Administración de sistemas: septiembre 2014

viernes, 12 de septiembre de 2014

The cloud

Las organizaciones a nivel mundial y en América Latina están migrando hacia la nube para ganar ventajas competitivas en torno a la velocidad, agilidad y flexibilidad, de acuerdo con la Encuesta 2013 sobre Costos Ocultos de la Nube de Symantec Corp. De hecho, la encuesta reveló que más de 90% de todas las organizaciones de América Latina están, al menos, debatiendo sobre la nube (el año anterior era solo 75%).

Otros resultados de la encuesta arrojaron que las grandes empresas y las PyME están experimentando un incremento de los costos asociados al uso de nubes no autorizadas, procesos de respaldo y recuperación complejos, así como un almacenamiento ineficaz en la nube. Las nubes no autorizadas se definen como aquellas que no están gestionadas o integradas en la infraestructura de TI(Ciclo de vida del consumo) de la empresa y que, generalmente, son implementadas por diversos grupos dentro de la organización.

Dado que la computación en nube no permite a los usuarios poseer físicamente los dispositivos de almacenamiento de sus datos (con la excepción de la posibilidad de copiar los datos a un dispositivo de almacenamiento externo, como una unidad flash USB o un disco duro), deja la responsabilidad del almacenamiento de datos y su control en manos del proveedor.

La computación en nube ha sido criticada por limitar la libertad de los usuarios y hacerlos dependientes del proveedor de servicios.13 Algunos críticos afirman que sólo es posible usar las aplicaciones y servicios que el proveedor esté dispuesto a ofrecer. Así, The Times compara la computación en nube con los sistemas centralizados de los años 50 y 60, en los que los usuarios se conectaban a través de terminales "gregarios" con ordenadores centrales. Generalmente, los usuarios no tenían libertad para instalar nuevas aplicaciones, y necesitaban la aprobación de administradores para desempeñar determinadas tareas. En suma, se limitaba tanto la libertad como la creatividad. El Times argumenta que la computación en nube es un retorno a esa época y numerosos expertos respaldan la teoría.

De forma similar, Richard Stallman, fundador de la Free Software Foundation, cree que la computación en nube pone en peligro las libertades de los usuarios, porque éstos dejan su privacidad y datos personales en manos de terceros. Ha afirmado que la computación en nube es "simplemente una trampa destinada a obligar a más gente a adquirir sistemas propietarios, bloqueados, que les costarán cada vez más conforme pase el tiempo".

Modelo de negocio en linea.

Brochureware-Website con Información General, Estática e Histórica de la empresa:

El primer paso en Internet es la presencia mediante un Website corporativo. Ya que es un medio de publicidad, y aporta información normalmente estática e histórica a quien lo visite. Para las empresas es muy importante estar presentes en la Red. Para permitir que los clientes los potenciales, o futuros clientes, puedan acceder obtener información referente a la compañía y a la marca cuando y desde donde quieran, cuándo quieran, y todas las veces que lo deseen.

e-Commerce - Materializar la Transacción:

El e-Commerce facilita la compra y venta de bienes y servicios, con independencia del tipo de cliente y sin necesidad de que los clientes formen parte del sistema. Los usuarios pueden conocer mediante diversas herramientas qué productos están disponibles, cuál es su precio, etc. Además, muchas empresas ofrecen asistencia y asesoramiento al cliente, tanto técnico como legal, de manera interactiva.

e-Business - Sistema de Valor:

El e-Business supone un paso importante para la creación de valor, la empresa debe integrar perfectamente a los proveedores y clientes a través de la red, la organización debe sufrir un cambio en su estructura organizativa importante para soportar este modelo, la gestión de la cadena de suministro salta las fronteras de la propia organización, buscando la gestión integrada y coordinada con proveedores, clientes, intermediarios o, incluso, fabricantes de productos complementarios.

e-Enterprise - Empresa Virtual o Electrónica:

La e-Enterprise, representaría un modelo nuevo de negocio, 100 % Internet, quizás una evolución del e- Business o un modelo de empresa totalmente virtual sin necesidad de esa evolución.

Es difícil encontrar una empresa que realmente esté creando valor este último modelo, quizás una de las principales razones la podamos encontrar en el número tan reducido de clientes, tanto finales como empresas, que acceden a estos sistemas.

Los modelos de negocio son variados y combinables.

miércoles, 10 de septiembre de 2014

¿Que es ingeniería social?

