Kategorien: Alle - hacking - seguridad - encriptación - autenticación

von Erick Maldonado Vor 9 Jahren

436

Seguridad en los sistemas de Informacion

En el ámbito de la tecnología, la administración de identidad se ha vuelto crucial para mantener la seguridad de los sistemas. Esta gestión implica registrar a los usuarios y sus privilegios, utilizando métodos de autenticación como contraseñas, tokens y tarjetas inteligentes.

Seguridad en los sistemas de Informacion

Desafios de Seguridad Inalambrica Bandas de radiofrecuencia fáciles de escanear SSID (identificadores de conjunto de servicios) Identifican los puntos de acceso en una red Wi-Fi Se transmiten varias veces y los programas husmeadores de los intrusos pueden detectarlos facilmente. War driving Los espias conducen cerca de edificios y tratan de detectar el acceso SSID y tienen acceso a redes y demás recursos. WEP (Privacidad Equivalente al Cableado) Seguridad estándar de 802.11, el uso es opcional Utiliza la contraseña compartida tanto para usuarios como punto de acceso. Los usuarios a menudo no implementan sistemas WEP y quedan desprotegidos.

¿Qué problemas de seguridad y Control se describen en este caso? ¿Qué factores de personas, organización y tecnología contribuyen a estos problemas? Que tan segura es la computación en la nube? Explique su respuesta. Si estuviera a cargo del departamento de sistemas de información de su compañía, ¿Qué aspectos desearía aclarar con sus posibles distribuidores? ¿Confiaría sus sistemas corporativos a un proveedor de computación en la Nube? ¿Por qué si o por que no?

El robo de identidad (Identity theft) El robo de información personal (Número de identificación del Seguro Social, licencia de conducir o tarjeta de crédito) para hacerse pasar por otra persona. Phishing La creación de sitios web falsos o el envío de mensajes de correo electrónico que se parecen a las empresas legítimas para pedir a los usuarios de los datos personales confidenciales. Gemelos Malvados (Evil twins) Las redes inalámbricas que pretenden ofrecer conexiones Wi-Fi de confianza a Internet, como las que se encuentran en las salas de los aeropuertos, hoteles o cafeterías.

Los sistemas de información controlan: Los controles manuales y automatizados Controles de aplicación y controles generales. Los controles generales: El Gobierno diseña, la seguridad y el uso de programas informáticos y de seguridad de los archivos de datos en general toda la infraestructura de tecnología de información de la organización. Aplicar a todas las aplicaciones informáticas. La combinación de hardware, software y manual de procedimientos para crear un ambiente general de control.

Administración de Identidad Consiste en los procesos de negocios y las herramientas de software para identificar a los usuarios validos de un sistema y para controlar el acceso a los recursos del mismo. Identificar y autorizar a distintas categorías de usuarios del sistema. Especificar los sistemas o partes de los mismos Autenticar usuarios y proteger sus identidades. Identidad de los sistemas de gestión Captura las reglas de acceso para los diferentes niveles de usuarios

¿Que tan segura es la Nube?

Cuando el Software antivirus inutiliza a sus computadoras

Evaluación del Riesgo: Determina el nivel de riesgo para la empresa si no se controla una actividad o proceso especifico de manera apropiado. Tipos de Amenaza Probabilidad de ocurrencia durante el año Las pérdidas potenciales, valor de la amenaza La pérdida esperada anual

Certificados Digitales: Archivo de datos que se utilizan para establecer la identidad de los usuarios y los activos electrónicos para proteger las transacciones en línea. Utiliza una tercera parte de confianza, conocida como autoridad de certificado (CA), para validar la identidad de un usuario. CA verifica la identidad de un usuario del certificado digital desconectada de Internet, almacena la información en el servidor de CA, el cual genera un certificado digital cifrado que contiene la información del propietario de identidad y copia de la clave pública del propietario. Infraestructura de Clave Publica (PKI) El uso de criptografía de clave pública para trabajar con certificado de autoridad (CA). Se utiliza mucho en el Comercio Electrónico.

