CAPITULO 8 ° El correo electrónico puede contener adjuntos que sirven como trampolines para el

software malicioso o el acceso sin autorización a los sistemas corporativos internos.

° Además de las pérdidas por el robo de datos financieros, las dificultades de erradicar el
software malicioso o de reparar los daños provocados por el robo de identidad se añaden
SEGURIDAD INALAMBRICA
a los costos operacionales.
° Los intrusos pueden infiltrarse en muchas redes Wi-Fi con facilidad mediante el uso de
° Si opera un negocio en la actualidad las prioridades más importantes serán:
programas husmeadores para obtener una dirección y acceder a los recursos de una red
Seguridad: se refiere a las políticas, procedimientos y medidas técnicas que se utilizan
sin autorización.
para evitar el acceso sin autorización, la alteración, el robo o el daño físico a los sistemas
° Un intruso que se haya asociado con un punto de acceso mediante el uso del SSID
de información.
correcto es capaz de acceder a otros recursos en la red, en donde usa el sistema operativo
Controles: son métodos, políticas y procedimientos organizacionales que refuerzan la
Windows para determinar qué otros usuarios están conectados a la red y accede a los
seguridad de los activos de la organización; la precisión de sus registros, y la adherencia
discos duros de su computadora, de modo que puede abrir o copiar sus archivos.
operacional a los estándares gerenciales.
° Hay disponibles sistemas de cifrado y autenticación más sólidos, como el Acceso Wi-Fi
° Cuando se almacenan grandes cantidades de datos en forma electrónica, son vulnerables
protegido 2 (WPA2) {porque WEP establece un punto de acceso en la que todos sus
a muchas amenazas. Los sistemas de información se interconectan en distintas
usuarios deben compartir la misma contraseña cifrada de 40 bits, que los hackers pueden
ubicaciones a través de las redes de comunicaciones. El potencial acceso sin autorización
descifrar con facilidad a partir de una pequeña cantidad de tráfico}
o fraude no se limita a una sola ubicación, sino que puede ocurrir en cualquier punto de
acceso en la red. Se pueden derivar de los factores técnicos y organizacionales
MALWARE
compuestos por malas decisiones gerenciales.
° Son programas de software malicioso que incluyen una variedad de amenazas:
° Existen vulnerabilidades en cada capa y en las comunicaciones entre ellas.
*virus de computadora es un programa de software malintencionado que se une a otros
->Los usuarios en la capa cliente pueden provocar daños al introducir errores o acceder a
programas de software o archivos de datos para poder ejecutarse, por lo general sin el
los sistemas sin autorización
conocimiento o permiso del usuario.
-> Es posible acceder a los datos que fluyen a través de las redes, robar datos valiosos
*gusanos destruyen datos y programas; además pueden interrumpir o detener la
durante la transmisión o alterar mensajes sin autorización.
operación de las redes de computadoras. Son programas de computadora independientes
° Aquellas personas capaces de penetrar en los sistemas corporativos pueden destruir o
que se copian a sí mismos de una computadora a otras computadoras a través de una red.
alterar los datos corporativos almacenados en bases de datos o archivos.
*caballo de Troya en sí no es un virus, ya que no se reproduce, pero es con frecuencia un
° Los sistemas fallan si el hardware de computadora:
medio para que los virus u otro tipo de software malicioso entren en un sistema
- se descompone
computacional.
- no está configurado en forma apropiada
*ataques de inyección de SQL aprovechan las vulnerabilidades en el software de
- se daña debido al uso inapropiado o actos delictivos
aplicación Web mal codificado para introducir código de programa malicioso en los
Las fallas de energía, inundaciones, incendios u otros desastres naturales también pueden
sistemas y redes de una compañía. Esto ocurre cuando una aplicación Web no valida o
perturbar los sistemas computacionales.
filtra de manera apropiada los datos introducidos por un usuario en una página Web, que
° Tal vez los intrusos tengan acceso a las redes corporativas internas por medio de
podría ocurrir al momento de pedir algo en línea.
dispositivos móviles.
*spyware actúa como software malicioso. Estos pequeños programas se instalan a sí
mismos de manera oculta en las computadoras para monitorear la actividad de
VULNERABILIDADES DE INTERNET
navegación Web de los usuarios y mostrarles anuncios.
