija de bits y se transforma mediante una serie de operaciones en otro texto cifrado de la
misma longitud. El tamaño del bloque de DES es de 64 bits, y la longitud de clave también
es de 64 bits, aunque en realidad solo son 56 bits los que pertenecen a la clave ya que los
otros 8 bits son de comprobación de paridad, y se descartan.
Actualmente este algoritmo está completamente roto, y no se recomienda su uso.
Ventajas:
• Es uno de los sistemas más empleados y extendidos, por tanto es de los más
probados, pero no es seguro.
• Implementación sencilla e implementación rápida.
Inconvenientes:
Se basa en aplicar el algoritmo DES tres veces, dependiendo de las claves que utilicemos,
puede tener una longitud de clave de 168 bits (útiles) si las tres claves son diferentes, o de
112 bits si únicamente utilizamos dos claves diferentes.
Existe una variante del 3DES, conocida como DES-EDE3, con tres claves diferentes y una
longitud de 192bits, consiguiendo un sistema mucho más robusto. El cifrado por bloques
sigue siendo de 64 bits, como el DES original.
El Triple DES está desapareciendo lentamente, siendo reemplazado por el algoritmo AES,
pero aún se sigue utilizando sobre todo en VPN de tipo IPsec.
RC5
Este algoritmo también cifra por bloques, tiene un tamaño variable de bloques, pudiendo
ser de 32, 64 o 128 bits. Permite diferentes longitudes de clave (hasta 2040 bits), y un
número variable de iteraciones de hasta 255 (la seguridad del cifrado aumenta
exponencialmente cuanto mayor número de iteraciones).
IDEA (International Data Encryption Algorithm)
Aplica una clave de 128 bits sin paridad a bloques de datos de 64 bits, y se usa tanto para
cifrar como para descifrar. La seguridad de este algoritmo deriva del intercalado de
operaciones de distintos grupos, adición y multiplicación modular, y operadores XOR bit a
bit.
Este algoritmo es mucho más robusto que DES, según numerosos expertos criptográficos,
IDEA es el mejor algoritmo de cifrado de datos existente en la actualidad ya que existen 2¹²⁸
claves privadas que probar mediante el ataque de fuerza bruta.
AES (Advanced Encryption Standard)
Este algoritmo es el más conocido entre los usuarios de routers, ya que WPA opera con
AES como método de cifrado. Este cifrado puede implementar tanto en sistemas hardware
como en software. El sistema criptográfico AES opera con bloques de tamaño fijo de 128
bits y claves de longitudes variable, hay AES de 128bits, de 192 bits y de 256 bits.
El resultado intermedio del cifrado constituye una matriz de bytes de cuatro filas por cuatro
columnas. A esta matriz se le vuelve a aplicar una serie de bucles de cifrado basado en
operaciones matemáticas (sustituciones no lineales de bytes, desplazamiento de filas de la
matriz, combinaciones de las columnas mediante multiplicaciones lógicas y sumas XOR en
base a claves intermedias).
Seguridad de AES:
AES tiene 10 rondas para llaves de 128 bits, 12 rondas para llaves de 192 bits y 14 rondas
para llaves de 256 bits. En el año 2006, los mejores ataques conocidos fueron el 7 rondas
para claves de 128 bits, 8 rondas para llaves de 192 bits, y 9 rondas para claves de 256
bits. Algunos criptógrafos muestran preocupación sobre la seguridad del AES. Ellos creen
que el margen entre el número de rondas especificado en el cifrador y los mejores ataques
conocidos es muy pequeño.
• En las páginas Web ASP.NET, filtre la entrada de los usuarios para comprobar si
existen etiquetas HTML, que pueden contener un script. Para obtener información
detallada, vea Cómo: Proteger una aplicación Web frente a ataques mediante
secuencias de comandos aplicando codificación HTML a las cadenas.
• Nunca repita (muestre) entrada de los usuarios sin filtrar. Antes de mostrar
información que no sea de confianza, codifique los elementos HTML para convertir
cualquier script potencialmente peligroso en cadenas visibles, pero no ejecutables.
• No almacene nunca información proporcionada por el usuario sin filtrar en una
base de datos.