Delitos por Computadora Se define como: "cualquier violación de la ley penal que implique un conocimiento de la tecnología informática para su perpetración, investigación o enjuiciamiento“ La computadora puede ser objetivo de la delincuencia, por ejemplo: Violar la confidencialidad de los datos informáticos protegidos. Acceso a un sistema informático sin autorización. La Computadora puede ser instrumento de la delincuencia, por ejemplo: El robo de secretos comerciales. El uso del correo electrónico en busca de amenazas o acoso.

Firewalls La combinación de hardware y software que evita que los usuarios no autorizados accedan a redes privadas. Las tecnologías de filtrado de Firewall incluyen: Filtrado de Paquetes estático Traducción de Direcciones de Red (NAT) Filtrado de Proxy de Aplicación

Objetivos de Aprendizaje ¿Por qué son los sistemas de información vulnerable a la destrucción, error, y el abuso? ¿Cuál es el valor de negocio de la seguridad y el control? ¿Cuáles son los componentes de un marco organizativo para la seguridad y el control? ¿Cuáles son las herramientas más importantes y tecnologías para la protección de los recursos de información?

Requerimientos Legales y Regulatorios para la Administración de Registros Electrónicos HIPAA: Ley de portabilidad y Responsabilidad de los Seguros Médicos. Gramm-Leach-Bliley Act: Requiere que las Instituciones Financieras garanticen la seguridad y confidencialidad de los datos de los clientes. Sarbanes-Oxley Act: Impone responsabilidad a las empresas y sus administraciones de salvaguardar la exactitud e integridad de la información financiera que se maneja de manera interna y que se emite al exterior.

Existen dos métodos alternativos de Cifrado: Cifrado de Clave Simétrica El emisor y el receptor utilizan clave de cifrado única y compartida. Cifrado de Clave Publica Utiliza dos claves de naturaleza matemática relacionadas: clave pública y la clave privada. El emisor cifra un mensaje con la clave pública del receptor. El receptor usa su propia clave privada para descifrarlo.

Porque son Vulnerables los Sistemas Accesibilidad de las redes. Problemas de hardware (averías, errores de configuración, el daño por el uso inadecuado o la delincuencia). Problemas de software (errores de programación, errores de instalación, los cambios no autorizados). Desastres. El uso de redes / ordenadores fuera del control de firma. La pérdida y robo de los dispositivos portátiles.

Pharming Redirige a los usuarios a una página web falsa, incluso cuando estos ingresen la dirección correcta de la página web de su navegador. El fraude del clic (Click fraud) Se produce cuando el programa de computadora individual o de manera fraudulenta hace clic en anuncios en línea sin ninguna intención de aprender más sobre el anunciante o hacer una compra. Ciberterrorismo: es la forma de terrorismo que utiliza las tecnologías de información para intimidar, coercionar o para causar daños a grupos sociales con fines políticos-religiosos. Guerra cibernética: nos referimos solamente a los medios y los métodos bélicos que consisten en operaciones cibernéticas que alcanzan el nivel de un conflicto armado o son conducidas en el contexto de un conflicto armado.

Vulnerabilidad y Abuso de los Sistemas

Seguridad en las Redes Inalámbricas WEP ofrece cierto margen de seguridad si los usuarios de Wi-Fi recuerdan activarla para: Asignar un nombre único a SSID de su red a instruir a su enrutador para que no lo transmita. Si la utiliza con la tecnología de Redes Privadas Virtuales (VPN) para accesar datos corporativos. La alianza Wi-Fi finalizó la especificación WAP2, en sustitución de WEP con estándares de seguridad mas solidos. Usa claves mucho mas extensas que cambian de manera continua. Emplea un sistema de autenticación cifrado con un servidor de autenticación central.

Malware (software malicioso) Virus (Viruses) Programa de software malintencionado que se une a otros programas de software o archivos de datos para poder ejecutarse sin el conocimiento o permiso del usuario. Gusanos (Worms) Programas de computadora independientes que se copian a si mismos de una computadora a otras computadoras a través de una red. Caballos de Troya (Trojan horses) Programa de software que parece ser benigno, pero luego hace algo distinto de lo esperado.

