viernes, 4 de diciembre de 2015

MODELO RACI

RACI

matriz de la asignación de responsabilidades (RACI por las iniciales de los tipos de responsabilidad) se utiliza generalmente en la gestión de proyectos para relacionar actividades con recursos (individuos o equipos de trabajo). De esta manera se logra asegurar que cada uno de los componentes del alcance esté asignado a un individuo o a un equipo.

Rol			Descripción
R	Responsible	Responsable	Este rol corresponde a quien efectivamente realiza la tarea. Lo más habitual es que exista sólo un encargado (R) por cada tarea; si existe más de uno, entonces el trabajo debería ser subdividido a un nivel más bajo, usando para ello las matrices RASCI.
A	Accountable	Quien rinde cuentas	Este rol se responsabiliza de que la tarea se realice y es el que debe rendir cuentas sobre su ejecución. Sólo puede existir una persona que deba rendir cuentas (A) de que la tarea sea ejecutada por su responsable (R).
C	Consulted	Consultado	Este rol posee alguna información o capacidad necesaria para realizar la tarea.
I	Informed	Informado	Este rol debe ser informado sobre el avance y los resultados de la ejecución de la tarea. A diferencia del consultado (C), la comunicación es unidireccional.

En esta matriz se asigna el rol que el recurso debe jugar para cada actividad dada. No es necesario que en cada actividad se asignen los cuatro roles, pero sí por lo menos el de responsable (A) y el de encargado (R). Un mismo recurso puede tener más de un rol para una tarea, por ejemplo puede ser el encargado (R) y responsable (A) del mismo, en cuyo caso se anotará R/A.

Estas matrices se pueden construir en alto nivel (grupos de tareas generales) o en un nivel detallado (tareas de nivel bajo).

Una matriz de alto nivel se puede graficar con el listado de todos los entregables del proyecto definidas en la EDT versus los recursos definidos en el OBS. No todos los recursos tendrán necesariamente una entrada para cada actividad. Una matriz de bajo nivel se puede utilizar para designar roles, responsabilidades y niveles de autoridad para actividades específicas.

Estas matrices se pueden construir en alto nivel (grupos de tareas generales) o en un nivel detallado (tareas de nivel bajo).

EJEMPLO

Pasos Para Auditoria

PLANEACIÓN

Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

Es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer solicitando y revisando los siguientes puntos:

ADMINISTRACIÓN

Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

A NIVEL DEL ÁREA DE INFORMÁTICA

Objetivos a corto y largo plazo.

RECURSOS MATERIALES Y TECNICOS

Solicitar documentos sobre los equipos, número de ellos, localización y características.

Estudios de viabilidad.
Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuración de los equipos y capacidades actuales y máximas.
Planes de expansión.
Ubicación general de los equipos.
Políticas de operación.
Políticas de uso de los equipos.

SISTEMAS

Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.

Manual de formas.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.

Debemos evaluar que pueden presentarse las siguientes situaciones.

Se solicita la información y se ve que:

No tiene y se necesita.
No se tiene y no se necesita.

Se tiene la información pero:

No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, está actualizada, es la adecuada y está completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar.

En el caso de que se tenga la información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE

Una de las partes más importantes dentro de la planeación de la auditoria en informática es el personal que deberá participar y sus características.

En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas.

Técnico en informática.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas.
Conocimientos de los sistemas más importantes.

EVALUACIÓN DE SISTEMAS

Deberá establecer los servicios que se presentarán en un futuro contestando preguntas como las siguientes:

¿Cuáles servicios se implementarán?
¿Cuándo se pondrán a disposición de los usuarios?
¿Qué características tendrán?
¿Cuántos recursos se requerirán?

La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados:

¿Qué aplicaciones serán desarrolladas y cuando?
¿Qué tipo de archivos se utilizarán y cuando?
¿Qué bases de datos serán utilizarán y cuando?
¿Qué lenguajes se utilizarán y en que software?
¿Qué tecnología será utilizada y cuando se implementará?
¿Cuantos recursos se requerirán aproximadamente?
¿Cuál es aproximadamente el monto de la inversión en hardware y software?

En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la dependencia.

¿Qué estudios van a ser realizados al respecto?
¿Qué metodología se utilizará para dichos estudios?
¿Quién administrará y realizará dichos estudios?

En el área de auditoria interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos.

Por último, el plan estratégico determina la planeación de los recursos.

