Resumen Capitulo 8: Seguridad en los sistemas de información

RESUMEN CAPITULO 8

SISTEMAS DE INFORMACIÓN GERENCIAL

CAPITULO 8: Seguridad en los sistemas de información

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMASTENDENCIAS DE REDES Y COMUNICACIÓN

El uso de los sistemas de información de un negocio debe ser seguro.

La seguridad se refiere a las políticas, procedimientos y medidas técnicas para evitar el acceso sin autorización, la alteración, el robo o el daño físico a los sistemas de información. Los controles son métodos, políticas y procedimientos organizacionales que refuerzan la seguridad de los activos de la organización; la precisión y confiabilidad de sus registros, y la adherencia operacional a los estándares gerenciales.

POR QUÉ SON VULNERABLES LOS SISTEMAS

Acceso sin autorización, abuso o fraude puede ocurrir en cualquier punto de la red, debido a accesos sin permiso o mala manipulación.

Vulnerabilidades de Internet

Las redes públicas grandes, como Internet, son más vulnerables que las internas, ya que están abiertas para casi cualquiera.

Conexiones constantes a Internet mediante módems de cable o líneas de suscriptor digitales (DSL) son más propensas a que se infiltren personas externas debido a que usan direcciones de Internet fijas

El servicio telefónico basado en la tecnología de Internet es más vulnerable a la intercepción ya que la mayoría no es cifrado.

La vulnerabilidad también ha aumentado debido al extenso uso del correo electrónico, la mensajería instantánea (IM) y los programas de compartición de archivos de igual a igual.

Desafíos de seguridad inalámbrica

Las redes Bluetooth y Wi-Fi son susceptibles a la piratería informática por parte de intrusos que pueden infiltrarse con facilidad en las redes de área local (LAN). Los hackers utilizan herramientas para detectar redes no protegidas, monitorear el tráfico de red y, en algunos casos, obtener acceso a Internet o a redes corporativas.

La técnica de war driving la usan los espías que conducen cerca de edificios o se estacionan afuera de éstos y tratan de interceptar el tráfico de la red inalámbrica.

WEP (Privacidad Equivalente Alámbrica): el primer estándar de seguridad desarrollado por Wi-Fi no es muy efectivo como punto de acceso y todos los usuarios comparten la misma contraseña.

SOFTWARE MALICIOSO: VIRUS, GUSANOS, CABALLOS DE TROYA Y SPYWARE

Malware: software malicioso que variedad de amenazas, como virus de computadora, gusanos y caballos de Troya.

·         Virus de computadora

Programa de software malintencionado al que se adjunta a sí misma a otros programas o archivos de datos La carga útil puede ser relativamente benigna o ser sumamente destructiva

·         Gusanos:

Programas independientes que se copian a sí mismos en la computadora a través de una red.

Los virus y gusanos se están esparciendo desde:

ü  Archivos de software descargado

ü  Archivos adjuntos de correo electrónico

ü  Mensajes comprometidos de correo electrónico o mensajería instantánea

ü  Discos o computadoras infectadas

·         Caballo de Troya

Programa de software que aparenta ser benigno pero que hace algo distinto a lo esperado. No se replica pero con frecuencia constituye una manera para que los virus y otro código malicioso sean introducidos en un sistema de cómputo

·         Spyware

Pequeños programas que se instalan subrepticiamente a sí mismos en las computadoras para vigilar las actividades de navegación del usuario en la Web y presentar publicidad.

·         Keyloggers

Registran cada tecleo ingresado en una computadora. Roban números seriales o contraseñas

LOS HACKERS Y LOS DELITOS COMPUTACIONALES

·         Hacker: Individuo que intenta obtener acceso sin autorización a un sistema computacional.

·         Cracker: hacker con intención criminal.

·         Cibervandalismo: interrupción, desfiguración o destrucción intencional de un sitio Web o sistema de información corporativo.

Spoofing y Sniffing

·         Spoofing: Distorsión, por ej.: utilizando direcciones de correo falsas o redireccionando hacia sitios Web falsos

·         Sniffer: Programa de espionaje que vigila la información que viaja a través de una red.

