Proteccin de los

sistemas de
informacin

OBJETIVOS DE APRENDIZAJE

Analizar por qu los sistemas de informacin necesitan

proteccin especial contra la destruccin, los errores y el abuso.

Evaluar el valor del negocio en relacin con la seguridad y el

control.

Disear una estructura organizacional para la seguridad y el

control.

Evaluar las herramientas y tecnologas ms importantes para

salvaguardar los recursos de informacin.

Phishing: Un nuevo y costoso deporte para los usuarios

de Internet

Problema: gran cantidad de usuarios vulnerables de servicios

financieros en lnea, facilidad para crear sitios Web falsos.
Soluciones: implementar un software y servicios antiphising y un
sistema de autenticacin de varios niveles para identificar amenazas y
reducir los intentos de phishing.
Implementar nuevas herramientas, tecnologas y procedimientos de
seguridad junto con el educar a los consumidores, incrementa la
confiabilidad y la confianza del cliente.
Muestra el rol de la TI en combatir el crimen cyber.
Ilustra la tecnologa digital como parte de una solucin de varios niveles
as como sus limitaciones en reducir a los consumidores desalentados.

Vulnerabilidad y abuso de los sistemas

Seguridad
Polticas, procedimientos y medidas tcnicas utilizadas para impedir
el acceso no autorizado, la alteracin, el robo o el dao fsico a los
sistemas de informacin

Controles
Mtodos, polticas y procedimientos organizacionales que
garantizan::
La seguridad de los activos de la organizacin
La precisin y confiabilidad de sus registros contables
El apego de las operaciones a las normas de la administracin

Vulnerabilidad y abuso de los sistemas

Por qu son vulnerables los sistemas

Los datos electrnicos son vulnerables a una gran variedad
de tipos de amenazas que cuando existan en forma manual
Redes
La posibilidad de acceso no autorizado, abuso o fraude no se
limita a una sola ubicacin, sino que puede ocurrir en cualquier
punto de acceso a la red
Existen vulnerabilidades en cada capa y entre las capas
Por ej.: error de usuario, virus, hackers, radiacin, fallas del
hardware o software, robo

Sistemas de informacin gerencial

Captulo 8 Proteccin de los sistemas de informacin
Vulnerabilidad y abuso de los sistemas

Vulnerabilidad y abuso de los sistemas

Vulnerabilidades de Internet
Redes pblicas estn abiertas a todo el mundo
El tamao de Internet significa abusos que pueden tener un
impacto enorme
Las direcciones IP fijas constituyen un objetivo fijo para los
hackers
El servicio telefnico basado en tecnologa de Internet (VoIP)
es ms vulnerable a la intercepcin
Correos electrnicos, mensajes instantneos son vulnerables
a los software maliciosos y la intercepcin

Vulnerabilidad y abuso de los sistemas

Retos de seguridad de los servicios inalmbricos

Muchas redes inalmbricas de los hogares y pblicos no estn
aseguradas mediante encriptacin por lo que no son seguros
Las LANs que emplean estndar 802.11 estndar pueden ser
fcilmente penetradas
Los identificadores de conjuntos de servicios (SSIDs)
identifican los puntos de acceso en una red Wi-Fi se difunden
mltiples veces
WEP (Privacidad Equivalente Almbrica): el primer estndar de
seguridad desarrollado por Wi-Fi no es muy efectivo como punto
de acceso y todos los usuarios comparten la misma contrasea

Vulnerabilidad y abuso de los sistemas

Sistemas de informacin gerencial

Captulo 8 Proteccin de los sistemas de informacin
Vulnerabilidad y abuso de los sistemas

Software malicioso (malware)

Virus de computadora
Programa de software malintencionado al que se adjunta a s misma
a otros programas o archivos de datos
La carga til puede ser relativamente benigna o ser sumamente
destructiva

Gusanos:
Programas independientes que se copian a s mismos en una red

Los virus y gusanos se estn esparciendo desde:

Archivos de software descargado

Archivos adjuntos de correo electrnico

Mensajes comprometidos de correo electrnico o mensajera instantnea

Discos o computadoras infectadas

Vulnerabilidad y abuso de los sistemas

Caballo de Troya

Programa de software que aparenta ser benigno pero que hace algo
distinto a lo esperado

No se replica pero con frecuencia constituye una manera para que los
virus y otro cdigo malicioso sean introducidos en un sistema de
cmputo

Spyware

Pequeos programas que se instalan subrepticiamente a s mismos en

las computadoras para vigilar las actividades de navegacin del usuario
en la Web y presentar publicidad

Registradores de claves

Registran cada tecleo ingresado en una computadora

Roban nmeros seriales o contraseas

Vulnerabilidad y abuso de los sistemas

Hacker
Individuo que intenta obtener acceso no autorizado a un sistema
de cmputo

Cibervandalismo
Alteracin intencional, destrozo o incluso la destruccin de un
sitio Web o un sistema de informacin corporativa

Spoofing
Distorsin, por ej.: utilizando direcciones de correo falsas o
redireccionando hacia sitios Web falsos

Sniffer:
Programa de espionaje que vigila la informacin que viaja a
travs de una red

Vulnerabilidad y abuso de los sistemas

Ataques de negacin del servicio (DoS):

Inundacin de red o de servidores Web con miles de solicitudes
de servicios falsas para que la red deje de funcionar

Ataque distribuido de negacin del servicio (DDoS)

Utiliza cientos o incluso miles de computadoras para inundar y
agobiar la red desde numerosos puntos de lanzamiento

Botnet (red de robots)

Coleccin de PCs zombies infectadas con software malicioso
sin el conocimiento de sus propietarios y utilizados para lanzar
Ddos o perpetrar otros crmenes

Sistemas de informacin gerencial

Captulo 8 Proteccin de los sistemas de informacin
Vulnerabilidad y abuso de los sistemas

Vulnerabilidad y abuso de los sistemas

Ejrcitos de robots y zombies de red

Lea la sesin interactiva y despus comente las siguientes

preguntas:
Cul es el impacto de los botnets en las empresas?
Qu factores de administracin, organizacin y tecnologa deben
abordarse en un plan para prevenir ataques de botnets?
Qu tan sencillo sera para una pequea empresa combatir ataques
de botnets? Para una empresa grande?

Vulnerabilidad y abuso de los sistemas

Delito informtico
La computadora como objeto de delito
Acceder a sistemas de cmputo sin autoridad
Violar la confidencialidad de los datos protegidos de las computadoras

La computadora como instrumento para el delito

Robo de secretos comerciales y copia sin autorizacin de software o de
propiedad intelectual protegida por derechos de autor
Uso de correo electrnico para amenazar o acosar

Los tipos de delitos informticos ms perjudiciales desde el

punto de vista econmico
Los ataques DoS y virus
El robo de servicios y la alteracin de los sistemas de cmputo

Vulnerabilidad y abuso de los sistemas

Robo de identidad
Usar fracciones de informacin personal clave (nmero de
identificacin del seguro social, nmeros de licencia de conducir o
nmero de tarjeta de crdito) con el propsito de hacerse pasar por
alguien ms.

Phishing
Establecimiento de sitios Web falsos o el envo de mensajes de correo
electrnico semejantes a los de las empresas autnticas para solicitar
a los usuarios datos personales confidenciales

Evil twins
Redes inalmbricas que fingen ofrecer conexiones e intentan capturar
contraseas o nmeros de tarjeta de crdito

Vulnerabilidad y abuso de los sistemas

Pharming

Fraude informtico y Ley de abuso (1986)

Esta ley hace ilegal el acceso a un sistema de cmputo sin autorizacin

Fraude del clic

Redirige a los usuarios a una pgina Web falsa, an cuando stos ingresen la
direccin correcta de la pgina

Ocurre cuando un individuo o un programa de computadora hace clic de

manera fraudulenta en un anuncio en lnea sin la intencin de conocer ms
sobre el anunciante o de realizar una compra

