Seguridad informática

Seguridad informática
La seguridad informática basándose en programación es tan indispensable que de no tenerla fuera demasiado fácil burlar los Software de desarrollo y acceder (claro con conocimientos básicos y/o avanzados), obteniendo como resultado la manipulación y extracción de información, en donde algunas veces esa información es "privilegiada" y puede poner en riesgo al usuario o usuarios dependiendo del tipo de software que sea.
Algunos Programas empresariales o gubernamentales y páginas web suelen ser un blanco para extorsión y manipulación, poniendo en riesgo su "base de datos", y los cientos de usuarios quedan a la expectativa a disposición del "manipulador", eh aquí la confianza que se brindó por parte del usuario al software, prácticamente jamás se volvería a confiar en este, y esto es solo una de las reacciones que se podrían presentar.
Por eso y más es recomendable realizar una buena programación con fundamentos orientados a la seguridad. A continuación se presentaran algunos temas que conllevan los principales puntos de Seguridad y que se pueden aplicar en la programación.

que importancia tiene la seguridad informatica aplicada a la programacion.

Cada día más y más personas mal intencionadas intentan tener acceso a los datos de nuestros ordenadores.
El acceso no autorizado a una red informática o a los equipos que en ella se encuentran pueden ocasionar en la gran mayoría de los casos graves problemas.
Uno de las posibles consecuencias de una intrusión es la pérdida de datos. Es un hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al día de las copias de seguridad. Y aunque estemos al día, no siempre es posible recuperar la totalidad de los datos.
Otro de los problemas más dañinos es el robo de información sensible y confidencial. La divulgación de la información que posee una empresa sobre sus clientes puede acarrear demandas millonarias contra esta, o un ejemplo mas cercano a usted es el de nuestras contraseñas de las cuentas de correo por las que intercambiamos información con otros.
Con la constante evolución de las computadoras es fundamental saber que recursos necesitar para obtener seguridad en los sistemas de información.

mejores prácticas en la seguridad del software.
Las exigencias cada día son mayores para los responsables de la seguridad informática de las compañías. Y es que hoy, ya no basta con mantener una estrategia reactiva de protección. Los tiempos demandan proactividad, alineación con el negocio; en resumen: escaparse del entorno de los fierros para ser más estratégicos.
Cumplir con todo esto se antoja difícil sí, sin embargo, los encargados de seguridad tienen a su disposición para enfrentar dichas demandas a unas eficaces aliadas, las mejores prácticas.
1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar y las políticas a seguir para la protección de una empresa, resulta fundamental analizar cuáles son los objetivos del negocio, sus procesos prioritarios, los activos más importantes, los datos más críticos; porque sólo así se asegurará de forma robusta aquello que realmente es importante para el funcionamiento de la compañía.
Por lo tanto, conviene tomarse el tiempo necesario para analizar todos estos puntos y también para identificar "las regulaciones que afectan al negocio, el cumplimiento normativo, disposiciones locales e internacionales y el marco interno de políticas y procedimientos de la empresa", sugiere Carlos Zamora presidente de ISACA (Asociación de Auditoría y Control de Sistemas de Información)
Asimismo, resulta importante en este análisis averiguar cuál es el grado de riesgo tolerable por los accionistas, es decir "qué nivel de exposición están dispuestos a asumir y cuál es el monto que pueden arriesgar frente a una gran contingencia", precisa Zamora.
Por último, "viene bien hacer una clasificación de la información para evaluar cuál es la más crítica, con el fin de dotarla de los mayores controles", refiere Octavio Amador, director de servicios de consultoría de Symantec.
Ya con toda esta información se pueden establecer los objetivos del área de protección y las acciones a seguir, pero basados en los requerimientos y metas de la organización.
2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué es lo prioritario dentro del negocio, conviene hacer un análisis de riesgos y vulnerabilidades para establecer de forma clara cuáles son las amenazas a los activos críticos de la organización.
3. Diseñar un plan o programa estratégico de seguridad de la información. Tomando como punto de partida el análisis de riesgos, hay que elaborar un plan, con sus debidas metodologías y prácticas, pero alineado con el de la compañía, para que todo lo hecho por el área de seguridad vaya en sentido de las iniciativas del negocio.
4. Definir e implementar políticas y lineamientos de seguridad. Una práctica muy importante es establecer reglas y lineamientos para el manejo seguro de la información, los sistemas y los procedimientos de la empresa.
Pero ojo, las políticas que se establezcan deben ser flexibles, cuando así convenga, para no entorpecer el funcionamiento de la organización ni afectar el trabajo de los usuarios internos.
5. Capacitar para asegurar. Los entrevistados coinciden en que hoy una de las mejores prácticas es educar y capacitar a los miembros de la organización respecto a las amenazas y a la conveniencia de acatar las políticas de protección para no abrir vulnerabilidades.