La Ingeniería Social se sustenta en un sencillo principio: “el usuario es el eslabón más débil”. Dado que no hay un solo sistema en el mundo que no dependa de un ser humano, la Ingeniería Social es una vulnerabilidad universal e independiente de la plataforma tecnológica. A menudo, se escucha entre los expertos de seguridad que la única computadora segura es la que esté desenchufada, a lo que, los amantes de la Ingeniería Social suelen responder que siempre habrá oportunidad de convencer a alguien de enchufarla.

La Ingeniería Social es un arte que pocos desarrollan debido a que no todas las personas tienen “habilidades sociales”. Aún así, hay individuos que desde pequeños han demostrado tener la aptitud y con un poco de entrenamiento convertirla en el camino ideal para realizar acciones maliciosas. Por ejemplo, hay crackers que en vez de perder horas rompiendo una contraseña, prefieren conseguirla preguntando por teléfono a un empleado de soporte técnico.

Las formas de ataque son muy variadas y dependen de la imaginación del atacante y sus intereses. En general, los ataques de Ingeniería Social actúan en dos niveles: el físico y el psicosocial. El primero describe los recursos y medios a través de los cuales se llevará a cabo el ataque, y el segundo es el método con el que se engañará a la víctima.

Las formas usadas a nivel físico son:

Ataque por teléfono. Es la forma más persistente de Ingeniería Social. En ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose pasar por alguien más, como un técnico de soporte o un empleado de la misma organización. Es un modo muy efectivo, pues las expresiones del rostro no son reveladas y lo único que se requiere es un teléfono.

Ataque vía Internet. Desde que Internet se volvió uno de los medios de comunicación más importantes, la variedad de ataques en red se incrementaron tanto como la gran cantidad de servicios que existen en él. Los ataques más comunes son vía correo electrónico (obteniendo información a través de un phishing o infectando el equipo de la víctima con malware), web (haciendo llenar a la persona objetivo un formulario falso) o inclusive conversando con personas específicas en salas de chat, servicios de mensajería o foros.

Dumpster Diving o Trashing (zambullida en la basura). Consiste en buscar información relevante en la basura, como: agendas telefónicas, organigramas, agendas de trabajo, unidades de almacenamiento (CD’s, USB’s, etc.), entre muchas otras cosas.

Ataque vía SMS. Ataque que aprovecha las aplicaciones de los celulares. El intruso envía un mensaje SMS a la víctima haciéndola creer que el mensaje es parte de una promoción o un servicio, luego, si la persona lo responde puede revelar información personal, ser víctima de robo o dar pié a una estafa más elaborada.

Ataque vía correo postal. Uno de los ataques en el que la víctima se siente más segura, principalmente por la fiabilidad del correo postal. El perpetrador envía correo falso a la víctima, tomando como patrón alguna suscripción de una revista, cupones de descuento, etc. Una vez que diseña la propuesta para hacerla atractiva, se envía a la víctima, quien si todo sale bien, responderá al apartado postal del atacante con todos sus datos.

Ataque cara a cara. El método más eficiente, pero a la vez el más difícil de realizar. El perpetrador requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situación que se le presente. Las personas más susceptibles suelen ser las más “inocentes”, por lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su víctima.

Por otro lado, existen entornos psicológicos y sociales que pueden influir en que un ataque de ingeniería social sea exitoso. Algunos de ellos, son:

“Exploit de familiaridad”. Táctica en que el atacante aprovecha la confianza que la gente tiene en sus amigos y familiares, haciéndose pasar por cualquiera de ellos. Un ejemplo claro de esto ocurre cuando un conocido llega a una fiesta con uno de sus amigos. En una situación normal nadie dudaría de que ese individuo pudiera no ser de confianza. Pero ¿de verdad es de fiar alguien a quien jamás hemos tratado?

Crear una situación hostil. El ser humano siempre procura alejarse de aquellos que parecen estar locos o enojados, o en todo caso, salir de su camino lo antes posible. Crear una situación hostil justo antes de un punto de control en el que hay vigilantes, provoca el suficiente estrés para no revisar al intruso o responder sus preguntas.

Conseguir empleo en el mismo lugar. Cuando la recompensa lo amerita, estar cerca de la víctima puede ser una buena estrategia para obtener toda la información necesaria. Muchas pequeñas y medianas empresas no realizan una revisión meticulosa de los antecedentes de un nuevo solicitante, por lo que obtener un empleo donde la víctima labora puede resultar fácil.