Encriptación: Transforma texto o datos simples en texto cifrado que no puede leer nadie mas que el emisor y el receptor deseado. Los dos métodos para cifrar el trafico de red en web son: La capa de Sockets seguros (SSL) y su sucesor, seguridad de la capa de transporte. El Protocolo de Transferencia de Hipertexto seguro (S-HTTP)

Auditoria de MIS Examina el entorno general de seguridad de la empresa, así como los controles que rigen los sistemas de información individuales. Revisa las tecnologías, procedimientos, documentación, formación y el personal. Puede incluso simular un ataque o desastre para evaluar la respuesta de la tecnología, el personal de sistemas de información y los empleados de la empresa. Enumera y clasifica a todas las debilidades de control; además estima la probabilidad de su ocurrencia. Evalúa el impacto financiero y organizacional de cada amenaza.

Seguridad en la Nube La rendición de cuentas y la responsabilidad para proteger los datos confidenciales aun recae en la compañía que posee esos datos. Las empresas deben asegurarse que los proveedores proporciona una protección adecuada de los datos. Los controles de deben de escribir en el Acuerdo de nivel de servicio (SLA) antes de firmar con el proveedor de la nube. Seguridad en las Plataformas Móviles Las políticas de seguridad deben de incluir y cubrir cualquier requisito especial para dispositivos móviles. Por ejemplo: La actualización de los teléfonos inteligentes con los parches de seguridad más recientes y con software antivirus/antispam, etc.

Planificación de Recuperación de Desastres Idea planes para restaurar los servicios de computo y comunicaciones después de haberse interrumpido. Planificación de Continuidad de Negocios Se centra en el restablecimiento de las operaciones de negocios después de que ocurre un desastre. Ambos tipos de planes son necesarios para identificar los sistemas más críticos de empresa. La gerencia debe determinar la máxima cantidad de tiempo que puede sobrevivir la empresa con sus sistemas inactivos. La gerencia debe determinar qué sistemas se deben restaurar primero.

Asegurar la Disponibilidad del Sistema Procesamiento de transacciones en línea requiere un 100% de disponibilidad, sin tiempo de inactividad. Sistemas de Computadora tolerantes a fallas Para conocer la disponibilidad continua, por ejemplo, los mercados de valores. Contiene componentes redundantes de hardware, software y suministro de energía que crean un entorno en donde se provee un servicio continuo, sin interrupciones. Computación de Alta Disponibilidad Ayuda a las firmas a recuperarse con rapidez de un desastre. Reduce al mínimo, el tiempo de inactividad no eliminado.

El fracaso de los sistemas informáticos pueden llevar a una pérdida significativa o total de la función empresarial. Las empresas ahora son más vulnerables que nunca. Datos confidenciales personales y datos financieros. Los secretos comerciales, nuevos productos, estrategias. Un fallo de seguridad puede cortar el valor de la empresa en el mercado de forma casi inmediata. La seguridad y el control inadecuados también pueden dar lugar a serios problemas de responsabilidad legal.

Establecimiento de un Marco para la Seguridad y el Control

Aseguramiento de la calidad del software La métrica de software consiste en las evaluaciones de los objetivos del sistema en formas de medidas cuantificadas. Numero de transacciones Tiempo de respuesta en línea Cantidad de cheques de nomina impresos en una hora Numero de errores por cada 100 líneas de código de programa. Regular las primeras pruebas del software Recorrido: La revisión de una especificación o un documento de diseño realizada por un pequeño grupo de personas seleccionadas con sumo cuidado. Depuración: Cuando se descubren errores y se encuentra el origen de los mismos estos son eliminados.

Valor de Negocios de la Seguridad y el Control

Política de Seguridad Riesgos de información, identifican los objetivos de seguridad aceptables y también los mecanismos para lograr estos objetivos. Unidades de otras políticas Política de uso aceptable (AUP) Define los usos admisibles de los recursos de información y el equipo de computo de la firma. Políticas de autorización Determina los diferentes niveles de acceso de los usuarios a los activos de la información.