6. Conformar un equipo y un comité de seguridad. Formalizar la función del oficial de seguridad es una práctica muy recomendable hoy en día.
Pero hay que considerar que este personaje requiere un equipo de trabajo, conformado por especialistas en la materia y con conocimientos en diferentes campos de la misma.
7. Desarrollar aplicaciones seguras desde su origen. El software que las compañías diseñen, ya sea externa o internamente, debe contemplar cuestiones de seguridad, para que desde el origen cuente con la mayor protección posible frente a amenazas.
Esto que pareciera tan básico es algo que todavía se está descuidando. Los programas y las aplicaciones de desarrollo in house (e incluso los comerciales) se diseñan sin considerar los factores requeridos para su protección, lo cual se convierte en una de las principales causas-raíz de los incidentes.

10. Definir y probar un Plan de Recuperación en Caso de Desastres (DRP). Ya está más que perneada entre las compañías la conveniencia de establecer estrategias de continuidad para el negocio. Y aunque la mayoría de las organizaciones no dispone de un site alternativo, si cuentan con los respaldos suficientes para recuperar su información.
Sin embargo, ya sea que se opte por implementar un DRP completo y en forma o haya que respaldar sólo algunos componentes, incluso en el mismo edificio, conviene considerar ciertos factores para no toparse después con sorpresas.
puntos a considerar durante el desarrollo del software.

Logeo: Indispensable a la hora de programar una aplicación o página web.
Encriptación: La encriptación usa una técnica -la criptografía- que modifica un mensaje original mediante una o varias claves, de manera que resulte totalmente ilegible para cualquier persona. Y solamente lo pueda leer quien posea la clave correspondiente para descifrar el mensaje.
la encriptación es una de las posibles soluciones para proteger datos cuando son enviados a través de redes como Internet.
Backup o respaldo: es de suma importancia estarlos realizando durante el desarrollo del programa, ya que algunas veces y por razones ya sea de descuido o de error puede perderse la información.
Los antivirus son herramientas simples; cuyo objetivo es detectar y eliminar virus informáticos.


inyeccion de codigo sql.

Dicha vulnerabilidad consiste en permitir mandar instrucciones SQL adicionales a partir de un campo o un parámetro de entrada - por lo que se dice han sido "inyectadas".
Ataque contra un Gestor de Bases de Datos Relacional que aprovecha la vulnerabilidad de una aplicación cliente del mismo.


El ataque "SQL Injection" es posible dadas ciertas características del lenguaje- SQL que lo dotan de flexibilidad:
Poder embeber comentarios en una sentencia SQL
Poder escribir varias sentencias SQL juntas y ejecutarlas en bloque.
Poder realizar consultas de metadatos por medio de "tablas de sistema".

Protecciones contra inyecciones SQL.
Existen ciertos principios a considerar para proteger nuestras aplicaciones de un SQL Injection:
No confiar en la entrada del usuario.
No utilizar sentencias SQL construidas dinámicamente.
No utilizar cuentas con privilegios administrativos.
No proporcionar mayor información de la necesaria.

objetivos de la seguridad del desarrollo de software
La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática.
La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:
La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.
La información: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.

principales amenzas a considerar durante el desarrollo de aplicaciones web.