Leer el lenguaje corporal. Un ingeniero social experimentado puede hacer uso y responder al lenguaje corporal. El lenguaje corporal puede generar, con pequeños, detalles una mejor conexión con la otra persona. Respirar al mismo tiempo, corresponder sonrisas, ser amigable, son algunas de las acciones más efectivas. Si la víctima parece nerviosa, es bueno reconfortarla. Si está reconfortada, ¡al ataque!

Explotar la sexualidad. Técnica casi infalible. Las mujeres que juegan con los deseos sexuales de los hombres, poseen una gran capacidad de manipulación, ya que el hombre baja sus defensas y su percepción. Probablemente suene asombroso, pero es aprovechar la biología a favor.

¿Cómo defenderse contra la Ingeniería Social?

La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido común y no divulgando información que podría poner en peligro la seguridad de sus datos. Sin importar el tipo de información solicitada, se aconseja que:

Averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico);

Si es posible, verifique la información proporcionada; Pregúntese qué importancia tiene la información requerida.

¿Qué tiene que ver la Ingeniería Social con la seguridad informática?

En este contexto, puede ser necesario capacitar a los usuarios para que tomen conciencia acerca de los problemas de seguridad.

Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.

La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente.

La definición de entornos en los que las copias de seguridad han de guardarse para ser seguros y como hacer esas copias.

El control del acceso físico a los sistemas.

La elección de un hardware y de un software que no de problemas.

La correcta formación de los usuarios del sistema.

El desarrollo de planes de contingencia.

Debemos tener en cuenta que una gran parte de las intrusiones en sistemas se realizan utilizando datos que se obtienen de sus usuarios mediante diferentes métodos y con la intervención de personas especialmente entrenadas, los ingenieros sociales.

martes, 2 de septiembre de 2014

Problemáticas de OLX

OLX carece de la capacidad para rastrea los kpis globales y generar informes de los comportamientos de los clientes y las ventas.

la compañía ademas necesitaba realizar en tiempo real y análisis ad-hod sobre los datos recogidos en mas de 105 países y 40 diferentes lenguajes.

Ademas buscaban mejorar el almacén de datos internos, a través de rápidas extracciones, transformar y cargar procesos.

Solución de Pentaho

Software de tipo administrativo para la toma de decisiones (D1):

Pentaho Data Integration:

para extraer, transformar y cargar datos proveniente de varias fuentes web.

Pentaho Business Analytics:

para reporta y analizar datos provenientes del almacenamiento de datos interno.

Datalytics consulting service:

para rápida implementacion de aplicaciones y asesorar en futuras aplicaciones.

Software de tipo transaccional para la toma de decisiones (D2):

OXL interactua con el usuario por medio de un portal web programado con cualquier copilador que utilice php y HTML ya que acepta montar archivos de formato XML o CSV.

OXL no utiliza ningún sistema de transaccional bancario ya que no se realizan pagos en linea.

Suscribirse a: Entradas (Atom)

Solución contra el spam

Todos sabemos que no debemos responder o hacer clic sobre un enlace o una imagen de spam ya que corremos el riesgo de confirmar que nuestra dirección de correo existe y es utilizada…este es el principal objetivo del spam. También debemos de cuidarnos de visualizar Web bugs con algún programa de correo, como Outlook Express por ejemplo.

En un spam, un enlace clásico para darse de baja, algo que no se debe utilizar jamás es de la forma-unsuscribe- y únicamente se efectua la conexión si hacemos clic encima.

En cambio, en el caso de una imagen (remota)

Hay una conexión al servidor del spammer para cargar la imagen.

Actualmente encontramos de este tipo

No hay ninguna imagen pero la conexión se efectúa de todos modos…

Antes de enviar el email, el servidor del spam anota en sus ficheros que el código "AjbbRgtZabEyuac" corresponde a nuestra dirección electrónica; un programa analiza luego las conexiones, lee el código, y sabe que nuestra dirección es valida.

Por lo tanto será mejor desactivar la previsualización de emails.

En Outlook Express, “Ver > Disposición” y desmarcar “Mostrar la ventana de visualización”

También podemos personalizar los iconos del menú añadiendo el icono “Previsualización” (más práctico)

Y si deseamos ver el contenido de un email, movemos el email al escritorio luego hacemos “Enviar a -> Bloc de notas”.

