AP4-AA4-EV1-MECANISMOS DE CONTROL Y SEGURIDAD

SISTEMA DE ALMACENAMIENTO Y CONTROL DE LA INFORMACIÓN DE

LAS ACTIVIDADES PROFESIONALES DE LOS ABOGADOS

(KFF SOFTWARE)

PRESENTADO
POR:
FELIX MERIÑO MENDOZA
FREDDY MARQUEZ RUDIÑO
DIANA KAROLINA ROJAS CORTES

SERVICIO NACIONAL DE APRENDIZAJE (SENA)

TECNOLOGÍA EN ANÁLISIS Y DESARROLLO DE SISTEMAS DE

INFORMACION

2018
1. SEGMENTACIÓN DE PROCESOS, PERFILES Y ROLES:
“Hoy en día la interconexión entre redes es más común de lo que parece, desde una simple
conexión a internet, ya estamos sumergidos en un sin fin de conexiones, de las que muchas
veces como usuarios ni nos damos cuenta de todo lo que acontece detrás de un simple
cable de red.
Precisamente para mantener un orden detrás de ese cable existe algo que permite la
comunicación entre redes, que permite una mejor distribución de todos los datos que por
allí viajan, permite un mejor manejo del ancho de banda utilizado por cada usuario en la
red, a esa distribución la llamamos Segmentación de Redes.”

La segmentación de red puede ser compleja, pero los fundamentos son sencillos. En pocas
palabras, es el proceso de agrupar lógicamente activos de red, recursos y aplicaciones,
junto a las zonas compartimentadas que no tienen relaciones de confianza entre sí.

Al tratar de introducir segmentación de la red hay que tener en cuenta algunos requisitos
clave:

• Obtener visibilidad del tráfico, los usuarios y los activos

• Proteger las comunicaciones y recursos en ambas solicitudes, entrantes y salientes

• Implementar controles granulares de tráfico, los usuarios y los activos

• Establecer una política de denegación predeterminada en todas las conexiones entre

segmentos

De ahí que la gestión adecuada de los accesos a los sistemas y recursos de información
en general es parte fundamental para asegurar la confidencialidad de la información.
Nuestra metodología va a ser refinada y constantemente actualizada para guiar en la
construcción de procedimientos claros que abarquen completamente el ciclo de vida de los
perfiles, usuarios y privilegios de acceso a los activos de Información.
El servicio de consultoría para la gestión de acceso a los sistemas de información le
permitirá administrar los privilegios de acuerdo a estándares y normativas , además de
ayudarle a aplicar los principios del menor privilegio y la necesidad de conocer, básicos en
el control de permisos sobre activos de información.
2. MECANISMO DE AUTENTICACIÓN A IMPLEMENTAR EN EL SISTEMA
En nuestro sistema se tendrán en cuenta los siguiente:

USO DE CONTRASEÑA
Una contraseña o clave (en inglés password) es una forma de autentificación que utiliza
información secreta para controlar el acceso hacia algún recurso. La contraseña
normalmente debe mantenerse en secreto ante aquellos a quien no se les permite el
acceso. Aquellos que desean acceder a la información se les solicita una clave; si conocen
o no conocen la contraseña, se concede o se niega el acceso a la información según sea
el caso.
El uso de contraseñas se remonta a la antigüedad: los centinelas que vigilaban una posición
solicitaban el «santo y seña» al que quisiera pasar. Solamente le permiten el acceso a
aquella persona que conoce la seña. En la era tecnológica, las contraseñas son usadas
comúnmente para controlar el acceso a sistemas operativos de computadoras protegidas,
teléfonos celulares, decodificadores de TV por cable, cajeros automáticos de efectivo, etc.
Un típico ordenador puede hacer uso de contraseñas para diferentes propósitos, incluyendo
conexiones a cuentas de usuario, accediendo al correo electrónico (e-mail) de los
servidores, accediendo a bases de datos, redes, y páginas Web, e incluso para leer noticias
en los periódicos (diarios) electrónicos.
En la lengua inglesa se tienen dos denominaciones distintivas para las contraseñas:
password (palabra de acceso) y pass code (código de acceso), donde la primera no implica
necesariamente usar alguna palabra existente (sin embargo, es normal emplear alguna
palabra familiar o de fácil memorización por parte del usuario), la primera suele asociarse
también al uso de códigos alfanuméricos (también llamado PIT - Personal Identification
Text), mientras que la segunda frecuentemente se liga a la utilización de algún código
numérico (asimismo llamado PIN - Personal Identification Number). Esto ocurre igualmente
en el habla española, ya que en ocasiones clave y contraseña se usan indistintamente.