Ataques de negación de servicio

·         Ataques de negación del servicio (DoS): Inundación de red o de servidores Web con miles de solicitudes de servicios falsas para que la red deje de funcionar

·         Ataque distribuido de negación del servicio (DDoS): Utiliza cientos o incluso miles de computadoras para inundar y agobiar la red desde numerosos puntos de lanzamiento

·         Botnet (red de robots): Colección de PCs “zombies” infectadas con software malicioso sin el conocimiento de sus propietarios y utilizados para lanzar Ddos o perpetrar otros crímenes

Delitos por computadora

El delito por computadora se define en el Departamento de Justicia de Estados Unidos como “cualquier violación a la ley criminal que involucra el conocimiento de una tecnología de computadora para su perpetración, investigación o acusación”.

TABLA 8-2 EJEMPLOS DE DELITOS POR COMPUTADORA

COMPUTADORAS COMO BLANCOS DE DELITOS

·         Violar la confidencialidad de los datos computarizados protegidos

·         Acceder a un sistema computacional sin autorización

·         Acceder de manera intencional a una computadora protegida para cometer fraude

·         Acceder de manera intencional una computadora protegida y causar daño, ya sea por negligencia o de forma deliberada

·         Transmitir conscientemente un programa, código de programa o comando que provoque daños intencionales a una computadora protegida

·         Amenazar con provocar daños a una computadora protegida

COMPUTADORAS COMO INSTRUMENTOS DE DELITOS

·         Robo de secretos comerciales

·         Copia sin autorización de software o propiedad intelectual protegida por derechos de autor, como artículos, libros, música y video

·         Ideas para defraudar

·         Uso del correo electrónico para amenazas o acoso

·         Tratar de manera intencional de interceptar comunicaciones electrónicas

·         Acceder de manera ilegal a las comunicaciones electrónicas almacenadas, como el correo electrónico y el correo de voz

·         Transmitir o poseer pornografía infantil mediante el uso de una computadora

Robo de identidad

Usar fracciones de información personal clave (número de identificación del seguro social, números de licencia de conducir o número de tarjeta de crédito) con el propósito de hacerse pasar por alguien más.

·         Phishing: Establecimiento de sitios Web falsos o el envío de mensajes de correo electrónico semejantes a los de las empresas auténticas para solicitar a los usuarios datos personales confidenciales

·         Evil twins: Redes inalámbricas que fingen ofrecer conexiones e intentan capturar contraseñas o números de tarjeta de crédito.

·         Pharming: Redirige a los usuarios a una página Web falsa, aún cuando éstos ingresen la dirección correcta de la página

Fraude informático y Ley de abuso (1986): Esta ley hace ilegal el acceso a un sistema de cómputo sin autorización.

Fraude del clic

Ocurre cuando un individuo o un programa de computadora hace clic de manera fraudulenta en un anuncio en línea sin la intención de conocer más sobre el anunciante o de realizar una compra.

Amenazas globales: ciberterrorismo y ciberguerra

Las actividades cibercriminales no tienen fronteras. Se cree que por lo menos 20 países (uno de ellos China) están desarrollando capacidades ofensivas y defensivas de ciberguerra.

AMENAZAS INTERNAS: LOS EMPLEADOS

Los empleados de una empresa plantean serios problemas de seguridad

·         Acceso a  información privilegiada –como los códigos de seguridad y contraseñas

·         Son capaces de vagar por los sistemas de una organización sin dejar rastro.

La falta de conocimiento de los usuarios: principal causa individual de las brechas de seguridad en las redes

·         Contraseñas olvidadas o uso compartido.

·         Ingeniería social: intrusos maliciosos que buscan acceder al sistema engañan a los empleados para que revelen sus contraseñas al pretender ser miembros legítimos de la compañía que necesitan información.