Y de este modo podemos ver también el contenido del encabezado del email.

Como reconocerlo?

La dirección que aparece como remitente del mensaje no resulta conocida para el usuario, y es habitual que esté falseada.

El mensaje no suele tener dirección Reply.

Presentan un asunto llamativo.

El contenido es publicitario: anuncios de sitios web, fórmulas para ganar dinero fácilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en promoción.

La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o Asia, pero empieza a ser común el spam en español.

Aunque el método de distribución más habitual es el correo electrónico, existen diversas variantes, cada cual con su propio nombre asociado en función de su canal de distribución:

Spam: enviado a través del correo electrónico.

Spim: específico para aplicaciones de tipo Mensajería Instantánea (MSN Messenger, Yahoo Messenger, etc).

Spit: spam sobre telefonía IP. La telefonía IP consiste en la utilización de Internet como medio de transmisión para realizar llamadas telefónicas.

Spam SMS: spam destinado a enviarse a dispositivos móviles mediante SMS (Short Message Service).

Las empresas necesitan asegurarse de que todos sus datos importantes para la continuidad del negocio cuenten con una copia que esté disponible en el caso de la información original se pierda o se corrompa. Hay que tener en cuenta que esta información puede estar albergada en servidores corporativos, pero también en estaciones de trabajo o portátiles de empleados, lo que a menudo se olvida.

Tenga más de un soporte de copia.

En el campo de los archivos digitales, mantener una segunda copia de seguridad custodiada en un entorno seguro fuera de la empresa es la alternativa más eficaz de garantizar su recuperación en caso necesario. Además, en relación a los datos de carácter personal.

Cuide el soporte de sus datos.

Las copias de seguridad en soportes magnéticos deben mantenerse en un lugar seguro, bajo temperatura y humedad constantes, y en un entorno lo más limpio posible. Muchos casos de pérdida de información se producen por errores en el almacenamiento, utilización o manipulación de los soportes. Por eso mismo, hay que procurar no utilizar el mismo soporte dos días seguidos. Lo mejor es tener más de un soporte externo de backup, e ir alternándolos para asegurar la calidad de la grabación de los datos y alargar su vida útil.

Identifique la información importante.

De todo el volumen de datos de una empresa, el volumen que se considera imprescindible para su buen funcionamiento es de alrededor del 5%. Pero ese pequeño porcentaje es crítico para las operaciones empresariales. Por ejemplo, puede contener información necesaria para garantizar la continuidad del negocio después de una crisis. O puede documentar la situación financiera o legal y preservar los derechos de las partes interesadas de una organización. Saber cuáles son los documentos vitales y tenerlos localizados es imprescindible para asegurar un buen mantenimiento.

Conozca quién tiene acceso a esa información y con qué frecuencia.

Algunos documentos sólo se consultan una o dos veces al año, mientras que otros son necesarios incluso varias veces al día. No todos los departamentos -recursos humanos, departamento legal, compras, marketing, finanzas- acceden al mismo tipo de información confidencial. Saber quién utiliza qué tipo de documentos ayudará a su seguimiento y control.

Asigne responsabilidades en la gestión.

La seguridad de la información debe ser un punto a tener en cuenta por todos los departamentos. Incluso en empresas donde este punto sea tarea del departamento de archivos, se deben implantar unas medidas de seguridad y backup que abarquen a la totalidad de la infraestructura. Igualmente, es prudente asegurarse de que la persona que controla el acceso a los archivos no es la misma que se encarga de trabajar con ellos.

Encripte sus archivos digitales externos.

A la hora de gestionar sus copias de seguridad externas, todavía hoy muchas compañías recurren para su transporte a la mensajería comercial sin ningún tipo de protección adicional. Es conveniente efectuar un análisis de riesgos para determinar si el coste de un programa de encriptación compensa los riesgos económicos de una brecha en la seguridad, y determinar si debe implantarse en toda la documentación digital, o solo en la de mayor confidencialidad.

Elabore un plan de continuidad del negocio ante una situación de crisis.

La pregunta que debe hacerse es: si un desastre provocara la desaparición de todos los documentos de mi empresa. ¿Tengo la certeza de que podría recuperarlos? Los datos son mucho más que cifras; son un activo vital para el funcionamiento de su negocio. Si no puede garantizar su recuperación, y hacerlo en un plazo de tiempo razonable, su rendimiento económico puede verse seriamente afectado.