POSIBILIDAD DE QUE ALGÚN ATACANTE PUEDA ADIVINAR O INVENTAR

LA CONTRASEÑA
La posibilidad de que algún atacante pueda proporcionar una contraseña que
adivinó es un factor clave al determinar la seguridad de un sistema. Algunos
sistemas imponen un límite de tiempo después de que sucede un pequeño número
de intentos fallidos de proporcionar la clave. Al no tener otras vulnerabilidades, estos
sistemas pueden estar relativamente seguros con simples contraseñas, mientras
estas no sean fácilmente deducibles, al no asignar datos fácilmente conocidos como
nombres de familiares o de mascotas, el número de matrícula del automóvil o
contraseñas sencillas como "administrador" o "1234". Otros sistemas almacenan o
transmiten una pista a modo de sugerencia de recordatorio de la contraseña, de
manera que la propia pista puede ser fundamental para el acceso de algún atacante.
Cuando esto ocurre, (y suele ser común), el atacante intentará suministrar
contraseñas frecuentemente en una alta proporción, quizás utilizando listas
extensamente conocidas de contraseñas comunes. También están sujetas a un alto
grado de vulnerabilidad aquellas contraseñas que se usan para generar claves
criptográficas, por ejemplo, cifrado de discos, o seguridad wi-fi, por lo tanto, son
necesarias contraseñas más inaccesibles en estos casos. Formas de almacenar
contraseñas.

PROTOCOLOS UTILIZADOS
Los protocolos de autenticación se negocian inmediatamente después de determinar la
calidad del vínculo y antes de negociar el nivel de red.
Algunos protocolos de autentificación son:
* PAP: Protocolo de autentificación de contraseña
* CHAP: Protocolo de autentificación por desafío mutuo
* SPAP: Protocolo de autentificación de contraseña de Shiva
* MS-CHAP y MS-CHAP v2: Protocolo de autentificación por desafío mutuo de Microsoft
(variantes de CHAP)
* EAP: Protocolo de autentificación extensible
* Diameter
* Kerberos
* NTLM (también conocido como NT LAN Manager)
* PEAP: P protocoló de autenticación extensible protegido
* RADIUS
* TACACS y TACACS+

3. CIFRADOS DE DATOS: TIPOS DE ALGORITMOS A IMPLEMENTAR

algoritmo de cifrado simétrico es una fórmula matemática que convierte el texto plano en
una forma ininteligible, cifrada, y conocida como texto cifrado. La variable, o clave de
cifrado, que se utiliza para conducir un algoritmo de cifrado simétrico es derivado de la
contraseña dada cuando los datos están cifrados, y una clave única compartida es utilizada
para cifrar y descifrar los datos. Existen varios tipos diferentes de algoritmos de cifrado
simétricos y su fuerza depende, en gran parte, de la longitud, en bits (0 y 1), de su clave de
cifrado.
DES (DATA ENCRYPTION STANDARD)