° Las computadoras que tienen conexión constante a Internet mediante módems de cable
o líneas de suscriptor digitales (DSL) son más propensa a que se infiltren personas externas
HACKER Y DELITOS COMPUTACIONALES
debido a que usan direcciones de Internet fijas, mediante las cuales se pueden identificar
con facilidad.
° Un hacker es un individuo que intenta obtener acceso sin autorización a un sistema
computacional al encontrar debilidades en las protecciones de seguridad empleadas por
los sitios Web y los sistemas; aprovechan las diversas características de Internet que los
convierten en sistemas abiertos fáciles de usar.
°Actividades de los hackers:
-intrusión en los sistemas, para incluir el robo de bienes e información
-daños en los sistemas
-cibervandalismo: la interrupción, desfiguración o destrucción intencional de un sitio Web
o sistema de información corporativo.
° Spoofing: implica el hecho de redirigir un vínculo Web a una dirección distinta de la que
se tenía pensada, en donde el sitio se hace pasar por el destino esperado.
° Husmeador (sniffer): permite a los hackers robar información propietaria de cualquier
parte de una red, como mensajes de correo electrónico, archivos de la compañía.
° Los tipos de delitos por computadora que provocan el mayor daño económico son los
ataques DoS {provocan que un sitio Web se cierre, con lo cual es imposible para los
usuarios legítimos acceder a éste}, la introducción de virus, el robo de servicios y la
interrupción de los sistemas computacionales.
ROBO DE IDENTIDAD
Crimen en el que un impostor obtiene piezas clave de información personal.
Phishing: proceso de establecer sitios Web falsos o enviar tanto correo electrónico como
mensajes de texto que se parezcan a los de las empresas legítimas, para pedir a los
usuarios datos personales.
Gemelos malvados: son redes inalámbricas que pretenden ofrecer conexiones Wi-Fi de
confianza a Internet. Los estafadores tratan de capturar las contraseñas o los números de
tarjetas de crédito de los usuarios que inician sesión en la red sin darse cuenta de ello.
Pharming: redirige a los usuarios a una página Web falsa, aun y cuando el individuo
escribe la dirección de la página Web correcta en su navegador. Es posible porque
obtienen acceso a la información de las direcciones de Internet.
° Los usuarios finales introducen errores al escribir datos incorrectos o al no seguir las
instrucciones apropiadas para procesar los datos y utilizar el equipo de cómputo. Los
especialistas de sistemas de información pueden crear errores de software mientras
diseñan y desarrollan nuevo software o dan mantenimiento a los programas existentes.
° Un problema importante con el software es la presencia de bugs ocultos, o defectos de
código del programa. La principal fuente de los bugs es la complejidad del código de toma
de decisiones.
° Para corregir las fallas en el software una vez identificadas, el distribuidor del software
crea pequeñas piezas de software llamadas parches para reparar las fallas sin perturbar
la operación apropiada del software.
REQUERIMIENTOS PARA LA ADMINISTRACIÓN DE REGISTROS DIGITALES
° Las firmas se enfrentan a nuevas obligaciones legales en cuanto a la retención, el
almacenaje de registros electrónicos y la protección de la privacidad.
EVIDENCIA ELECTRONICA
° La seguridad, el control y la administración de los registros digitales se han vuelto
fundamentales para responder a las acciones legales.
° la evidencia que se representa en forma de datos digitales almacenados en discos
flexibles portátiles, CD y discos duros de computadora, así como en correo electrónico,
mensajes instantáneos y transacciones de correo electrónico a través de Internet.
° En una acción legal, una empresa se ve obligada a responder a una solicitud de exhibición
de pruebas para acceder a la información que se puede utilizar como evidencia, y la
compañía debe por ley entregar esos datos.
° La evidencia electrónica reside en medios de almacenamiento de computadora, en
forma de archivos y como datos ambientales, que no son visibles para el usuario
promedio. Ej. un archivo que se haya eliminado en un disco duro de PC, se pueden
recuperar por medio de varias técnicas.
CONTROLES DE SISTEMAS DE INFORMACION
° Pueden ser manuales y automatizados que consisten en:
-Los controles generales gobiernan el diseño, la seguridad y el uso de los programas de
computadora, además de la seguridad de los archivos de datos en general.