¿Contempla el plan estratégico las ventajas de la nueva tecnología?
¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios?

EVALUACIÓN DEL ANÁLISIS

La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el momento de la planeación.
Los requerimientos de los usuarios.
El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron.

La situación de una aplicación en dicho inventario puede ser alguna de las siguientes:

Planeada para ser desarrollada en el futuro.
En desarrollo.
En proceso, pero con modificaciones en desarrollo.
En proceso con problemas detectados.
En proceso sin problemas.
En proceso esporádicamente.

Es importante revisar la situación en que se encuentran los manuales de análisis y si están acordes con las necesidades de la dependencia. En algunas ocasiones se tiene una microcomputadora, con sistemas sumamente sencillos y se solicita que se lleve a cabo una serie de análisis que después hay que plasmar en documentos señalados en los estándares, lo cual hace que esta fase sea muy compleja y costosa. Los sistemas y su documentación deben estar acordes con las características y necesidades de una dependencia específica.

Se debe evaluar la obtención de datos sobre la operación, flujo, nivel, jerarquía de la información que se tendrá a través del sistema. Se han de comparar los objetivos de los sistemas desarrollados con las operaciones actuales, para ver si el estudio de la ejecución deseada corresponde al actual.

La auditoria en sistemas debe evaluar los documentos y registros usados en la elaboración del sistema, así como todas las salidas y reportes, la descripción de las actividades de flujo de la información y de procedimientos, los archivos almacenados, su uso y su relación con otros archivos y sistemas, su frecuencia de acceso, su conservación, su seguridad y control, la documentación propuesta, las entradas y salidas del sistema y los documentos fuentes a usarse.

Con la información obtenida podemos contestar a las siguientes preguntas:

¿Se está ejecutando en forma correcta y eficiente el proceso de información?
¿Puede ser simplificado para mejorar su aprovechamiento?
¿Se debe tener una mayor interacción con otros sistemas?
¿Se tiene propuesto un adecuado control y seguridad sobre el sistema?
¿Está en el análisis la documentación adecuada?

viernes, 6 de noviembre de 2015

PROYECTO AUDITORIA

MAGERIT

MAGERIT hace referencia a una metodología de análisis y gestión de riesgos de los Sistemas de Información.

HISTORIA Y VERSIONES DE MAGERIT

Esta metodología fue elaborada por el Consejo Superior de Administración Electrónica, publicando su primera versiónen 1997, con un enfoque hacia los riesgos fundamentales en materia de sistemas de información.

La segunda versión fue publicada en 2005 con el fin de realizar una revisión constructiva con respecto a los riesgos de las compañías, involucrando cuestiones más profundas a cerca de la gestión de riesgos.

La tercera versión y ultima busca una nueva adaptación, teniendo en cuenta no solo la experiencia práctica sino también la evolución de las normas internacionales de ISO que constituyen un referente.

¿QUE BUSCA MAGERIT?

Concientizar a la organización de la existencia de riesgos.
Conocer el riesgo al que está sometida la información de las compañías y realizar una buena gestión en la implantación y uso de las Tecnologías de la Información.
Planificar medidas para controlar y responder a los riesgos.
Apoyar los procesos de evaluación y auditoria.
Dar seguridad en la información y sistemas.
Permite tomar decisiones acorde a la situación actual de la compañía.

MÉTODO DE ANÁLISIS DE RIESGOS: Indica los pasos a seguir para determinar y evaluar de forma adecuada los riesgos, amenazas y salvaguardas que puede tener y ejecutar la compañía.

Establecer los activos relevantes para la organización, su interrelación y su valor.

Definir a qué amenazas están expuestos los activos.

Determinar las salvaguardas hay dispuestas y cuan eficaces son frente al riesgo.

Estimar el impacto o daño sobre el activo derivado de la materialización de la amenaza.

Estimar el riesgo y el impacto ponderado con la tasa de ocurrencia de la amenaza.

El siguiente gráfico muestra el proceso de la Metodología Magerit y los elementos del análisis de riesgos potenciales:

Tomado de: https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/Libro_I_metodo.pdf

Es importante que las organizaciones tengan un claro conocimiento de estas metodologías ya que además de ser aplicadas fácilmente, son bastante útiles y ayudan a lograr eficiencia y eficacia en los sistemas de información mediante la minimización de los riesgos.