DES es un algoritmo de cifrado escogido como un estándar FIPS en los Estados Unidos en
1976, y cuyo uso se ha propagado ampliamente por todo el mundo. Actualmente DES se
considera un algoritmo inseguro, y no debe utilizarse.
DES es un algoritmo de cifrado por bloques, donde se toma un texto en claro de longitud
fija de bits y se transforma mediante una serie de operaciones en otro texto cifrado de la
misma longitud. El tamaño del bloque de DES es de 64 bits, y la longitud de clave también
es de 64 bits, aunque en realidad solo son 56 bits los que pertenecen a la clave ya que los
otros 8 bits son de comprobación de paridad, y se descartan.
Actualmente este algoritmo está completamente roto, y no se recomienda su uso.
Ventajas:

• Es uno de los sistemas más empleados y extendidos, por tanto es de los más
probados, pero no es seguro.
• Implementación sencilla e implementación rápida.

Inconvenientes:

• No se permite una clave de longitud variable, es decir, no se puede aumentar para

tener una mayor seguridad.
• Es vulnerable al criptoanálisis diferencial, aunque solo es un ataque teórico.
• La longitud de clave de 56 bits es demasiado corta, y por tanto vulnerable.
Actualmente DES ya no es un estándar, debido a que en 1999 fue roto.

3DES (Triple Data Encryption Standard)

Se basa en aplicar el algoritmo DES tres veces, dependiendo de las claves que utilicemos,
puede tener una longitud de clave de 168 bits (útiles) si las tres claves son diferentes, o de
112 bits si únicamente utilizamos dos claves diferentes.
Existe una variante del 3DES, conocida como DES-EDE3, con tres claves diferentes y una
longitud de 192bits, consiguiendo un sistema mucho más robusto. El cifrado por bloques
sigue siendo de 64 bits, como el DES original.
El Triple DES está desapareciendo lentamente, siendo reemplazado por el algoritmo AES,
pero aún se sigue utilizando sobre todo en VPN de tipo IPsec.
RC5

Este algoritmo también cifra por bloques, tiene un tamaño variable de bloques, pudiendo
ser de 32, 64 o 128 bits. Permite diferentes longitudes de clave (hasta 2040 bits), y un
número variable de iteraciones de hasta 255 (la seguridad del cifrado aumenta
exponencialmente cuanto mayor número de iteraciones).
IDEA (International Data Encryption Algorithm)

Aplica una clave de 128 bits sin paridad a bloques de datos de 64 bits, y se usa tanto para
cifrar como para descifrar. La seguridad de este algoritmo deriva del intercalado de
operaciones de distintos grupos, adición y multiplicación modular, y operadores XOR bit a
bit.
Este algoritmo es mucho más robusto que DES, según numerosos expertos criptográficos,
IDEA es el mejor algoritmo de cifrado de datos existente en la actualidad ya que existen 2¹²⁸
claves privadas que probar mediante el ataque de fuerza bruta.
AES (Advanced Encryption Standard)

Este algoritmo es el más conocido entre los usuarios de routers, ya que WPA opera con
AES como método de cifrado. Este cifrado puede implementar tanto en sistemas hardware
como en software. El sistema criptográfico AES opera con bloques de tamaño fijo de 128
bits y claves de longitudes variable, hay AES de 128bits, de 192 bits y de 256 bits.
El resultado intermedio del cifrado constituye una matriz de bytes de cuatro filas por cuatro
columnas. A esta matriz se le vuelve a aplicar una serie de bucles de cifrado basado en
operaciones matemáticas (sustituciones no lineales de bytes, desplazamiento de filas de la
matriz, combinaciones de las columnas mediante multiplicaciones lógicas y sumas XOR en
base a claves intermedias).

Seguridad de AES:
AES tiene 10 rondas para llaves de 128 bits, 12 rondas para llaves de 192 bits y 14 rondas
para llaves de 256 bits. En el año 2006, los mejores ataques conocidos fueron el 7 rondas
para claves de 128 bits, 8 rondas para llaves de 192 bits, y 9 rondas para claves de 256
bits. Algunos criptógrafos muestran preocupación sobre la seguridad del AES. Ellos creen
que el margen entre el número de rondas especificado en el cifrador y los mejores ataques
conocidos es muy pequeño.