Errores introducidos en el software por:

·         Ingreso de datos erróneos, mal uso del sistema

·         Errores al programar, diseño de sistema

VULNERABILIDAD DEL SOFTWARE

Errores de software son una amenaza constante para los sistemas de información

Cuestan 59,600 millones de dólares anuales a la economía de Estados Unidos

La complejidad y el tamaño cada vez mayores de los programas, dan al malware la oportunidad de superar las defensas de los antivirus

Bugs:

Defectos de código del programa. Los estudios han demostrado que es casi imposible eliminar todos los bugs de programas grandes. La principal fuente de los bugs es la complejidad del código de toma de decisiones. Para corregir las fallas en el software una vez identificadas, el distribuidor del software crea pequeñas piezas de software llamadas parches para reparar las fallas sin perturbar la operación apropiada del software.

8.2 VALOR DE NEGOCIOS DE LA SEGURIDAD Y EL CONTROL

Proteger los sistemas de información es algo imprescindible para la operación de la empresa.

Los sistemas alojan información confidencial sobre los impuestos de las personas, los activos financieros, los registros médicos y las revisiones del desempeño en el trabajo.

También pueden contener información sobre operaciones corporativas; secretos de estado, planes de desarrollo de nuevos productos y estrategias de marketing. Los sistemas gubernamentales pueden almacenar información sobre sistemas de armamento, operaciones de inteligencia y objetivos militares.

Un control y seguridad inadecuados pueden provocar una responsabilidad legal grave, ya que deben proteger la información de sus clientes, empleados y socios de negocios (exposición o robo de datos):

Acciones protectoras para evitar la pérdida de información confidencial, la corrupción de datos o la fuga de privacidad.

REQUERIMIENTOS LEGALES Y REGULATORIOS PARA LA ADMINISTRACIÓN DE REGISTROS DIGITALES

Obligaciones de las compañías sobre la seguridad y el control para proteger los datos contra el abuso, la exposición y el acceso sin autorización. Las firmas se enfrentan a nuevas obligaciones legales en cuanto a la a la retención, el almacenaje de registros electrónicos y la protección de la privacidad.

·         HIPAA

Reglas y procedimientos sobre la seguridad y privacidad médicas

·         Ley de Gramm-Leach-Bliley

Requiere que las instituciones financieras garanticen la seguridad y confidencialidad de los datos de sus clientes

·         Ley Sarbanes-Oxley

Impone responsabilidad a las empresas y sus administraciones de salvaguardar la exactitud e integridad de la información financiera que se maneja de manera interna y que se emite al exterior.

EVIDENCIA ELECTRÓNICA Y ANÁLISIS FORENSE DE SISTEMAS

Hoy en día, los juicios se apoyan cada vez más en pruebas en forma de datos digitales. El correo electrónico es el tipo más común de evidencia electrónica.

Las cortes imponen ahora multas financieras severas e incluso penas judiciales por la destrucción inapropiada de documentos electrónicos, anomalías en la generación de registros y fallas en el almacenamiento adecuado de registros.

El uso de información digital puede usarse como evidencia para el análisis forense de sistemas : proceso de recolectar, examinar, autenticar, preservar y analizar de manera científica los datos retenidos o recuperados de medios de almacenamiento de computadora, de tal forma que la información se pueda utilizar como evidencia en un juzgado.

Se encarga de los siguientes problemas:

·         Recuperar datos de las computadoras y preservar al mismo tiempo la integridad evidencial

·         Almacenar y manejar con seguridad los datos electrónicos recuperados

·         Encontrar información importante en un gran volumen de datos electrónicos

·         Presentar la información a un juzgado

8.3 ESTABLECIMIENTO DE UN MARCO DE TRABAJO PARA LA SEGURIDAD Y EL CONTROL

Desarrollo de una política de seguridad y planes para mantener su empresa en operación, en caso de que sus sistemas de información no estén funcionando.

Los controles de los sistemas de información pueden ser manuales y automatizados; consisten tanto de controles generales como de aplicación.

CONTROLES DE LOS SISTEMAS DE INFORMACIÓN

Controles generales:

·         Gobiernan el diseño, la seguridad y el uso de los programas de computadora, además de la seguridad de los archivos de datos en general, en toda la infraestructura de tecnología de la información de la organización.

·         Consisten en una combinación de hardware, software y procedimientos manuales.