FUENTES:

MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

COBIT

COBIT es un marco de referencia generalmente aplicable y aceptado para las buenas prácticas de control, seguridad y gobierno de la Tecnología de la Información (TI). COBIT está principalmente enfocado al negocio, además posee un diseño amigable y bastante práctico para ser usado tanto por los usuarios de TI como por la gerencia.

Actualmente COBIT se encuentra en su quinta versión, la cual fue publicada el10 de Abril de 2012.

COBIT está usualmente representado por un cubo en donde se muestra la relación de sus tres componentes, la búsqueda de los requerimientos del negocio mediante el uso de los recursos de tecnologías y siendo administrados por los procesos y actividades de control.

Tomado de: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

1. Requerimientos del negocio: Hace referencia a las cualidades que COBIT establece debe tener toda información en las compañías. Dichas cualidades son:

Efectividad: Relevancia y pertinencia.

Eficiencia: Optimización de recursos.

Confidencialidad: Contra divulgación no autorizada.

Integridad: Precisa, completa y válida.

Disponibilidad: Disponible cuando sea requerida.

Cumplimiento: Leyes, reglamentos.

Confiabilidad: Apropiada para el desarrollo de funciones.

2. Procesos de Tecnologías de la Información: COBIT define las actividades de TI en un modelo genérico de procesos en cuatro (4) dominios interconectados entre sí.

Dominios: Planear y organizar, Adquirir e implementar, Entregar y dar soporte, Monitorear y evaluar.
Procesos y Actividades: Se derivan de los dominios y permiten su funcionamiento y desarrollo.

3.Recursos de Tecnologías de la Información: Son los recursos necesarios para crear una capacidad técnica adecuada, dar soporte y generar los resultados deseados. Dichos recursos son:

Aplicaciones: Sistemas de usuario final y procedimientos manuales que procesan información.
Información: Datos en diferentes formas de entrada, procesados y generados por los SI.
Infraestructura: Tecnología e instalaciones que permiten el procesamiento de las aplicaciones.
Personas: Personal requerido para planear, dirigir, implementar y evaluar los sistemas y los servicios d einformación.

Fuentes:

COBIT - Control Objectives for Information and related Technology

Informe COSO

Hoy les hablaremos de un estándardel cual siempre escuchamos pero que a veces no logra quedarnos claro en que consiste básicamente, les hablamos del informe COSO, así que haremos un breve recorrido por su definición, sus componentes y su función.

COSO (Committee of Sponsoring Organizations of the Treadway Commission) hace referencia a una guía de gestión e implementación del control interno en una compañía. COSO está enfocado al cumplimiento de 3 objetivos principales:

Eficiencia y efectividad en las operaciones de la compañía.
Confiabilidad en la información financiera.
Debido cumplimiento de las leyes y regulaciones aplicables.

Este proceso integrado debe cumplir con 5 componentes que permiten una buena planificación y control de las actividades internas de la compañía, usualmente está representado en una gráfica en forma de cubo.

Tomado de: http://www.cancer.gov.co/images/dinamicas/meci.jpg

Ambiente de control: Es el fundamento del control interno pues en él se apoya y establece el control para toda la organización. Principios: Integridad y valores éticos, Compromiso para las competencias, Estructura organizacional, Filosofía de la administración

Evaluación de Riesgos: Establece la forma en que la Entidad identifica los eventos que ponen en riesgo la consecución de sus objetivos y la forma de afrontar dichos riesgos. Principios: Establecimiento de objetivos, Identificación de riesgos, Respuesta y valoración.

Actividades de control: Políticas, procedimientos y demás acciones adoptadas por la Entidad para asegurar el cumplimiento de los objetivos. Las actividades de control tienen lugar a través de la organización, a todos los niveles y en todas las funciones. Principios: Revisiones de alto nivel, Gestión directa a actividades, Procesamiento de información, Controles físicos, Indicadores de gestión.

Información y comunicación: La información se necesita en todos los niveles de la organización para identificar, evaluar y responder a los riesgos, y por otra parte dirigir la Entidad y conseguir sus objetivos. Principios:Comunicación (Interna-externa) y Calidad de la información.

Monitoreo: Se debe evaluar la presencia y funcionamiento de los controles a lo largo del tiempo mediante actividades de monitoreo permanentes yevaluaciones independientes para garantizar el cumplimiento de los objetivos de la Entidad. Principios: Monitoreo permanente y Evaluaciones independientes.