4.PROCEDIMIENTOS ADICIONALES DE SEGURIDAD A IMPLEMENTAR

IMPLEMENTAR
El tema de la creación de una aplicación Web segura es muy amplio ya que requiere realizar
un estudio para comprender los puntos vulnerables de la seguridad.
Protegerse contra entradas malintencionadas Como regla general, nunca se debe dar por
sentado que la entrada proveniente de los usuarios es segura. A los usuarios
malintencionados les resulta fácil enviar información potencialmente peligrosa desde el
cliente a la aplicación. Para protegerse contra las entradas malintencionadas, siga estas
instrucciones:

• En las páginas Web ASP.NET, filtre la entrada de los usuarios para comprobar si
existen etiquetas HTML, que pueden contener un script. Para obtener información
detallada, vea Cómo: Proteger una aplicación Web frente a ataques mediante
secuencias de comandos aplicando codificación HTML a las cadenas.
• Nunca repita (muestre) entrada de los usuarios sin filtrar. Antes de mostrar
información que no sea de confianza, codifique los elementos HTML para convertir
cualquier script potencialmente peligroso en cadenas visibles, pero no ejecutables.
 • No almacene nunca información proporcionada por el usuario sin filtrar en una
base de datos.
• Si desea aceptar algún elemento de código HTML de un usuario, fíltrelo
manualmente. En el filtro, defina explícitamente lo que aceptará. No cree un
filtro que intente eliminar cualquier entrada malintencionada, ya que es muy difícil de
anticipar todas las posibilidades

• No dé por sentado que la información obtenida del encabezado de solicitud HTTP

(en el objeto HttpRequest) es segura. Proteja las cadenas de consulta, cookies, etc.
Tenga en cuenta que la información que el explorador envía al servidor (información
del agente de usuario) puede ser suplantada, en caso de que resulte importante
para la aplicación en cuestión. Si es posible, no almacene información confidencial
en un lugar accesible desde el explorador, como campos ocultos o cookies. Por
ejemplo, no almacene una contraseña en una cookie.
Tener acceso seguro a bases de datos Normalmente, las bases de datos tienen sus propios
sistemas de seguridad. Un aspecto importante de una aplicación Web protegida es diseñar
un modo de que ésta pueda tener acceso a la base de datos de forma segura. Siga estas
instrucciones:

• Use el sistema de seguridad inherente de la base de datos para limitar quién puede
tener acceso a los recursos de dicha base. La estrategia exacta dependerá de la
base de datos y de la aplicación:
• Si resulta viable en la aplicación, use la seguridad integrada de forma que sólo los
usuarios autenticados mediante Windows puedan tener acceso a la base de datos.
La seguridad integrada es más segura que pasar las credenciales explícitas a la
base de datos.
• Si la aplicación utiliza el acceso anónimo, cree un único usuario con permisos muy
limitados, y haga que las consultas se ejecuten conectándose como dicho usuario.
• No cree instrucciones SQL concatenando cadenas que contengan información
aportada por los usuarios. En su lugar, cree una consulta parame rizada y use la
entrada del usuario para establecer los valores de los parámetros.
• Si debe almacenar un nombre de usuario y su contraseña en algún lugar para
utilizarlos como las credenciales de inicio de sesión de la base de datos,
almacénelos en el archivo Web.config y asegure el archivo con configuración
protegida. Para obtener información detallada, vea Cifrar información de
configuración mediante una configuración protegida. Crear mensajes de error
seguros Si no se es cuidadoso, un usuario malintencionado puede deducir
información importante sobre la aplicación a partir de los mensajes de error que ésta
muestra. Siga estas instrucciones:
• No escriba mensajes de error que presenten información que pudiera resultar útil a
los usuarios malintencionados, como un nombre de usuario.
• Configure la aplicación para que no muestre errores detallados a los
usuarios. Si desea mostrar mensajes de error detallados para la depuración, determine
primero si quien los recibirá es un usuario local con
respecto al servidor Web. Para obtener información detallada, vea Cómo: Mostrar mensajes
de error seguros.