Los controles de aplicación:

·         Controles específicos únicos para cada aplicación computarizada, como nómina o procesamiento de pedidos.

·         Aseguran que la aplicación procese de una forma completa y precisa sólo los datos autorizados.

·         Se pueden clasificar como

§  (1) controles de entrada: verifican la precisión e integridad de los datos cuando éstos entran al sistema.

§  (2) controles de procesamiento: establecen que los datos sean completos y precisos durante la actualización.

§  (3) controles de salida: aseguran que los resultados del procesamiento de computadora sean precisos, completos y se distribuyan de manera apropiada.

EVALUACIÓN DEL RIESGO

Determina el nivel de riesgo para la firma si no se controla una actividad o proceso específico de manera apropiada. No todos los riesgos se pueden anticipar o medir, pero la mayoría de las empresas podrán adquirir cierta comprensión de los riesgos a los que se enfrentan.

·         Valor de los activos de información

·         Puntos de vulnerabilidad

·         Frecuencia probable de un problema

·         Daños potenciales

Una vez que se han evaluado los riesgos, los desarrolladores de sistemas se concentrarán en los puntos de control que tengan la mayor vulnerabilidad y potencial de pérdida

POLÍTICA DE SEGURIDAD

Enunciados que clasifican los riesgos de información, identifican los objetivos de seguridad aceptables y también los mecanismos para lograr estos objetivos. Controla las políticas que determinan el uso aceptable de los recursos de información de la firma y qué miembros de la compañía tienen acceso a sus activos de información.

Política de uso aceptable (AUP): define los usos admisibles de los recursos de información y el equipo de cómputo de la firma, que incluye las computadoras laptop y de escritorio, los dispositivos inalámbricos e Internet.

Una buena AUP define los actos aceptables e inaceptables para cada usuario y especifica las consecuencias del incumplimiento.

Administración de identidad: consiste en los procesos de negocios y las herramientas de software para identificar a los usuarios válidos de un sistema, y para controlar su acceso a los recursos del mismo.

PLANIFICACIÓN DE RECUPERACIÓN DE DESASTRES Y PLANIFICACIÓN DE LA CONTINUIDAD DE NEGOCIOS

Planificación de recuperación de desastres:

•          Restauración de los servicios de cómputo y comunicaciones después de un temblor o inundación, etc.

•          Pueden contratar compañías para la recuperación de desastres

•          Mantener los sistemas en funcionamiento.

•          Saber que archivos respaldar.

Planeación para la continuidad del negocio:

•          Restaurar las operaciones de negocios después de que ocurre un desastre.

•          Identifica los procesos de negocios críticos y determina los planes de acción para manejar las funciones de misión crítica si se caen los sistemas

Análisis de impacto en el negocio

•          Identifica los sistemas más críticos para la empresa y el impacto que tendría en el negocio

LA FUNCIÓN DE LA AUDITORÍA

•          Auditoría MIS: examina el entorno de seguridad general de la empresa así como los controles que rigen los sistemas de información individuales. También puede examinar la calidad de los datos.

•          Auditoría de seguridad: revisan tecnologías, procedimientos, documentación, capacitación y personal. Puede incluso simular un ataque o desastre para evaluar la respuesta.

•          Auditorías:

•          Enlista y clasifica todas las debilidades de control

•          Calcula la probabilidad de ocurrencia.

•          Evalúa el impacto financiero y organizacional de cada amenaza

8.4 TECNOLOGÍAS Y HERRAMIENTAS PARA PROTEGER LOS RECURSOS DE INFORMACIÓN

Herramientas para administrar las identidades de los usuarios, evitar el acceso no autorizado a los sistemas y datos, asegurar la disponibilidad del sistema y asegurar la calidad del software.

ADMINISTRACIÓN DE LA IDENTIDAD Y LA AUTENTICACIÓN

Software de administración de identidad automatiza el proceso de llevar el registro de todos estos usuarios y sus privilegios de sistemas.

La autenticación:

Habilidad de saber que una persona es  quien dice ser. La forma más común de establecer la autenticación es mediante el uso de contraseñas que sólo conocen los usuarios autorizados.