Ventajas de la nube

Acceso desde cualquier sitio y con varios dispositivos. Tus programas y archivos están en la nube, con lo que te basta una conexión a Internet para acceder a ellos y usarlos de modo remoto.

Puedes hacerlo mediante un PC fijo, un laptop, un tablet PC, un iPad, un smartphone.

Todo el software está en un solo sitio. En la nube, claro está. Eso te evita tener que instalar tú los programas en tu PC, tu laptop o todos y cada uno de los múltiples equipos de una red.

Y no sólo te evita instalar el software, sino preocuparte por actualizar los programas o hacer upgrades. Tu proveedor de la nube se encarga también de eso por ti.

Casi el único programa que necesitas tener instalado es un navegador de Internet con el que acceder a la nube y trabajar en ella.

Ahorro en software y hardware. En la nube, un mismo programa lo comparten muchos usuarios, sin necesidad de tener que comprar una copia individual para cada uno de ellos. Eso abarata el precio de las aplicaciones.

Como todos esos programas se ejecutan en la nube y todo se guarda en ella, no hace falta gastar mucho dinero en un PC muy potente y con un disco duro grande.

Ahorro en mantenimiento técnico. Sin programas instalados o redes de PC complejas que configurar y mantener, los usuarios de la nube deben tener menos problemas informáticos.

El proveedor de la nube se encarga del mantenimiento técnico de sus propios servidores. El usuario no necesita saber crear redes de computadoras para compartir recursos, porque puede hacerlo a través de la nube.

Escalabilidad. Un sistema informático es escalable si puede crecer para responder a necesidades más exigentes. Esto es crucial sobre todo para las empresas.

Con la nube, la escalabilidad está garantizada sin tener que invertir más de lo necesario en previsión de que las necesidades aumenten.

Si un usuario de la nube necesita más o menos capacidad de proceso o de almacenamiento, el proveedor de la nube se lo facilitará casi en tiempo real. Eso optimiza los recursos en todo momento.

¿Seguridad? Hay una gran discusión sobre si la nube es o no más segura que los modelos tradicionales.

OLX es la próxima generación de anuncios gratis online.

OXL provee una simple solución para las complicaciones implicadas en ventas, compras, intercambios, discusión, organización y encuentro con gente cerca de ti, dondequiera que te encuentres.

En OXL tu puedes:

Diseñar fusil mente anuncios con fotos.

Controlar tus actividad en ventas, compras y comunidad en Mi OLX.

Mostrar tus anuncios en un perfil en otros sitios(Facebook, Myspace,...)

Acceder al sitio desde tu teléfono celular

Ver OXL en tu idioma local

OLX es usado en mas de 106 países en 40 idiomas. La compañía fue fundada en marzo 2006 y es dirigida de forma privada.

OLX utiliza el modelo administrativo e-Commerce

Skimming

Skimming es el robo de información de tarjetas de crédito utilizado en el momento de la transacción, con la finalidad de reproducir o clonar la tarjeta de crédito o débito para su posterior uso fraudulento. Consiste en el copiado de la banda magnética de una tarjeta

Los escenarios comunes en los que se realiza skimming es en restaurantes, bares, gasolineras o en cajeros electrónicos donde un cómplice del criminal está en posesión de la tarjeta de crédito de la víctima o en un lugar en el que se ha instalado un dispositivo que puede copiar la información.

En el caso de un cajero automático, el autor del fraude pone un dispositivo a través de la ranura para tarjetas del ATM, que lee la información de la banda magnética y la copia para su uso posterior. Estos dispositivos se utilizan a menudo en combinación con una microcámara que graba el código PIN del usuario.

Es difícil que el titular de la tarjeta detecte el skimming, pero es bastante fácil de detectar para el emisor de la tarjeta con una muestra lo suficientemente grande.

Mas soluciones contra el spam

Lo que ofrecen actualmente los proveedores de servicios de Internet (ISP)

Por lo general los proveedores de servicios de Internet ofrecen una lista negra, configuración de filtrado de correos, etc.:

Utilizando la dirección de correo del remitente, por lo tanto inútil

Utilizando palabras clave que serán buscadas en el asunto del correo, por lo tanto inútil *O buscando palabras clave en el cuerpo del correo. Ya que el texto muchas veces está en una imagen, adjunta o en un enlace, esto también es inútil.

Por lo tanto una herramienta inadaptada para luchar contra el spam.