• Utilice el elemento de configuración customErrors para controlar quién ve las

excepciones desde el servidor.
• Cree un sistema de administración de errores personalizado para las situaciones
que sean propensas a los errores, como el acceso a las bases de datos. Para
obtener más información, vea Control de errores en aplicaciones y páginas
ASP.NET. Mantener segura la información confidencial Información confidencial
es toda aquella información que se desea conservar privada. Un ejemplo de
información confidencial es una contraseña o una clave cifrada. Si un usuario
malintencionado consigue llegar a la información confidencial, los datos protegidos
se verán expuestos. Siga estas instrucciones:
• Si la aplicación transmite información confidencial entre el explorador y el servidor,
plantéese utilizar el protocolo SSL (Secure Sockets Layer). Para obtener detalles
sobre cómo asegurar un sitio con SSL, vea el artículo Q307267 en inglés, "HOW
TO: Secure XML Web Services with Secure Socket Layer in Windows 2000" en
Microsoft Knowledge Base en el sitio http://support.microsoft.com.
• Utilice configuración protegida para proteger la información confidencial en
archivos de configuración como los archivos Web.config o Machine.config. Para
obtener más información, vea Cifrar información de configuración mediante una
configuración protegida.
• Si debe almacenar información confidencial, no lo haga en una página Web, ni
siquiera en un formato que piense que la gente no podrá verlo (por ejemplo, código
del servidor).
• Utilice los algoritmos de cifrado de alta seguridad proporcionados en el espacio de
nombres System.Security.Cryptography.

CONTROL DE RECURSOS HUMANOS

Se entiende que la gerencia de recursos humanos es el motor centra que basándose en un
conocimiento integral genere las oportunas respuestas. Para llevar a efecto sus acciones,
su herramienta principal es la información que se traduce en base de datos, confiable que
contemple la permanente actualización y programación de la misma.

Al plantearse los cambios deberá estar apta para identificar los conflictos y el impacto de
dichos cambios, con el fin de enfrentarlos y solventarlos, planteando soluciones que se
ajusten a las necesidades de cambio.

El control del talento humano es estudiado como la última etapa del proceso de gerencia y
es tan importante como las demás etapas, ya que permite detectar las fallas, así como
establecer los mecanismos para su corrección, generando un proceso de retroalimentación
constante.
El control de los Recursos Humanos es la evaluación de la efectividad en la implantación y
ejecución de todos los programas de personal, y del cumplimiento de los objetivos de este
departamento.

Se logra a través de las siguientes actividades:

Auditoria de recursos humanos.- En cualquier función que se desarrolla en una
empresa existen ciertas deficiencias, es por ello que mediante la auditoria de recursos
humanos se evalúan y analizan tales deficiencia, para recabar ésta información es
necesario realizar entrevistas y cuestionarios.

También en éste punto se realiza el inventario de recursos humanos, del que obtenemos la
cuantificación y registro de habilidades, experiencias, características y conocimientos de
cada uno de los integrantes de la empresa.

Evaluación de la actuación.- Mediante ésta, evaluaremos la efectividad de los

trabajadores de la organización, se lleva a cabo mediante estándares de evaluación en los
que intervienen factores como rotación, ausentismo, pérdidas por desperdicio, quejas de
consumidores, reclamación de los clientes, entre otros. Los factores antes mencionados
sirven para llevar a cabo acciones correctivas y recompensas.