Finalmente lo que pretende el informe COSO es lograr que exista una interacción entre los componentes ya mencionados para poder cumplir los objetivos principales propuestos para el control interno en la organización.

En la siguiente gráfica podemos observar de manera muy resumida y clara como debería ser el funcionamiento e integración de los componentes de COSO:


Tomado de: http://www.auditool.org/index.php?option=com_content&view=article&id=290:el-informe-coso-i-y-ii&catid=39:trip-deals&Itemid=56

Esperamos hayan aclarado un poco su idea acerca del informe COSO y recuerden que si desean más información acerca de este tema pueden encontrarla en los siguientes enlaces:

• COSO - Página Principal
• Cámara de Comercio de Bogotá - COSO
• Auditool - Informe COSO

cuestionario auditoria en redes

1. ¿Cuentas con un servidor?

2. ¿Qué versión es?

3. ¿Con que capacidad de banda de ancha cuanta?

4. ¿Con que tipo de topología de red cuenta?

5. ¿Alguien más tiene acceso a su WIFI?

6. ¿Qué compañía tiene usted contratada de internet?

7. ¿Cuántos equipos están conectados a la red?

8. ¿Cuál es la ip de cada computadora?

9. ¿Cuenta con base de datos para tiempos de renta de los equipos?

10. ¿Usted realizo toda la instalación de la red de sus equipos?

11. ¿Se encuentra el sistema en una superficie sólida y estable o lo más cerca del suelo posible?

12. ¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas extremas de
frío / calor?

13. ¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco tráfico humano?

14. ¿Están las puertas cerradas con llave y las alarmas activadas fuera de horario de oficina?

15. ¿Está la red segura sin peligro de conexión no autorizada?

16. ¿Tiene sólo el personal autorizado acceso a la red física a la que está conectado el sistema?

17. ¿Conoce y confía en todos los diversos puntos donde se gestiona la conexión de red física / administrados por otra persona o entidad?

18. ¿Están los sistemas de su infraestructura asegurados contra problemas eléctricos?

19. ¿Existe un control de accesos al CPD?

20. ¿Están habilitados los puertos usb / firewire / lector de tarjetas de los equipos?

21. ¿Existe un control sobre los dispositivos de almacenamiento extraíble?

22. ¿Existe un control sobre los distintos software de almacenamiento en la nube instalados en sus equipos (Dropbox, Google Drive, Hibuc…)?

23. ¿Conoce los nombres de los proveedores, la funcionalidad y la naturaleza del software en su sistema que participa en cualquier actividad de la red?

24. ¿Ha comprobado que no existan parches de seguridad del software y recibe regularmente las actualizaciones de seguridad o vulnerabilidades del software que utiliza en la red?

25. ¿Ha probado a fondo cualquier servicio que funcione en la red para asegurarse de que por defecto no proporcionan a algún usuario no autorizado información de seguridad que se podría utilizar para atacar el sistema?

26. ¿Se limitan las capacidades de los usuarios para que la información sensible sobre el sistema no esté disponible en la red?

27. ¿Se permite la ejecución de la consola del sistema (o línea de comandos) sólo a usuarios autorizados?

28. ¿Es consciente de los agujeros de seguridad creados por cierto software que interactúa con otros?

29. ¿Conoce todo el software que puede interactuar con la red, los números de puerto que utilizan, el tamaño y la ubicación de los ejecutables, etc?

30. ¿Existen dispositivos móviles con acceso a la red de la empresa?

31. En caso de que existan, ¿Son propiedad de la empresa o del usuario?

32. ¿Se comprueba su estado regularmente (actualizaciones, antivirus…)?

33. ¿Se cambian las contraseñas de las cuentas de usuario de la red con regularidad?

34. ¿Se cifran los datos confidenciales que se transfieren a través de la red y hacia el exterior?

35. ¿Suele buscar intentos repetidos de conexión no autorizados para conectarse a su sistema a través de una red?

36. ¿Mantiene registros suficientes de toda la actividad de red relacionada con su sistema?

37. ¿Suele comprobar si los programas no autorizados que se ejecutan en su sistema potencialmente podrían permitir a un usuario conectarse a través de la red?

38. ¿Monitoriza la actividad de red en busca de tráfico excesivo o inusual que llega a su sistema?

39. ¿Dispone de algún sistema de copia de seguridad?

40. ¿Presta atención a las copias de seguridad?

41. ¿Conserva algún respaldo de sus copias de seguridad fuera de su organización?