Nuevas tecnologías de autenticación:

o   Token: Dispositivo físico diseñado para demostrar la identidad de un solo usuario, tipo llaveros y muestran códigos de contraseña que cambian con frecuencia.

o   Tarjeta inteligente: Dispositivo con un tamaño aproximado al de una tarjeta de crédito, que contiene un chip formateado con permiso de acceso y otros datos mediante un lectos.

o   Autenticación biométrica: Sistemas que leen e interpretan rasgos humanos individuales (huellas digitales, el iris de los ojos y las voces) para poder otorgar o negar el acceso.

FIREWALLS, SISTEMAS DE DETECCIÓN DE INTRUSOS Y SOFTWARE ANTIVIRUS

Combinación de hardware y software que controla el flujo del tráfico que entra y sale de una red. Previene accesos no autorizados

Tecnologías de rastreo:

•          Filtrado de paquetes

•          Inspección completa del estado

•          Traducción de Direcciones de Red (NAT)

•          Filtrado proxy de aplicación

Sistemas de detección de intrusos

•          Proteger contra el tráfico de red sospechoso y los intentos de acceder a los archivos y las bases de datos.

•          Herramientas de monitoreo de tiempo completo que se colocan en los puntos más vulnerables.

•          Genera una alarma si encuentra un evento sospechoso o anormal.

•          Busca patrones que indiquen métodos conocidos de ataques por computadora, como malas contraseñas, verifica que no se hayan eliminado o modificado archivos importantes, y envía advertencias de vandalismo o errores de administración de sistemas.

Software antivirus y antispyware

•          Está diseñado para revisar los sistemas computacionales y las unidades en busca de la presencia de virus de computadora.

•          Para seguir siendo efectivo, el software antivirus debe actualizarse continuamente

•          Herramientas de software antispyware:  Los principales fabricantes de software antivirus incluyen protección contra spyware (Ad-Aware, Spybot)

Sistemas de administración unificada de amenazas (UTM)

Paquetes que combinan varias herramientas de seguridad en un solo paquete, que ofrece firewalls, redes privadas virtuales, sistemas de detección de intrusos y software de filtrado de contenido Web y antispam.

SEGURIDAD EN LAS REDES INALÁMBRICAS

•          WEP: proporciona un pequeño margen de seguridad si está activo

•          Tecnología VPN: puede ser utilizada por las corporaciones para ayudar a la seguridad

La especificación 802.11i: incluye medidas de seguridad para las LANs inalámbricas

•          Reemplaza las claves de encriptación estáticas

•          Servidor de autenticación central

•          Autenticación mutua

La seguridad inalámbrica debe ir acompañada de políticas y procedimientos apropiados para el uso seguro de los dispositivos inalámbricos

CIFRADO E INFRAESTRUCTURA DE CLAVE PÚBLICA

•          Transforma texto o datos comunes en texto cifrado, utilizando una clave de encriptación

•          El receptor tiene que desencriptar el mensaje

Dos métodos para cifrar el tráfico de red en Web

•          El protocolo de Capa de Protección Segura (SSL) /Seguridad de la Capa de Transporte (TLS)

§  Establece una conexión segura entre cliente / servidor

•          El protocolo de Transferencia de Hipertexto Seguro (S-HTTP)

§  Encripta mensajes individuales

Existen dos métodos alternativos de cifrado:

•          Encriptación de clave simétrica

•          Compartida, clave de encriptación única enviada al receptor

•          Encriptación de clave pública

•          Utiliza dos claves, una compartida o pública y una totalmente privada

•          Para enviar y recibir mensajes, los comunicadores primero crean pares separados de claves privadas y públicas

Certificados digitales:

•          Archivos de datos utilizados para establecer la identidad de usuarios y activos electrónicos para la protección de las transacciones en línea

•          Recurre a un tercero confiable, conocido como autoridad de certificación (CA), para validar la identidad de un usuario

Infraestructura de clave pública (PKI)

•          Uso de la criptografía de clave pública para trabajar con una CA, en la actualidad se utiliza mucho para el comercio electrónico.