Evaluación de reclutamiento y selección. - Se concentra en evaluar lo efectivo que son

los programas y procedimientos concernientes al área de personal, analizando ciertos
aspectos como efectividad en el proceso de selección, eficiencia del personal contratado,
así como su rápida integración a los objetivos de la empresa, las causas que provocan las
renuncias y despidos de los trabajadores.

Base de datos
Son elementos que sirven de base para resolver los problemas o para la formación del
juicio. Un dato es solo un índice, una manifestación objetiva posible de ser analizada
subjetivamente, es decir exige la interpretación del individuo para poder ser manejada.
-Procesamiento de Datos:
Es la actividad que consiste en acumular, agrupar y cruzar datos para transformarlos en
información, o para tener otra información (las mismas informaciones) bajo otra forma, para
alcanzar alguna finalidad u objetivo.

El procesamiento de datos
manual: es cuando se efectúa de una manera manual, utilizando fichas, talonarios, mapas,
etc. con o sin ayuda de máquinas de escribir, de computadoras o de cualquier otro aparato
recolector de información.

semiautomático: es cuando presenta características del procesamiento manual unidas a

las características del proceso automático, es decir, cuando se utilizan máquinas
de contabilidad en las cuales el operador introduce fichas, talonarios o información uno tras
otro (lo que constituye el procesamiento manual) y, después de recibir la ficha y los datos
iniciales, la maquina realiza numerosas operaciones consecutivas ya programadas, sin la
intervención del operador (lo que constituye el procesamiento automático).

automático: es cuando la maquina está programada para que realice determinado

conjunto de operaciones, desarrolla la secuencia sin que haya la necesidad de intervención
humana entre un ciclo y los siguientes. por lo general este ciclo es realizado por medio de
las computadoras.

CONTROL
El proceso de control contribuye a asegurar que se alcancen los objetivos en los plazos
establecidos y con los recursos planeados, proporcionando a la empresa la medida de la
desviación que los resultados puedan tener respecto a lo planeado. Dicho proceso de
control consta de cuatro pasos básicos:

• Señalar niveles medios de cumplimiento; establecer niveles aceptables

de producción de los trabajadores, tales como cuotas mensuales
de producción para los operarios y ventas para los vendedores.
• Verificar el desempeño a intervalos regulares (día, semana, mes).

• Determinar si existe alguna variación de los niveles medios reales respecto a los
establecidos.

• Si existiera una variación, tomar medidas correctivas, tales como un entrenamiento

o mayor instrucción. Si no existe ninguna variación, continuar con la actividad.

Las actividades básicas que comprende el proceso de control son:

• Establecimiento de indicadores y estándares de control (ventas,

costos, productividad, competitividad, calidad); medir y juzgar lo que se ha realizado
(análisis de datos estadísticos, informes contables, informes de producción);
comparar lo realizado contra lo planeado para definir si existen diferencias
(evaluación del funcionamiento, inspección y localización de fallas), y establecer
medidas correctivas (ajustes para alcanzar lo planeado).

Con el paso de los años se han desarrollado mejores métodos de control, dirección y
administración de las empresas. Algunas de las herramientas que están utilizando las
empresas para mejorar su desempeño son:

• Administración de la Calidad Total

• Reingeniería de Procesos de Negocios

Estas dos herramientas contienen una fuerte orientación hacia los procesos. Ello implica la
búsqueda por:

• Mejorar la calidad del producto.

• Reducir el tiempo del ciclo de producción.
• Reducir los costos.
BIBLIOGRAFÍA

www.redeszone.net/2010/11/04/criptografia-algoritmos-de-cifrado-de-clave-simetrica/
seguridadensistemascomputacionales.zonalibre.org/Sistemas%20de%20Autenticación.pd
http://www.monografias.com/trabajos100/control-recursos-humanos/control-recursos-
humanos.shtml#ixzz5CViaFTTs
http://www.monografias.com/trabajos100/control-recursos-humanos/control-recursos-
humanos.shtml