Seguridad en Los Sistemas de Información

Seguridad en los sistemas de información
Aspectos prácticos de la informática

Objetivos
• Explicar porque son vulnerables los sistemas de información a la destrucción, el

error y el abuso.
• Describir el valor de negocios que tiene la implementación de la seguridad y el
control.
• Describir los componentes de un marco de trabajo organizacional para la seguridad
y el control.
• Describir las herramientas usadas para salvaguardar los recursos de información.
2 26/04/2018 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017 = Ing, Jorge A. Arévalo A.
Vulnerabilidad y abuso de los sistemas
• Cuando se almacenan grandes cantidades
de datos en formato electrónico, son
vulnerables a muchos más tipos de
amenazas que cuando existían en forma
manual.
• A través de las redes de comunicación, los
sistemas de información en diferentes
ubicaciones están interconectados. El
potencial de acceso no autorizado, abuso
o fraude no se limita a una sola ubicación,
sino que puede ocurrir en cualquier punto
de acceso de la red.
• Pueden derivarse de factores técnicos,
organizativos y ambientales compuestos
por decisiones deficientes de gestión.
• Seguridad
– Políticas, procedimientos y medidas
técnicas usadas para prevenir accesos
no autorizados, la alteración, el robo o
el daño físico a los sistemas de
información.
• Controles
– Métodos, políticas y procedimientos
organizacionales que aseguran la
seguridad de los activos de la
organización; la precisión y
confiabilidad de los registros, y la
adherencia operacional a los
estándares gerenciales.
• Por qué los sistemas son
vulnerables
– Accesibilidad de redes
– Problemas de hardware (abrazos
mortales, errores de configuración,
daños por uso impropio o criminal)
– Problemas de software (errores de
programación, errores de instalación,
cambios no autorizados)
– Desastres
– Uso de redes y/o computadoras por
fuera del control de la firma.
– Pérdida y robo de dispositivos
portátiles.
• Vulnerabilidad de Internet
– Red abierta a cualquiera.
– El tamaño de Internet implica que los
abusos pueden tener un alto impacto.
– El uso de direcciones fijas de Internet
con módems de cable/DSL crea
objetivos fijos para los hackers.
– VoIP son cifrada.
– Correo electrónico, P2P, IM
• Intercepción.
• Adjuntos con software malicioso.
• Transmisión de secretos corporativos.
• Desafíos de seguridad inalámbrica
– Bandas de radio frecuencia fáciles de
escanear.
– SSIDs (identificadores de conjuntos de
servicios)
• Identificación de los puntos de acceso.
• Múltiples transmisiones.
• Pueden ser identificados por programas de
tipo sniffer.
• Guerra de manejo
– Espías conducen entre los edificios intentando
detectar SSIDs para acceder a la red y a los
diferentes dispositivos.
• Una vez que se rompe el punto de acceso, el
intruso puede utilizar sistema operativo para
acceder a unidades y archivos de red.
• Malware (software malicioso)
– Virus
• Programa de software falso que se une a
otros programas de software o archivos
de datos con el fin de ser ejecutado
– Gusanos
• Programas independientes que se copian
a sí mismos de un ordenador a otros
ordenadores a través de una red.
– Gusanos y virus difundidos por
• Descargas
• Adjuntos en correo electrónico e IM
• Descargas desde sitios Web y redes
sociales.
• Malware (cont.)
– Los teléfonos inteligentes son tan
vulnerables como los computadores
• Estudios han encontrado más de 13000
tipos de malware para teléfonos
inteligentes.
– Caballos de Troya
• Software que parece benigno, pero que
hace algo más de los esperado.
– Ataques de inyección SQL
• Los hackers envían datos a los
formularios web que explotan software
sin protección del sitio y envían consultas
SQL maliciosas a la base de datos.
• Malware (cont.)
– Spyware
• Pequeños programas se instalan
subrepticiamente en las computadoras para
monitorear la actividad del usuario al navegar
por Internet y mostrar publicidad.
• Registradores de claves
– Registran cada tecla digitada en el ordenador
para robar números de serie, contraseñas, y
lanzar ataques de Internet.
• Otros tipos
– Cambiar la página de inicio del navegador
Web.
– Re direccionar las respuestas de las
búsquedas.
– Reduce el rendimiento de la computadora por
el consumo de memoria.
• Los Hackers y la delincuencia