Instalar un programa anti-spam

Cómo funciona esto:

Criterios de filtrado aplicados a nombres de dominio y direcciones IP del encabezado de Internet reconocidos como validos (por whois)

En caso de spam, luego de haberlo comparado con las listas negras (spam-RBL, y otros…)

Se envía un mensaje de advertencia a “abuso” del primer servidor de correo valido de la cadena.

Se le añade en la blacklist

En algunos programas, se envía un mensaje de error al remitente, diciendo “destinatario desconocido” (aunque no muy útil ya que por lo general el correo del remitente es falso).

Dato

El término spam tiene su origen en el jamón especiado , primer producto de carne enlatada que no necesitaba frigorífico para su conservación.

Debido a esto, su uso se generalizó, pasando a formar parte del rancho habitual de los ejércitos de Estados Unidos y Rusia durante la Segunda Guerra Mundial. Posteriormente, en 1969, el grupo de actores Monthy Python protagonizó una popular escena, en la cual los clientes de una cafetería intentaban elegir de un menú en el que todos los platos contenían...jamón especiado, mientras un coro de vikingos canta a voz en grito "spam, spam, spam, rico spam, maravilloso spam".

En resumen, el spam aparecía en todas partes, y ahogaba el resto de conversaciones . Haciendo un poco de historia, el primer caso de spam del que se tiene noticia es una carta enviada en 1978 por la empresa Digital Equipment Corporation.

Esta compañía envió un anuncio sobre su ordenador DEC-20 a todos los usuarios de ArpaNet (precursora de Internet) de la costa occidental de los Estados Unidos. Sin embargo, la palabra spam no se adoptó hasta 1994, cuando en Usenet apareció un anuncio del despacho de los abogados Lawrence Cantera y Martha Siegel. Informaban de su servicio para rellenar formularios de la lotería que da acceso a un permiso para trabajar en Estados Unidos. Este anuncio fue enviado mediante un script a todos los grupos de discusión que existían por aquel entonces.

Confidencialidad.

La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.

Integridad.

Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.

Disponibilidad.

La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la información del negocio.

La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.

Autenticación o autentificación.

Es la propiedad que permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.

Inconvenientes de la nube

(Falta de) seguridad y privacidad. Con la computación en la nube todos tus ficheros e información pasan de estar en tu PC a almacenarse en esa nube.

Eso implica dejar de tener control sobre ellos. Nunca se puede estar seguro de quién accede a esa información o si está o no protegida como debe ser.

Eso un riesgo para usuarios particulares pero aún más para las empresas. Ellas deben confiar informaciones internas y confidenciales a un tercero, que puede o no ser fiable.

Además, es más probable que un hacker intente acceder a la nube que a un PC privado. El botín es mayor.

Sin Internet no hay nube. En la computación en la nube todo depende de que la conexión a Internet funcione. Si no es así, el cliente no podrá acceder a los programas ni los datos.

Problemas de cobertura legal. Los servidores de la nube pueden estar en cualquier parte del mundo. Si hay problemas, no está claro qué ley debe aplicarse o si ésta podrá proteger al cliente.

Conflictos de propiedad intelectual u otros. La información de los clientes ya no está en sus manos, con lo que pueden surgir problemas sobre a quién pertenece.

Eso puede llevar a situaciones delicadas, por ejemplo si el cliente pretende cambiar su proveedor de computación en la nube o si éste quiebra o comete alguna ilegalidad.

Otros metodos de phishing

Otro ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" pero que ejecutan código malicioso, por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam.

Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

Ademas

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:

Todos queremos ayudar.

El primer movimiento es siempre de confianza hacia el otro.

No nos gusta decir No.

A todos nos gusta que nos alaben.

Sistemas anti-skimming

Son sistemas para combatir los delitos en cajeros automáticos, prevenir el robo de identidad y reducir el fraude.

Dichos sistemas cifran o codifican la información que está en la banda magnética para evitar el fraude que implica "clonar" una tarjeta.

Existen además sistemas antiskimming diseñados por los fabricantes de cajeros, los cuales en algunos casos permiten bloquear el ingreso de las tarjetas cuando detecten un dispositivo en la entrada del lector de tarjetas.

También existen sistemas electrónicos antifraude, diseñados con sensores ópticos e infrarrojos con tecnología tipo barrera y reflexivo, los cuales cumplen la función de detectar y anular la lectora cuando detecte alrededor de esta un dispositivo fraudulento.