-Los controles de aplicación son controles específicos únicos para cada aplicación
computarizada. Aseguran que la aplicación procese de una forma completa y precisa sólo
los datos autorizados. Los controles de aplicación se pueden clasificar como (1) controles
de entrada, verifican la precisión e integridad de los datos cuando éstos entran al sistema.
(2) controles de procesamiento, establecen que los datos sean completos y precisos
durante la actualización; y (3) controles de salida, aseguran que los resultados del
procesamiento de computadora sean precisos, completos y se distribuyan de manera
apropiada.
° La política de seguridad controla las políticas que determinan el uso aceptable de loa
información de la firma y qué miembros de la compañía tienen acceso a sus activos de
información.
-Una política de uso aceptable (AUP) define los usos admisibles de los recursos de
información, laptos y pc de la firma (equipos de cómputo). Define las acciones
inaceptables y aceptables para cada usuario.
-La administración de identidad consiste en las herramientas de software para identificar
a los usuarios válidos de un sistema, y para controlar su acceso a los recursos del mismo.
° Planificación de recuperación de desastres: idea planes para restaurar los servicios de
cómputo y comunicaciones después de haberse interrumpido. El principal enfoque es en
los aspectos técnicos involucrados en mantener los sistemas en funcionamiento, tales
como qué archivos respaldar y el mantenimiento de los sistemas de cómputo de respaldo.
TECNOLOGÍAS Y HERRAMIENTAS PARA PROTEGER LOS RECURSOS DE INFORMACIÓN
Las empresas cuentan con una variedad de tecnologías para proteger sus recursos de
información, tales como:
. Autenticación: habilidad de saber que una persona es quien dice ser. La forma más
común de establecer la autenticación es que un usuario final utiliza una contraseña para
iniciar sesión en un sistema computacional y también puede usar contraseñas para
acceder a sistemas y archivos específicos.
. Autenticación biométrica: usa sistemas que leen e interpretan rasgos humanos
individuales, como las huellas digitales, el iris de los ojos y las voces, para poder otorgar o
negar el acceso. Compara las características únicas de una persona.
FIREWALLS
° Evitan que los usuarios sin autorización accedan a redes privadas. Es una combinación
de hardware y software que controla el flujo de tráfico de red entrante y saliente. Por lo
general se colocan entre las redes internas privadas de la organización y las redes externas
que no son de confianza como Internet.
° Verifica información (nombres, direcciones IP, aplicaciones y otras características del
tráfico entrante) y la compara con las reglas de acceso que el administrador de red tiene
programadas en el sistema.
° Filtrado de firewall: ●El filtrado de paquetes examina ciertos campos en los encabezados
de los paquetes de datos que van y vienen entre la red de confianza e Internet.
●. La inspección con estado provee una seguridad adicional al determinar si los paquetes
forman parte de un diálogo continuo entre un emisor y un receptor. Los paquetes se
aceptan si forman parte de una conversación aprobada, o si solo tratan de establecer una
conexión legítima.
●.La traducción de direcciones de red (NAT) puede proveer otra capa de protección. oculta
las direcciones IP de la(s) computadora(s) host interna(s) de la organización para evitar
que los programas husmeadores, que están fuera del firewall, las puedan descubrir y
utilicen esa información para penetrar en los sistemas internos.
●Un servidor proxy detiene los paquetes de datos que se originan fuera de la organización,
los inspecciona y pasa un proxy al otro lado del firewall. Si un usuario que esté fuera de la
compañía desea comunicarse con un usuario dentro de la organización, el usuario externo
primero “habla” con la aplicación proxy y ésta se comunica con la computadora interna
de la firma.
° Los firewalls pueden impedir, pero no prevenir por completo, que usuarios externos
penetren la red, por lo cual se deben tener en cuenta como un elemento en un plan de
seguridad general.
° Además de los firewalls, se proveen sistemas de detección de intrusos para proteger
contra el tráfico de red sospechoso y los intentos de acceder a los archivos y las bases de
datos. Estos contienen herramientas de monitoreo de tiempo completo que se colocan
en los puntos más vulnerables. El software de exploración busca patrones que indiquen
métodos conocidos de ataques por computadora, como malas contraseñas y envía
advertencias de vandalismo o errores de administración de sistemas.