Ciberterrorismo y ciberarmamento:

Al menos veinte pases estn desarrollando capacidades de ciberarmamento

ofensivo y defensivo

Vulnerabilidad y abuso de los sistemas

Amenazas internas: empleados

Los empleados de una empresa plantean serios problemas de
seguridad
Acceso a informacin privilegiada como los cdigos de seguridad y
contraseas
Pueden dejar un pequeo rastro

La falta de conocimiento de los usuarios: principal causa individual de

las brechas de seguridad en las redes
Contraseas alteradas
Ingeniera social

Errores introducidos en los software por:

Ingreso de datos errneos, mal uso del sistema
Errores al programar, diseo de sistema

Vulnerabilidad y abuso de los sistemas

Vulnerabilidad del software

Errores de software son una amenaza constante para los
sistemas de informacin
Cuestan 59,600 millones de dlares anuales a la economa de
Estados Unidos
Dan al malware la oportunidad de superar las defensas de los
antivirus

Parches
Creados por los vendedores de software para actualizar y
arreglar las vulnerabilidades
Sin embargo, mantener parches en todos los dispositivos de la
empresa toma mucho tiempo y es muy costoso

Sistemas de informacin gerencial

Captulo 8 Proteccin de los sistemas de informacin
Valor del negocio en relacin con la seguridad y el control

Valor del negocio en relacin con la seguridad y el control

Proteccin de informacin personal y corporativa confidencial
Valor de los activos de informacin
La brecha de seguridad de las grandes empresas pierde
aproximadamente 2.1 por ciento de su valor del mercado
Responsabilidad legal

Administracin de registros electrnicos (ERM)

Polticas, procedimientos y herramientas para manejar la
conservacin, destruccin y almacenamiento de registros
electrnicos

Valor del negocio en relacin con la seguridad y el control

Requerimientos legales y regulatorios para la ERM

HIPAA
Reglas y procedimientos sobre la seguridad y privacidad mdicas

Ley de Gramm-Leach-Bliley
Requiere que las instituciones financieras garanticen la seguridad
y confidencialidad de los datos de sus clientes

Ley Sarbanes-Oxley
Impone responsabilidad a las empresas y sus administraciones de
salvaguardar la exactitud e integridad de la informacin financiera
que se maneja de manera interna y que se emite al exterior

Valor del negocio en relacin con la seguridad y el control

Evidencia electrnica y cmputo forense

Hoy en da, los juicios se apoyan cada vez ms en pruebas
en forma de datos digitales
El correo electrnico es el tipo ms comn de evidencia
electrnica
Las cortes imponen ahora multas financieras severas e
incluso penas judiciales por la destruccin inapropiada de
documentos electrnicos, anomalas en la generacin de
registros y fallas en el almacenamiento adecuado de
registros

Valor del negocio en relacin con la seguridad y el control

Cmputo forense
Recopilacin, examen, autenticacin, preservacin y
anlisis de los datos contenidos o recuperados de los
medios de almacenamiento de una computadora en
forma tal que la informacin se pueda utilizar como
prueba en un tribunal de justicia
Es necesario incluir una previsin sobre el cmputo
forense en el proceso de planeacin de contingencias de
una empresa

Valor del negocio en relacin con la seguridad y el control

ISO 17799
Estndares internacionales para seguridad y control, especifica mejores
prcticas en seguridad y control de sistemas de informacin

Evaluacin de riesgo
Determina el nivel de peligro para la empresa si una actividad o un
proceso no estn debidamente controlados

Valor de los activos de informacin

Puntos de vulnerabilidad
Frecuencia probable de un problema
Daos potenciales

Una vez que se han evaluado los riesgos, los desarrolladores de sistemas
se concentrarn en los puntos de control que tengan la mayor
vulnerabilidad y potencial de prdida

Valor del negocio en relacin con la seguridad y el control

Tecnologa y herramientas para la seguridad

Poltica de seguridad
Enunciados que clasifican los riesgos de seguridad, identifican los
objetivos de seguridad aceptables y determinan los mecanismos
para alcanzar los objetivos