ASEGURAMIENTO DE LA DISPONIBILIDAD DEL SISTEMA

Procesamiento de transacciones en línea: la computadora procesa de inmediato las transacciones que se realizan en línea. Los cambios multitudinarios en las bases de datos, los informes y las solicitudes de información ocurren a cada instante.

•          Sistemas de computadora tolerantes a fallas:

o   Provee un servicio continuo sin interrupciones.

o   Utilizan rutinas especiales de software o lógica de autocomprobación integrada

o   Detectan fallas de hardware y cambian de manera automática a un dispositivo de respaldo. Las piezas de estas computadoras se pueden quitar y reparar sin interrupciones en el sistema computacional.

•          Computación de alta disponibilidad

o   Ayuda a las firmas a recuperarse con rapidez de un desastre en el sistema.

o   Requiere servidores de respaldo, la distribución del procesamiento entre varios servidores, almacenamiento de alta capacidad y planes convenientes de recuperación de desastres y continuidad de negocios.

o   La plataforma debe ser en extremo robusta, con capacidad de escalar el poder de procesamiento, el almacenamiento y el ancho de banda.

•          Computación orientada a la recuperación.

o   Sistemas que se recuperan con más rapidez cuando ocurran percances.

o   implementación de capacidades y herramientas para ayudar a los operadores a señalar los orígenes de las fallas

o   corregir sus errores con facilidad.

Control del tráfico de red: inspección profunda de paquetes (DPI)

Uso de la red para descargar música o ver YouTube, consumiendo ancho de banda, obstruyendo y reduciendo  la velocidad de las redes corporativas, lo cual degrada su desempeño.

DPI examina los archivos de datos y ordena el material en línea de baja prioridad mientras asigna mayor prioridad a los archivos críticos para la empresa. Con base en las prioridades establecidas por los operadores de una red, decide si un paquete de datos específico puede continuar hacia su destino, o si hay que bloquearlo o retrasarlo mientras avanza el tráfico más importante.

Subcontratación (outsourcing) de la seguridad

Subcontratar muchas funciones de seguridad con proveedores de servicios de seguridad administrados (MSSP), quienes monitorean la actividad de la red y realizan pruebas de vulnerabilidad, además de detección de intrusos.

ASPECTOS DE SEGURIDAD PARA LA COMPUTACIÓN EN LA NUBE Y LA PLATAFORMA DIGITAL MÓVIL

Seguridad en la nube

•          El proveedor de la nube debe almacenar y procesar los datos en jurisdicciones específicas, de acuerdo con las reglas de privacidad de esas jurisdicciones.

•          Prueba de que los mecanismos de cifrado son sólidos.

•          cómo responderá el proveedor de la nube si ocurre un desastre, si el proveedor podrá restaurar por completo sus datos y qué tanto tiempo tardaría.

•          los proveedores estarían dispuestos a someterse a auditorías y certificaciones de seguridad externas.

Estos tipos de controles se pueden escribir en el acuerdo de nivel de servicio (SLA) antes de firmar con un proveedor de la nube.

Seguridad en las plataformas móviles

Los dispositivos móviles necesitan estar protegidos de igual forma que las computadoras de escritorio y laptops contra malware, robo, pérdida accidental, acceso sin autorización y hackers.

Los dispositivos móviles que acceden a los sistemas y datos corporativos requieren protección especial.

ASEGURAMIENTO DE LA CALIDAD DEL SOFTWARE

La métrica de software consiste en las evaluaciones de los objetivos del sistema en forma de medidas cuantificadas.

Permite al departamento de sistemas de información y a los usuarios finales medir en conjunto el desempeño del sistema, e identificar los problemas a medida que ocurren.

Algunas métricas de software son:

•          El número de transacciones que se pueden procesar en una unidad de tiempo específica,

•          el tiempo de respuesta en línea,

•          la cantidad de cheques de nómina impresos en una hora

•          el número de errores conocidos por cada 100 líneas de código de programa.

La métrica debe diseñarse con cuidado, ser formal y objetiva; hay que utilizarla de manera consistente.