42. ¿Alguna de sus máquinas está publicada en internet?

43. ¿Hay habilitados accesos externos a los equipos de su red?

44. ¿Existe documentación sobre los permisos otorgados a cada usuario?

45. ¿Se realiza un seguimiento de los usuarios que dejan de pertenecer a la empresa? ¿Son dados de baja del AD?

46. ¿Se cumple la LOPD en cuanto a gestión y protección de los ficheros?

27001

los enlaces muestran la norma 27001 en un diagrama esquemático

http://prezi.com/brnqazatm6ms/?utm_campaign=share&utm_medium=copy&rc=ex0share

norma 27001

sábado, 10 de octubre de 2015

ANÁLISIS DE RIESGO

Hace parte del sistema de gestión de riesgo tener la seguridad de la información es necesario para el funcionamiento de las empresas se debe saber cuales son los puntos vulnerables de los activos informáticos y cuales son las amenazas que pueden explotar esas falencias. Si se conocen los riesgos se pueden establecer las medidas preventivas y correctivas que garanticen niveles de seguridad mas altos y mejores en la información

las metodologías parten de un punto común:

la identificación de los activos de información (todos los recursos involucrados en la gestión de la información datos, hadware, documentos escritos, recurso humano) sobre esto se hace la identificación de las amenazas , riesgos y vulnerabilidades

La amenaza se define como el evento que puede afectar los activos de informacióny se relacionan al recurso humano, eventos naturales o fallas técnicas

Una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposición a que se presente algún tipo de pérdida para la empresa.

Para que la empresa pueda tomar decisiones sobre cómo actuar ante los diferentes riesgos es necesario hacer una valoración para determinar cuáles son los más críticos para la empresa. Esta valoración suele hacerse en términos de la posibilidad de ocurrencia del riesgo y del impacto que tenga la materialización del riesgo.

La valoración del impacto puede medirse en función de varios factores: la pérdida económica si es posible cuantificar la cantidad de dinero que se pierde, la reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información.

Lo más importante del análisis de riesgos es la identificación de controles ya sea para mitigar la posibilidad de ocurrencia de la amenaza o para mitigar su impacto. Las medidas de control que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposición que represente para la información corporativa.

Una empresa puede afrontar un riesgo de cuatro formas diferentes

aceptarlo: Si un riesgo no es lo suficientemente crítico para la empresa ser consciente de que el riesgo existe y hacer un monitoreo sobre él

transferirlo o mitigarlo: Si el riesgo representa una amenaza importante para la seguridad de la información

Evitarlo: Evitar el riesgo, eliminando los activos de información o la actividad asociada.

La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o simplemente evitar que se presenten.

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información

jueves, 8 de octubre de 2015

Mapa Conceptual De Controles Internos Para Los Procedimientos De Entrada De Datos,El Procesamiento De Informacion Y La Emision De Resultados.

domingo, 27 de septiembre de 2015

CRACKER

Un cracker es alguien que viola la seguridad de un sistemas informático con fines de veneficio personal, o simplemente lo asen para divertirse, también se les conoce como piratas informáticos, y también diseñan programas llamados cracs informáticos en pocas palabras el cracker es un delincuente cibernético.

HACKING ETICO

Los hacker son expertos en todo lo que tenga que ver con el mundo de las computadoras, los hacker Éticos, son personas dedicadas, a aplicar sus conocimientos para encontrar vulnerabilidades en los sistemas, si se encuentran vulnerabilidades en los sistemas asi mismo estos los informan , en pocas palabras se convierten en profesionales de la seguridad informática, que aplican sus conocimientos de haking con fines defensivos y legales.

HACKER

Un hacker, es una persona con altos conocimientos en informática, programación y todo lo que tenga que ver con el mundo de las computadoras, podemos definir 3 tipos de hacker ya que contrario a la creencia casi extendida totalmente del mundo no todos los hacker son malos hay hackers buenos hay hacker malos y hay hacker intermedios y en algunos casos neutrales, hay hackers de sombrero negro estos son delincuentes cibernéticos, siempre tratan de ingresar a servidores o redes que no son de su propiedad, y robar ideas que no son suyas y lucrarse de alguna forma con la información robada o con la privacidad de otra persona, también están los hacker de sombrero blanco, estos son los buenos, estos se dedican a detectar errores en sistemas para mejorarlos y reforzar la seguridad y prevenir ataques de los hacker malos.