° El software antivirus está diseñado para revisar los sistemas computacionales en busca
de la presencia de virus. Por lo general, el software elimina el virus del área infectada. Para
que siga siendo efectivo, hay que actualizar el software antivirus en forma continua.
° El cifrado es el proceso de transformar texto o datos simples en texto cifrado que no
pueda leer nadie más que el emisor y el receptor deseado.
° Los certificados digitales ayudan a establecer la identidad de las personas o activos
electrónicos. Protegen las transacciones en línea al proveer una comunicación en línea
segura y cifrada.
° Una tecnología conocida como inspección profunda de paquetes (DPI) examina los
archivos de datos y ordena el material en línea de baja prioridad (youtube o descarga de
musica) mientras asigna mayor prioridad a los archivos críticos para la empresa. Con base
en las prioridades establecidas, decide si un paquete de datos específico puede continuar
hacia su destino, o si hay que bloquearlo o retrasarlo mientras avanza el tráfico más
importante.
° Subcontratación (outsourcing) de la seguridad: pueden subcontratar funciones de
seguridad con proveedores de servicios de seguridad administrados (MSSP), quienes
monitorean la actividad de la red y realizan pruebas de vulnerabilidad, además de
detección de intrusos.
CAPITULO 4
° El gerente tendrá que decidir por su cuenta qué es lo que constituye una conducta legal
y ética apropiada.
° Los sistemas de información generan nuevas cuestiones éticas para las sociedades, ya
que crean oportunidades para un intenso cambio social y, por ende, amenazan las
distribuciones existentes de poder, dinero, derechos y obligaciones.
° Internet y las tecnologías de las empresas digitales facilitan ahora los procesos de
ensamblar, integrar y distribuir la información, lo cual desencadena nuevas cuestiones
sobre el uso apropiado de la información de los clientes, la protección de la privacidad
personal y la protección de la propiedad intelectual.
° La introducción de nueva tecnología de la información tiene un efecto de onda, el cual
genera nuevos aspectos éticos, sociales y políticos.
° Poderosa sacudida provocada por nueva tecnología y nuevos sistemas de información
que impactan a una sociedad. Los individuos se enfrentan a nuevas situaciones que con
frecuencia no están cubiertas por las antiguas reglas.
Las instituciones sociales no pueden responder de un día a otro a estas ondas; tal vez se
requieran años para desarrollar expectativas, responsabilidad social o reglas aprobadas.
Las instituciones políticas también requieren cierto tiempo para poder desarrollar nuevas
leyes.
DIMENSIONES MORALES DE LA ERA DE LA INFORMACIÓN
- Derechos y obligaciones de información. ¿Qué derechos de información poseen
los individuos y las organizaciones de ellos mismos? ¿Qué pueden proteger?
- Derechos y obligaciones de propiedad. ¿Cómo se protegerán los derechos de
propiedad intelectual tradicionales en una sociedad digital en la que es difícil
rastrear y rendir cuentas sobre la propiedad?
- Rendición de cuentas y control. ¿Quién puede y se hará responsable de rendir
cuentas por el daño hecho a la información, y a los derechos de propiedad?
- Calidad del sistema. ¿Qué estándares de calidad de los datos y del sistema
debemos exigir para proteger los derechos individuales y la seguridad de la
sociedad?
- Calidad de vida. ¿Qué valores se deben preservar en una sociedad basada en la
información y el conocimiento? ¿Qué instituciones debemos proteger para evitar
que se violen sus derechos?
° Los avances en las técnicas de almacenamiento de datos y el rápido decremento de los
costos del almacenamiento han sido responsables del aumento en el número de bases de
datos sobre individuos (empleados, clientes y clientes potenciales) que mantienen las
organizaciones.
Los avances en las técnicas de análisis de datos para las grandes reservas de información
son otra tendencia tecnológica que enaltece las cuestiones éticas (se pueden averiguar
información personal muy detallada sobre los individuos.)
CREACION DE PERFILES
° Formas en que genera información de computadora sobre usted: compras con tarjetas
de crédito, llamadas telefónicas, suscripciones, etc. Las compañías con productos para
vender compran información relevante de estas fuentes para que les ayude a optimizar
con más detalle sus campañas de marketing.
El uso de las computadoras para combinar los datos de varias fuentes (estandarización,
relacionar, fusionar) y crear expedientes electrónicos de información detallada sobre
ciertos individuos se conoce como creación de perfiles.