informática
– Hackers vs. Crackers
– Actividades incluyen:
• Intrusión al sistema.
• Daños al sistema
• Ciber vandalismo
– Interrupción intencional,
desfiguración, destrucción de un sitio
web o de un sistema de información
corporativa.
• Spoofing
– Engañar mediante el uso de direcciones de
correo electrónico falsas, o haciéndose
pasar por otra persona.
– Redirigir un enlace web con una dirección
diferente a la deseada, con un sitio que se
hace pasar por destino previsto.
• Sniffer
– Programa de espionaje que monitorea la
información que viaja por la red.
– Permite a los hackers para robar
información privada, como los archivos de
correo electrónico, archivos de laempresa,
etc.
• Ataques de denegación de servicio
(DoS)
– Inundación de un servidor con miles de
solicitudes falsas para colapsar la red.
• Ataques distribuidos de denegación de
servicio (DDoS)
– Uso de un gran número de computadoras
para lanzar un DoS.
– Botnes (Robots informáticos)
• Redes de computadoras “zombis” infiltradas
por un bot malicioso.
• Entregan el 90% del spam mundial, el 80% del
malware mundial.
• Botnet Grum: controla 560000 a 840000
ordenadores
• Crimen computacional
– Se define como "cualquier violación de la
ley penal que implica un conocimiento de
la tecnología informática para su
perpetración, investigación o
enjuiciamiento“.
– Un computador puede ser objetivo de un
crimen, por ejemplo:
• Violar la confidencialidad de los datos
informáticos protegidos.
• Acceso a un sistema informático sin
autorización.
– Un computador puede ser instrumento de
un crimen, por ejemplo:
• El robo de secretos comerciales.
• El uso del correo electrónico en busca de
amenazas o acoso.
• Robo de identidad
– Robo de información personal (número de
seguro social, licencia de conducción o
números de tarjetas de crédito) para
hacerse pasar por otra persona.
• Phishing
– Creación de sitios web falsos o el envío de
mensajes de correo electrónico que se
parecen a los enviados por empresas
legítimas para pedir a los usuarios los
datos personales confidenciales.
• Gemelos malvados
– Redes inalámbricas que pretenden ofrecer
conexiones Wi-Fi a Internet de confianza.
• Pharming
– Redirigir a los usuarios a una página
Web falsa, incluso cuando las personas
digitan correctamente la dirección de
la página web en su navegador.
• Fraude de tecleo
– Se produce cuando un individuo o un
programa de computadora hace clic
fraudulento en publicidad en línea sin
ninguna intención de aprender más
sobre el anunciante o de realizar una
compra.
• Ciber terrorismo y guerra
cibernética.
• Amenazas internas: Empleados
– Las amenazas de seguridad a menudo
dentro de la organización.
– Conocimiento interno.
– Procedimientos de seguridad
descuidados
• Falta de conocimiento del usuario.
– Ingeniería social:
• Engañar a los empleados para que
revelen sus contraseñas, haciéndose
pasar por miembros legítimos de la
empresa con la necesidad de
información.
• Vulnerabilidad del software
– El software comercial contiene fallas que
crean vulnerabilidades de seguridad.
• Errores ocultos (defectos en el código del
programa)
– Alcanzar cero defectos no puede ser logrado,
porque las pruebas completas no son posibles
con programas grandes.
• Las fallas pueden abrir las redes a intrusos.
– Parches
• Pequeñas porciones de código para arreglar
fallas.
• A menudo los parches no pueden ser
liberados e implementados con misma
rapidez que las fallas se despliegan.
Valor de negocios de implementar el control de
seguridad
• Las fallas de los sistemas de computadoras