Director de seguridad (CSO)

Encabeza la seguridad corporativa en empresa grandes
Responsable de aplicar la poltica de seguridad de la empresa

Grupo de seguridad
Instruye y capacita a los usuarios
Mantiene a la administracin al tanto de las amenazas y fallas de
seguridad
Mantiene las herramientas elegidas para implementar la seguridad

Tecnologa y herramientas para la seguridad

Poltica de uso aceptable (AUP)

Define los usos aceptables de los recursos de informacin y el
equipo de cmputo de la empresa
Una buena AUP define los actos aceptables e inaceptables para
cada usuario y especifica las consecuencias del incumplimiento

Polticas de autorizacin
Determinan diferentes niveles de acceso a los activos de
informacin para los distintos niveles de usuarios

Sistemas de administracin de autorizaciones

Permiten a cada usuario acceder solamente a aquellas partes de
un sistema para las cuales tiene autorizacin, con base en la
informacin establecida por un conjunto de reglas de acceso

Establecimiento de una estructura para la seguridad y el control

Tecnologa y herramientas para la seguridad

Aseguramiento de la continuidad del negocio

Sistemas de cmputo tolerantes a fallas

Aseguran 100 por ciento disponibilidad
Utilizan hardware, software y componentes de suministro de energa redundantes
Crticos para procesar transacciones en lnea

Cmputo de alta disponibilidad

Trata de minimizar los tiempos de cada
Ayuda a las empresas a recuperarse rpidamente de una cada del sistema
Requiere de servidores de respaldo, distribucin del procesamiento entre
mltiples servidores, almacenamiento de alta capacidad y buenos planes para la
recuperacin de desastres y para la continuidad del negocio

Computacin orientada a la recuperacin: diseo de sistemas, capacidades,

herramientas que ayudan a los operadores a identificar las fuentes de fallas en los
sistemas y a corregir fcilmente sus errores

Tecnologa y herramientas para la seguridad

Planeacin para la recuperacin de desastres

Restauracin de los servicios de cmputo y comunicaciones despus de
un temblor o inundacin, etc.
Pueden contratar compaas para la recuperacin de desastres

Planeacin para la continuidad del negocio

Restauracin de las operaciones de negocios despus de un desastre
Identifica los procesos de negocios crticos y determina los planes de
accin para manejar las funciones de misin crtica si se caen los
sistemas

Anlisis de impacto en el negocio

Identifica los sistemas ms crticos para la empresa y el impacto que
tendra en el negocio

Tecnologa y herramientas para la seguridad

Auditora
Auditora MIS: examina el entorno de seguridad general de la
empresa as como los controles que rigen los sistemas de
informacin individuales
Auditora de seguridad: revisan tecnologas, procedimientos,
documentacin, capacitacin y personal
Auditoras:
Enlista y clasifica todas las debilidades de control
Calcula la probabilidad de que sucedan
Evala el impacto financiero y organizacional de cada amenaza

Sistemas de informacin gerencial

Captulo 8 Proteccin de los sistemas de informacin
Establecimiento de una estructura para la seguridad y el control

Tecnologa y herramientas para la seguridad

Control de acceso
Polticas y procedimientos de que se vale una empresa para prevenir el
acceso inapropiado a los sistemas por parte de usuarios internos y
externos no autorizados
Los usuarios deben de estar autorizados y autenticados

Autenticacin:
Por lo general establecidos por sistemas de contraseas

Nuevas tecnologas de autenticacin:

Token
Tarjeta inteligente
Autenticacin biomtrica

Tecnologa y herramientas para la seguridad

Firewalls:
Combinacin de hardware y software que controla el flujo del
trfico que entra y sale de una red
Previene accesos no autorizados
Tecnologas de rastreo
Filtrado de paquetes
Inspeccin completa del estado
Traduccin de Direcciones de Red (NAT)
Filtrado proxy de aplicacin