• Si desea aceptar algún elemento de código HTML de un usuario, fíltrelo
manualmente. En el filtro, defina explícitamente lo que aceptará. No cree un
filtro que intente eliminar cualquier entrada malintencionada, ya que es muy difícil de
anticipar todas las posibilidades
• Use el sistema de seguridad inherente de la base de datos para limitar quién puede
tener acceso a los recursos de dicha base. La estrategia exacta dependerá de la
base de datos y de la aplicación:
• Si resulta viable en la aplicación, use la seguridad integrada de forma que sólo los
usuarios autenticados mediante Windows puedan tener acceso a la base de datos.
La seguridad integrada es más segura que pasar las credenciales explícitas a la
base de datos.
• Si la aplicación utiliza el acceso anónimo, cree un único usuario con permisos muy
limitados, y haga que las consultas se ejecuten conectándose como dicho usuario.
• No cree instrucciones SQL concatenando cadenas que contengan información
aportada por los usuarios. En su lugar, cree una consulta parame rizada y use la
entrada del usuario para establecer los valores de los parámetros.
• Si debe almacenar un nombre de usuario y su contraseña en algún lugar para
utilizarlos como las credenciales de inicio de sesión de la base de datos,
almacénelos en el archivo Web.config y asegure el archivo con configuración
protegida. Para obtener información detallada, vea Cifrar información de
configuración mediante una configuración protegida. Crear mensajes de error
seguros Si no se es cuidadoso, un usuario malintencionado puede deducir
información importante sobre la aplicación a partir de los mensajes de error que ésta
muestra. Siga estas instrucciones:
• No escriba mensajes de error que presenten información que pudiera resultar útil a
los usuarios malintencionados, como un nombre de usuario.
• Configure la aplicación para que no muestre errores detallados a los
usuarios. Si desea mostrar mensajes de error detallados para la depuración, determine
primero si quien los recibirá es un usuario local con
respecto al servidor Web. Para obtener información detallada, vea Cómo: Mostrar mensajes
de error seguros.
Al plantearse los cambios deberá estar apta para identificar los conflictos y el impacto de
dichos cambios, con el fin de enfrentarlos y solventarlos, planteando soluciones que se
ajusten a las necesidades de cambio.
El control del talento humano es estudiado como la última etapa del proceso de gerencia y
es tan importante como las demás etapas, ya que permite detectar las fallas, así como
establecer los mecanismos para su corrección, generando un proceso de retroalimentación
constante.
El control de los Recursos Humanos es la evaluación de la efectividad en la implantación y
ejecución de todos los programas de personal, y del cumplimiento de los objetivos de este
departamento.
También en éste punto se realiza el inventario de recursos humanos, del que obtenemos la
cuantificación y registro de habilidades, experiencias, características y conocimientos de
cada uno de los integrantes de la empresa.
Base de datos
Son elementos que sirven de base para resolver los problemas o para la formación del
juicio. Un dato es solo un índice, una manifestación objetiva posible de ser analizada
subjetivamente, es decir exige la interpretación del individuo para poder ser manejada.
-Procesamiento de Datos:
Es la actividad que consiste en acumular, agrupar y cruzar datos para transformarlos en
información, o para tener otra información (las mismas informaciones) bajo otra forma, para
alcanzar alguna finalidad u objetivo.
El procesamiento de datos
manual: es cuando se efectúa de una manera manual, utilizando fichas, talonarios, mapas,
etc. con o sin ayuda de máquinas de escribir, de computadoras o de cualquier otro aparato
recolector de información.
CONTROL
El proceso de control contribuye a asegurar que se alcancen los objetivos en los plazos
establecidos y con los recursos planeados, proporcionando a la empresa la medida de la
desviación que los resultados puedan tener respecto a lo planeado. Dicho proceso de
control consta de cuatro pasos básicos:
• Determinar si existe alguna variación de los niveles medios reales respecto a los
establecidos.
Con el paso de los años se han desarrollado mejores métodos de control, dirección y
administración de las empresas. Algunas de las herramientas que están utilizando las
empresas para mejorar su desempeño son:
Estas dos herramientas contienen una fuerte orientación hacia los procesos. Ello implica la
búsqueda por:
www.redeszone.net/2010/11/04/criptografia-algoritmos-de-cifrado-de-clave-simetrica/
seguridadensistemascomputacionales.zonalibre.org/Sistemas%20de%20Autenticación.pd
http://www.monografias.com/trabajos100/control-recursos-humanos/control-recursos-
humanos.shtml#ixzz5CViaFTTs
http://www.monografias.com/trabajos100/control-recursos-humanos/control-recursos-
humanos.shtml