No solo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias que deben ser tomadas en cuenta e incluso «no informáticas». Las amenazas pueden ser causadas por:
Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones innecesarias, etc.
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos comomalware.
Errores de programación: La mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.
Intrusos: persona que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers,script kiddie o script boy, viruxers, etc.).
Un siniestro (robo, incendio, inundación): una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos.
Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
Fallos electrónicos o lógicos de los sistemas informáticos en general.
Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.
i bien día a día aparecen nuevos y complejos tipos de incidentes, aún se registran fallas de seguridad de fácil resolución técnica, las cuales ocurren en muchos casos por falta de conocimientos sobre los riesgos que acarrean. Por otro lado, los incidentes de seguridad impactan en forma cada vez más directa sobre las personas. En consecuencia, se requieren efectivas acciones de concientización, capacitación y difusión de mejores prácticas.
Es necesario mantener un estado de alerta y actualización permanente: la seguridad es un proceso continuo que exige aprender sobre las propias experiencias.
Las organizaciones no pueden permitirse considerar la seguridad como un proceso o un producto aislado de los demás. La seguridad tiene que formar parte de las organizaciones.
Debido a la constantes amenazas en que se encuentran los sistemas, es necesario que los usuarios y las empresas enfoquen su atención en el grado de vulnerabilidad y en las herramientas de seguridad con las que cuentan para hacerle frente a posibles ataques informáticos que luego se pueden traducir en grandes pérdidas.
Los ataques están teniendo el mayor éxito en el eslabón mas débil y difícil de proteger, en este caso es la gente, se trata de uno de los factores que han incentivado el número de ataques internos. No importando los procesos y la tecnología, finalmente el evitar los ataques queda en manos de los usuarios.
Recomendaciones
Actualice regularmente su sistema operativo y el software instalado en su equipo, poniendo especial atención a las actualizaciones de su navegador web. Estar al día con las actualizaciones, así como aplicar los parches de seguridad recomendados por los fabricantes, le ayudará a prevenir la posible intrusión de hackers y la aparición de nuevos virus.
Instale un Antivirus y actualícelo con frecuencia. Analice con su antivirus todos los dispositivos de almacenamiento de datos que utilice y todos los archivos nuevos, especialmente aquellos archivos descargados de internet.
Instale un Firewall o Cortafuegos con el fin de restringir accesos no autorizados de Internet.
tilice contraseñas seguras, es decir, aquellas compuestas por ocho caracteres, como mínimo, y que combinen letras, números y símbolos. Es conveniente además, que modifique sus contraseñas con frecuencia. En especial, le recomendamos que cambie la clave de su cuenta de correo si accede con frecuencia desde equipos públicos.
Navegue por páginas web seguras y de confianza. Para diferenciarlas identifique si dichas páginas tienen algún sello o certificado que garanticen su calidad y fiabilidad. Extreme la precaución si va a realizar compras online o va a facilitar información confidencial a través de internet
Ponga especial atención en el tratamiento de su correo electrónico, ya que es una de las herramientas más utilizadas para llevar a cabo estafas, introducir virus, etc.
No abra mensajes de correo de remitentes desconocidos.
Desconfíe de aquellos e-mails en los que entidades bancarias, compañías de subastas o sitios de venta online, le solicitan contraseñas, información confidencial, etc.
No propague aquellos mensajes de correo con contenido dudoso y que le piden ser reenviados a todos sus contactos. Este tipo de mensajes, conocidos como hoaxes, pretenden avisar de la aparición de nuevos virus, transmitir leyendas urbanas o mensajes solidarios, difundir noticias impactantes, etc.
En general, es fundamental estar al día de la aparición de nuevas técnicas que amenazan la seguridad de su equipo informático, para tratar de evitarlas o de aplicar la solución más efectiva posible.
Bibliografía
http://www.slideshare.net/guest8d2f0a/seguridad-informatica-3261911?src=related_normal&rel=2573451
http://www.sitiosargentina.com.ar/webmaster/cursos%20y%20tutoriales/que_es_un_antivirus.htm
http://www.segu-info.com.ar/fisica/seguridadfisica.htm
http://www.segu-info.com.ar/articulos/2-porque-caen-password-clave.htm
http://www.slideshare.net/saintmanios/8-seguridad-informatica-presentation-633705
http://www.seguridad.unam.mx/eventos/admin-unam/politicas_seguridad.pdf

http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-informatica2.shtml#conclusioa#ixzz3KLNCCvKP