pueden liderar significativamente o
representar el total de la función de perdidas
del negocio.
• Las firmas son ahora más vulnerables que
antes.
– Datos personales confidenciales y financieros.
– Secretos de negocios, nuevos productos,
estrategias.
• Una falla de seguridad puede cortar el valor de
mercado de una empresa casi de inmediato.
• La seguridad y controles inadecuados también
crean cuestiones de responsabilidad.
seguridad
• Requisitos legales y reglamentarios
para la gestión de documentos
electrónicos y la protección de la
privacidad.
– HIPAA: Normas y procedimientos de
seguridad medica y privacidad.
– Ley Gramm-Leach-Bliley: le exige a las
instituciones financieras garantizar la
seguridad y confidencialidad de los datos
de los clientes.
– Ley Sarbanes-Oxley: impone
responsabilidad sobre las empresas y su
gestión para garantizar la exactitud y la
integridad de la información financiera que
se utiliza internamente y externamente.
seguridad
• Evidencia electrónica
– Evidencia de crímenes de cuello blanco, casi
siempre en forma digital
• Datos en los computadores, correo electrónico,
mensajes instantáneos y transacciones de
comercio electrónico.
– El control adecuado de los datos, puede
salvar tiempo y dinero cuando se responde a
la solicitud de pruebas legales.
• Informática forense:
– Recolección científica, exploración,
autenticación, conservación y análisis de los
datos procedentes de los medios de
almacenamiento en los computadores, para
su uso como prueba en tribunales de justicia.
– Incluye la recuperación de datos ambientales
y ocultos.
Estableciendo un marco de trabajo para la
seguridad y el control
• Controles de los sistemas de
información
– Controles manuales y automatizados.
– Controles generales y específicos.
• Controles generales
– Gobierno del diseño, seguridad y uso de
los programas informáticos y de seguridad
de los archivos de los datos in general, a
través de la infraestructura de tecnología
de información de la organización.
– Aplica a todas las aplicaciones
informáticas.
– Combinación de hardware, software y
manual de procedimientos para crear un
ambiente de control general.
• Tipos de control general