° Resumen: los avances en las redes (incluyendo Internet) prometen reducir en gran
medida los costos de desplazar y acceder a grandes cantidades de datos; además abren la
posibilidad de explotar las reservas de datos en forma remota mediante el uso de
pequeñas máquinas de escritorio, lo cual permite una invasión de la privacidad a una
escala y con una precisión nunca antes imaginable.
1. Los sistemas no tienen impactos por sí solos.
2. La responsabilidad de las consecuencias de la tecnología recae sin duda en las
organizaciones y gerentes individuales que eligen usar la tecnología. Una manera
socialmente responsable significa que, quien la usa puede ser y será considerado
responsable de las consecuencias de sus acciones.
3. los individuos y otras entidades pueden recuperarse de los daños sufridos por medio
de un conjunto de leyes caracterizadas por el debido proceso.
LAS DIMENSIONES MORALES DE LOS SISTEMAS DE INFORMACIÓN
° La tecnología y los sistemas de información amenazan los derechos individuales de
privacidad al hacer que la invasión de la misma sea algo económico, redituable y efectivo.
° La información que se envía a través de internet puede pasar por muchos sistemas
computacionales distintos antes de llegar a su destino final. Cada uno de estos sistemas
es capaz de monitorear y almacenar las comunicaciones que pasan a través del mismo.
Gran parte de este monitoreo y rastreo de los visitantes de sitios Web ocurre en el fondo
sin que el visitante se dé cuenta.
° Las herramientas para monitorear las visitas a World Wide Web se han vuelto populares,
ya que ayudan a las empresas a determinar quién visita sus sitios Web y cómo pueden
dirigir mejor sus ofertas (algunas empresas también monitorean la forma en que sus
empleados usan Internet, para ver cómo utilizan los recursos de red de la compañía). La
demanda comercial de esta información personal es casi insaciable.
° Los sitios Web pueden conocer las identidades de sus visitantes si éstos se registran
de manera voluntaria en el sitio. Los sitios Web también pueden capturar
información sobre los visitantes sin que éstos lo sepan, mediante el uso de la tecnología
de cookies, que son pequeños archivos de texto que se depositan en el disco duro de una
computadora cuando un usuario visita sitios Web. Cuando el visitante regresa a un sitio
que tiene almacenado un cookie, el software del sitio Web busca en la computadora del
visitante, encuentra el cookie y sabe qué ha hecho esa persona en el pasado. De esta
forma, el sitio puede personalizar su contenido para los intereses de cada visitante. No
pueden obtener de manera directa los nombres y direcciones de los visitantes.
° Los bugs Web son pequeños objetivos incrustados de manera invisible en los mensajes
de correo electrónico y las páginas Web, los cuales están diseñados para monitorear el
comportamiento del usuario que visita un sitio o envía un correo electrónico. El bug Web
captura y transmite la información, como la dirección IP de la computadora del usuario,
la hora en que se vio una página Web y por cuánto tiempo. Los sitios populares contienen
de 25 a 35 de estos bugs.
° El spyware se puede instalar de manera secreta a sí mismo en la computadora de un
usuario de Internet, para lo cual se aprovecha de las aplicaciones más grandes. Una vez
instalado, se contacta con los sitios Web para que envíen anuncios tipo pancarta y
diversos tipos de material no solicitado al usuario, y también puede informar sobre los
movimientos del usuario en Internet a otras computadoras.
° Un modelo de consentimiento informado con opción de no participar (opt-out) permite
la recolección de información personal hasta que el consumidor solicita de manera
explícita que no se recolecten los datos.
A los defensores de la privacidad les gustaría ver un uso más amplio del modelo de
consentimiento informado con opción de participar (opt-in), en el cual se prohíbe a una
empresa recolectar información personal a menos que el consumidor tome una acción
específica para aprobar la recolección y el uso de la información.
° La mayoría de las empresas en Internet hacen poco por proteger la privacidad de sus
clientes, y los consumidores no hacen todo lo que deberán por protegerse.
