Documentos de Académico
Documentos de Profesional
Documentos de Cultura
sistemas de
informacin
OBJETIVOS DE APRENDIZAJE
Seguridad
Polticas, procedimientos y medidas tcnicas utilizadas para impedir
el acceso no autorizado, la alteracin, el robo o el dao fsico a los
sistemas de informacin
Controles
Mtodos, polticas y procedimientos organizacionales que
garantizan::
La seguridad de los activos de la organizacin
La precisin y confiabilidad de sus registros contables
El apego de las operaciones a las normas de la administracin
Vulnerabilidades de Internet
Redes pblicas estn abiertas a todo el mundo
El tamao de Internet significa abusos que pueden tener un
impacto enorme
Las direcciones IP fijas constituyen un objetivo fijo para los
hackers
El servicio telefnico basado en tecnologa de Internet (VoIP)
es ms vulnerable a la intercepcin
Correos electrnicos, mensajes instantneos son vulnerables
a los software maliciosos y la intercepcin
Virus de computadora
Programa de software malintencionado al que se adjunta a s misma
a otros programas o archivos de datos
La carga til puede ser relativamente benigna o ser sumamente
destructiva
Gusanos:
Programas independientes que se copian a s mismos en una red
Caballo de Troya
Programa de software que aparenta ser benigno pero que hace algo
distinto a lo esperado
No se replica pero con frecuencia constituye una manera para que los
virus y otro cdigo malicioso sean introducidos en un sistema de
cmputo
Spyware
Registradores de claves
Hacker
Individuo que intenta obtener acceso no autorizado a un sistema
de cmputo
Cibervandalismo
Alteracin intencional, destrozo o incluso la destruccin de un
sitio Web o un sistema de informacin corporativa
Spoofing
Distorsin, por ej.: utilizando direcciones de correo falsas o
redireccionando hacia sitios Web falsos
Sniffer:
Programa de espionaje que vigila la informacin que viaja a
travs de una red
Delito informtico
La computadora como objeto de delito
Acceder a sistemas de cmputo sin autoridad
Violar la confidencialidad de los datos protegidos de las computadoras
Robo de identidad
Usar fracciones de informacin personal clave (nmero de
identificacin del seguro social, nmeros de licencia de conducir o
nmero de tarjeta de crdito) con el propsito de hacerse pasar por
alguien ms.
Phishing
Establecimiento de sitios Web falsos o el envo de mensajes de correo
electrnico semejantes a los de las empresas autnticas para solicitar
a los usuarios datos personales confidenciales
Evil twins
Redes inalmbricas que fingen ofrecer conexiones e intentan capturar
contraseas o nmeros de tarjeta de crdito
Pharming
Redirige a los usuarios a una pgina Web falsa, an cuando stos ingresen la
direccin correcta de la pgina
Ciberterrorismo y ciberarmamento:
Parches
Creados por los vendedores de software para actualizar y
arreglar las vulnerabilidades
Sin embargo, mantener parches en todos los dispositivos de la
empresa toma mucho tiempo y es muy costoso
Ley de Gramm-Leach-Bliley
Requiere que las instituciones financieras garanticen la seguridad
y confidencialidad de los datos de sus clientes
Ley Sarbanes-Oxley
Impone responsabilidad a las empresas y sus administraciones de
salvaguardar la exactitud e integridad de la informacin financiera
que se maneja de manera interna y que se emite al exterior
Cmputo forense
Recopilacin, examen, autenticacin, preservacin y
anlisis de los datos contenidos o recuperados de los
medios de almacenamiento de una computadora en
forma tal que la informacin se pueda utilizar como
prueba en un tribunal de justicia
Es necesario incluir una previsin sobre el cmputo
forense en el proceso de planeacin de contingencias de
una empresa
ISO 17799
Estndares internacionales para seguridad y control, especifica mejores
prcticas en seguridad y control de sistemas de informacin
Evaluacin de riesgo
Determina el nivel de peligro para la empresa si una actividad o un
proceso no estn debidamente controlados
Una vez que se han evaluado los riesgos, los desarrolladores de sistemas
se concentrarn en los puntos de control que tengan la mayor
vulnerabilidad y potencial de prdida
Poltica de seguridad
Enunciados que clasifican los riesgos de seguridad, identifican los
objetivos de seguridad aceptables y determinan los mecanismos
para alcanzar los objetivos
Grupo de seguridad
Instruye y capacita a los usuarios
Mantiene a la administracin al tanto de las amenazas y fallas de
seguridad
Mantiene las herramientas elegidas para implementar la seguridad
Polticas de autorizacin
Determinan diferentes niveles de acceso a los activos de
informacin para los distintos niveles de usuarios
Auditora
Auditora MIS: examina el entorno de seguridad general de la
empresa as como los controles que rigen los sistemas de
informacin individuales
Auditora de seguridad: revisan tecnologas, procedimientos,
documentacin, capacitacin y personal
Auditoras:
Enlista y clasifica todas las debilidades de control
Calcula la probabilidad de que sucedan
Evala el impacto financiero y organizacional de cada amenaza
Control de acceso
Polticas y procedimientos de que se vale una empresa para prevenir el
acceso inapropiado a los sistemas por parte de usuarios internos y
externos no autorizados
Los usuarios deben de estar autorizados y autenticados
Autenticacin:
Por lo general establecidos por sistemas de contraseas
Firewalls:
Combinacin de hardware y software que controla el flujo del
trfico que entra y sale de una red
Previene accesos no autorizados
Tecnologas de rastreo
Filtrado de paquetes
Inspeccin completa del estado
Traduccin de Direcciones de Red (NAT)
Filtrado proxy de aplicacin
Encriptacin:
Transforma texto o datos comunes en texto cifrado, utilizando una
clave de encriptacin
El receptor tiene que desencriptar el mensaje
Firma digital
Encripta mensajes que slo el emisor puede crear con su clave privada
Se emplea para verificar el origen y el contenido de un mensaje
Certificados digitales
Archivos de datos utilizados para establecer la identidad de usuarios y
activos electrnicos para la proteccin de las transacciones en lnea
Recurre a un tercero confiable, conocido como autoridad de certificacin
(CA), para validar la identidad de un usuario