– Controles de software
– Controles de hardware
– Controles de operaciones
informáticas
– Controles de seguridad de los datos
– Controles de implementación
– Controles administrativos
• Aplicación de controles
– Controles específicos y únicos para
cada aplicación informática, tales como
nomina o procesamiento de ordenes.
– Incluye procedimientos automatizados
y manuales.
– Asegura que únicamente los datos
autorizados son completa y
precisamente procesados por dicha
aplicación.
– Incluye:
• Controles de entrada
• Controles de procesamiento
• Controles de salida
• Evaluación de riesgos:
– Determinar el nivel de riesgo de la
empresa, si la actividad o proceso
específico no se controla
adecuadamente
• Tipos de amenaza
• Probabilidad de ocurrencia durante un
año
• Perdidas potenciales, valor de la
amenaza
• Perdidas anuales esperadas
• Gestión de la identidad
– Procesos de negocio y herramientas
para identificar usuarios válidos y
controlar el acceso
• Identifica y autoriza diferentes
categorías de usuarios.
• Especifica cuales usuarios del sistema
pueden acceder.
• Autentica los usuarios y protege sus
identidades.
– Sistemas de gestión de identidad
• Captura niveles de acceso para
diferentes niveles de usuarios.
• Planeación de recuperación de desastres:
diseño de planes para la restauración de
los servicios interrumpidos.
• Planeación de la continuidad de negocios:
se enfoca en la restauración de las
operaciones de negocios después de un
desastre
– Ambos tipos de planes necesitan identificar
los sistemas más críticos de la organización.
– Análisis de impacto en el negocio para
determinar el impacto de una interrupción.
– La gerencia debe determinar que sistemas
deben ser restaurados primero.
• Auditoria MIS
– Examina el entorno de seguridad global de
la empresa, así como los controles que
rigen los sistemas de información
individuales.
– Tecnologías críticas, procedimientos,
documentación, formación y personal.
– Incluso puede simular desastres para
probar la respuesta de la tecnología, el
personal encargado de los SI, u otros
empleados.
– Enumera y clasifica todas las debilidades
de control y las estimaciones de la
probabilidad de su ocurrencia.
– Evalúa el impacto financiero y
organizacional de cada amenaza.
Tecnologías y herramientas para proteger los
recursos de información
• Software para gestión de identidad
– Autómatas rastrean permanentemente
todos los usuarios y sus privilegios.
– Autentica usuarios, protege
identidades, controla accesos.
• Identificación
– Sistemas de claves
– Tokens
– Tarjetas inteligentes
– Autenticación biométrica
• Cortafuegos
– Combinación de hardware y
software para prevenir que
usuarios no autorizados accedan a
redes privadas.
– Estas tecnologías incluyen:
• Filtrado de paquetes estáticos
• Inspección de estado
• Traducción de direcciones de red (NAT)
• Filtrado proxy de aplicaciones
• Sistemas de detección de intrusiones:
– Monitorean zonas activas de las redes
corporativas para detectar y disuadir a los
intrusos.
– Examinan eventos cuando están
sucediendo para descubrir ataques en
progreso.
• Software antivirus y antispyware
– Revisan los computadores para verificar la
presencia de malware y pueden casi
siempre eliminarlo.
– Requieren actualización continúa.
• Sistemas de gestión de fallas
indefinidas (UTM).
• Asegurando redes inalámbricas
– La seguridad WEP puede proveer
algún nivel de seguridad:
• Asignando un nombre único a los
SSID’s de la red y no difundiéndolos.
• Usándola con tecnología VPN.
– Alianza Wi-Fi finalizada con
especificación WAP2 reemplazando
WEP con estándares más fuertes
• Cambio continuo de claves.
• Sistema de autenticación cifrada con
servidor central.
• Cifrado
– Transformación de texto o datos en
texto cifrado que puede ser leído
de manera involuntaria.
– Existen dos métodos para cifrado
en redes:
• Capa de Sockets Seguros (SSL) y el
sucesor Seguridad de Capa de
Transporte (TLS).
• Protocolo seguro de transporte de
hipertexto (S-HTTP).
• Dos métodos de cifrado
– Cifrado de clave simétrica
• El transmisor y el receptor usan una
única clave compartida.
– Cifrado de clave pública
• Se usan dos claves, relacionadas
matemáticamente: una llave pública y
una llave privada.
• El trasmisor cifra el mensaje la clave
pública del receptor.
• El receptor descifra el mensaje con la
clave privada..
• Certificado digital
– Archivo de datos usados para establecer la
identidad de los usuarios y activos electrónicos
para protección de transacciones en línea.
– Usa una tercera parte validadora, autoridad de
certificación (CA), para validar la identidad del
usuario.
– La CA verifica la identidad del usuario, almacena
información en el servidor de la CA, con la cual
genera el certificado digital cifrado que contiene
información del identificador del propietario y una
copia de la clave pública del propietario.
• Infraestructura de clave pública (PKI)
– Usa cifrado de clave publica con autoridad de
certificado.
– Ampliamente usado en e-commerce
• Aseguramiento de la disponibilidad del
sistema
– El procesamiento de transacciones en línea
requiere 100% de disponibilidad, sin tiempo
de inactividad.
• Sistema de computo tolerante a fallos
– Para disponibilidad continua, por ejemplo,
los mercados de valores.
– Contiene hardware redundante, software y
componentes de suministro de energía que
crean un ambiente que proporciona servicio
continuo e ininterrumpido.
• Computación de alta disponibilidad
– Ayuda a recuperarse rápidamente de caídas.
– Reduce al mínimo, no elimina, el tiempo de
inactividad.
• Computación orientada a la
recuperación
– Diseños de sistemas que se recuperan
con capacidades de ayudar a los
operadores para localizar y corregir
fallos en los sistemas de varios
componentes.
• Control del tráfico de red
– Inspección de paquetes profunda (DPI)
• Bloqueo de video y música.
• Tercerización de la seguridad
– Seguridad gestionada por proveedores
de servicio (MSSPs).
• Seguridad en la nube
– La responsabilidad de la seguridad
recae en la compañía propietaria de la
información.
– Las compañía se deben asegurar de
que los proveedores ofrezcan la
protección adecuada:
• Donde son almacenados los datos.
• Cumplir requerimientos corporativos y
leyes de privacidad legal.
• Segregación de los datos de otros
clientes.
• Certificaciones de auditoria y seguridad.
– Acuerdos de nivel de servicio (SLAs)
• Seguridad en plataformas móviles
– Las políticas de seguridad deberían incluir
y cubrir cualquier requerimiento para
dispositivos móviles
• Guías para uso de plataformas y aplicaciones.
– Herramientas de gestión para dispositivos
móviles
• Autorización
• Registros de inventario
• Control de actualizaciones
• Bloqueo/borrado de dispositivos perdidos
• Cifrado
– Software para la segregación de datos
corporativos en los dispositivos
Bibliografía
• Laudon, K. C. y Laudon J. P. (2012). Sistemas de información gerencial – 12ª Edición.

Pearson Educación de México, S.A.
• O’Brien J. A. y Marakas G. M. (2006). Sistemas de información gerencial – 7ª Edición.
McGraw Hill Inc.

Seguridad en Los Sistemas de Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad en Los Sistemas de Información

Cargado por

Copyright:

Formatos disponibles

Seguridad en los sistemas de información

Aspectos prácticos de la informática

• Explicar porque son vulnerables los sistemas de información a la destrucción, el

• Los Hackers y la delincuencia

• Las fallas de los sistemas de computadoras

• Tipos de control general

• Laudon, K. C. y Laudon J. P. (2012). Sistemas de información gerencial – 12ª Edición.

También podría gustarte