Soluciones técnicas
Además de la legislación, hay nuevas tecnologías disponibles para proteger la privacidad
de los usuarios durante las interacciones con los sitios Web. Muchas de estas
herramientas se utilizan para encriptar correo electrónico, para hacer que las actividades
de enviar/recibir correo electrónico o navegar en Web parezcan anónimas, para evitar
que las computadoras cliente acepten cookies o para detectar y eliminar el spyware.
° El estándar P3P (Platform for Privacy Preferences) permite a los sitios Web publicar
políticas de privacidad en un formato que las computadoras (cualquier software de
navegador del usuario) puedan comprender. Los usuarios pueden utilizar la plataforma
P3P para seleccionar el nivel de privacidad que deseen mantener al interactuar con el sitio
Web. No obstante, el estándar P3P sólo funciona con los sitios Web de miembros del
Consorcio World Wide Web, que han traducido sus políticas de privacidad de sitios Web
al formato P3P.
° La tecnología de la información ha dificultado el proceso de proteger la propiedad
intelectual, ya que es muy fácil copiar o distribuir la información computarizada en las
redes.
° La propiedad intelectual está sujeta a una variedad de protecciones bajo tres tradiciones
legales distintas:
-> Cualquier producto del trabajo intelectual (una fórmula, dispositivo) que se utilice para
un fin comercial se puede clasificar como secreto comercial. La limitación de la protección
de los secretos comerciales es que, aunque casi todos los programas de software de
cualquier complejidad contienen elementos únicos de alguna clase, es difícil evitar que las
ideas en la obra caigan en el dominio público cuando el software se distribuya de manera
amplia.
-> Los derechos de autor protegen contra la copia de programas completos o una de sus
partes. Las compensaciones por los daños se obtienen con rapidez al momento de una
infracción. La desventaja de la protección de los derechos de autor es que no se protegen
las ideas subyacentes detrás de una obra, sólo su manifestación en ésta. Un competidor
puede usar su software, comprender cómo funciona y crear nuevo software que siga los
mismos conceptos sin infringir los derechos de autor. El juzgado dictaminó que el
concepto, la función, las características funcionales generales (por ejemplo, los menús
desplegables) y los colores similares no se pueden proteger por la ley de los derechos de
autor.
-> Una patente otorga al propietario un monopolio exclusivo sobre las ideas detrás de una
invención durante 20 años. La ley de patentes asegura que los inventores de nuevos
dispositivos o métodos recibieran las recompensas financieras junto con otras
recompensas adicionales por su labor, y que al mismo tiempo fuera posible un uso
extendido de la invención al proporcionar diagramas detallados para quienes desearan
usar la idea bajo licencia del propietario de la patente.
° Con los medios digitales (las tecnologías contemporáneas de información, en especial el
software) hay facilidad de transmisión, alteración; dificultad en la clasificación de una obra
de software; compactibilidad; lo cual facilita el robo.
° En general, en la medida en que el software sea parte de una máquina, y ésta provoque
daños físicos o económicos, el productor del software y el operador se pueden hacer
responsables legales de los daños.
° Es muy difícil responsabilizar de manera legal a los productores de software por sus
productos que se consideran parecidos a los libros, sin importar el daño físico o económico
que resulte. Jamás se ha responsabilizado a las editoriales de material impreso, libros y
periódicos debido al temor de que los alegatos de responsabilidad interfieran con los
derechos que garantizan la libertad de expresión.
° Dada la centralidad del software en cuanto a la vida diaria, hay altas probabilidades de
que la ley de responsabilidad legal extienda su alcance para incluirlo.
° Las tres principales fuentes de un mal desempeño del sistema son (1) bugs y errores de
software, (2) fallas de hardware o de las instalaciones provocadas por casusas naturales y
(3) mala calidad de los datos de entrada. No se pueden lograr cero defectos en el código
de software, y por qué no se puede estimar la gravedad de los bugs restantes. Por ende,
hay una barrera tecnológica que impide lograr el software perfecto.
° Los sistemas son muy ubicuos (que las organizaciones son extremo dependientes de
estos sistemas de información y, por lo tanto, muy vulnerables si éstos fallan) como el
sistema telefónico, pero no hay fuerzas regulatorias vigentes que sean similares a las
tecnologías de servicios públicos.
° El simple hecho de acceder a un sistema computacional sin autorización o con la
intención de hacer daño, incluso por accidente, se considera ahora un delito federal.

ADMINISTRACION DE PROYECTOS