Tecnologa y herramientas para la seguridad

Tecnologa y herramientas para la seguridad

Sistemas de deteccin de intrusiones:

Herramientas de vigilancia de tiempo completo en tiempo real
Colocados en los puntos ms vulnerables de las redes
corporativas para detectar y disuadir continuamente a los intrusos
El software de escaneo busca patrones indicativos de mtodos
conocidos de ataques a las computadoras, como contraseas
errneas, eliminacin o modificacin de archivos importantes y
envo de alertas de vandalismo o errores de administracin del
sistema

Tecnologa y herramientas para la seguridad

Software antivirus y antispyware

Software antivirus:
Revisa sistemas de cmputo y discos en busca de virus de
computadora
Para seguir siendo efectivo, el software antivirus debe
actualizarse continuamente

Herramientas de software antispyware:

Los principales fabricantes de software antivirus incluyen
proteccin contra spyware
Herramientas de software disponibles (Ad-Aware, Spybot)

Tecnologa y herramientas para la seguridad

Proteccin de redes inalmbricas

WEP: proporciona un pequeo margen de seguridad si esta activo
Tecnologa VPN: puede ser utilizada por las corporaciones para
ayudar a la seguridad
La especificacin 802.11i: incluye medidas de seguridad para las
LANs inalmbricas
Reemplaza las claves de encriptacin estticas
Servidor de autenticacin central
Autenticacin mutua

La seguridad inalmbrica debe ir acompaada de polticas y

procedimientos apropiados para el uso seguro de los dispositivos
inalmbricos

Sistemas de informacin gerencial

Captulo 8 Proteccin de los sistemas de informacin
Tecnologa y herramientas para la seguridad

Unilever protege sus dispositivos mviles

Lea la sesin interactiva: administracin y despus comente las

siguientes preguntas:
De qu manera se relacionan los dispositivos inalmbricos de los
ejecutivo de Unilever con el desempeo de negocios de la empresa?
Debata el impacto potencial de una vulneracin de seguridad en Unilever.
Qu factores de administracin, organizacin y tecnolgicos se tuvieron
que tomar en cuenta al desarrollar las polticas y los procedimientos de
seguridad para los dispositivos inalmbricos de Unilever?
Fue una buena decisin permitir a los ejecutivos de Unilever que
utilizaran BlackBerrys y telfonos celulares? Por qu s o por qu no?

Sistemas de informacin gerencial

Captulo 8 Proteccin de los sistemas de informacin
Tecnologa y herramientas para la seguridad

Encriptacin:
Transforma texto o datos comunes en texto cifrado, utilizando una
clave de encriptacin
El receptor tiene que desencriptar el mensaje

Dos mtodos para encriptar el trfico de red:

El protocolo de Capa de Proteccin Segura (SSL) /Seguridad
de la Capa de Transporte (TLS)
Establece una conexin segura entre dos computadoras
El protocolo de Transferencia de Hipertexto Seguro (S-HTTP)
Encripta mensajes individuales

Tecnologa y herramientas para la seguridad

Dos mtodos de encriptacin:

Encriptacin de clave simtrica
Compartida, clave de encriptacin nica enviada al
receptor
Encriptacin de clave pblica
Utiliza dos claves, una compartida o pblica y una
totalmente privada
Para enviar y recibir mensajes, los comunicadores
primero crean pares separados de claves privadas y
pblicas

Tecnologa y herramientas para la seguridad

Tecnologa y herramientas para la seguridad

Firma digital
Encripta mensajes que slo el emisor puede crear con su clave privada
Se emplea para verificar el origen y el contenido de un mensaje

Certificados digitales
Archivos de datos utilizados para establecer la identidad de usuarios y
activos electrnicos para la proteccin de las transacciones en lnea
Recurre a un tercero confiable, conocido como autoridad de certificacin
(CA), para validar la identidad de un usuario

Infraestructura de clave pblica (PKI)

Uso de la criptografa de clave pblica que funciona con una autoridad de
certificacin

Tecnologa y herramientas para la seguridad