Amenazas Internas: Los Empleados Las amenazas de seguridad a menudo se originan en el interior de una organización. Dentro de conocimientos Procedimientos de seguridad poco rigurosos Falta de conocimiento del usuario Ingeniería Social (Social engineering): Engañar a los empleados para que revelen sus contraseñas haciéndose pasar por miembros legítimos de la empresa en la necesidad de información.

Sistema de Detención de Intrusos Supervisar los puntos calientes en las redes corporativas para detectar y evadir a los intrusos de manera continua. Software antivirus y antispyware Revisa los sistemas computacionales para detectar la presencia de malware y, a menudo elimina el virus del área infectada. Requiere de actualización continua. Administración unificada de amenazas (UTM) Sistemas de Gestión unificada de amenazas (UTM).

Establecimiento de una Estructura para la Seguridad y el Control

Software de Administración de Identidad Automatiza el proceso de llevar el registro de todos estos usuarios y sus privilegios de sistema. Autenticación Sistemas de Contraseñas Token´s : Dispositivo físico similar a una tarjeta de identificación diseñado para demostrar la identidad de un solo usuario. Tarjeta Inteligente: es una tarjeta microprocesador de las dimensiones de una tarjeta de crédito o más pequeña con varias propiedades especiales y es capaz de proveer servicios de seguridad Autenticación Biométrica: nos estamos refiriendo simplemente a la verificación de una identidad por medio de la aplicación de técnicas tanto matemáticas como estadísticas sobre los rasgos o bien físicos o bien de conducta del individuo. Ejemplo: Huellas Dactilares, iris del ojo, palma de la mano o patrones faciales

Computación Orientada a la Recuperación Consiste en diseñar sistemas que se recuperen con rapidez, para ayudar a los operadores a señalar los orígenes de las fallas en los sistemas con muchos componentes. Control del Trafico de Red Inspección Profunda de Paquetes (DPI) Bloqueo de películas y Música, esto evita que la red este lenta. Subcontratación de la Seguridad (Outsourcing) Proveedores de Servicios de Seguridad Administrados (MSSP)

Vulnerabilidades de Internet Redes publicas grandes, abiertas a cualquier persona. Tamaño de los abusos de los medios de Internet pueden tener un amplio impacto. El uso de direcciones fijas de Internet con módems de cable o DSL crea objetivos fijos para los hackers. La mayoria del trafico de VoIP a traves de la red Internet publica no esta cifrada, por lo que cualquiera con una red puede escuchar las conversaciones. E-mail, mensajería instantánea, P2P: Intercepcion Datos adjuntos con Software malicioso Transmisión de los secretos comerciales

Spoofing Falsificar uno mismo mediante el uso de falsas direcciones de correo electrónico o haciéndose pasar por otra persona. Redirigir a los clientes a un sitio web falso que tiene una apariencia casi exactamente igual a la del sitio verdadero. Sniffer Tipo de programa espía que monitorea la información que viaja a través de una red. Permite a los hackers para robar información privada, como los archivos de correo electrónico, archivos de la empresa e informes confidenciales.

Controles de Aplicación Son controles específicos únicos para cada aplicación computarizada, como nomina o procesamiento de pedidos. Implica procedimientos tanto automatizados como manuales Asegurarse que la aplicación procese de una forma completa y precisa solo los datos autorizados. Incluyen: Controles de entrada Controles de Procesamiento Controles de Salida

Seguridad Las políticas, procedimientos y las medidas técnicas utilizadas para impedir el acceso no autorizado, la alteración, el robo o el daño físico a los sistemas de información. Controles Los métodos, políticas y procedimientos organizacionales que refuerzan la seguridad de los activos de la organización; la precisión y confiabilidad de sus registros contables, y la adhesión operacional a los estándares gerenciales.

Tipos de Control General: Controles de Software Controles de Hardware Controles de Operaciones de Computadora Controles de Seguridad de Datos Controles de Implementación Controles Administrativos

Vulnerabilidad del Software El software comercial contiene defectos que no solo producen vulnerabilidades de desempeño y de seguridad. Errores ocultos (defectos de código de programa) Cero defectos no se puede lograr porque las pruebas completas no son posibles con programas grandes. Los defectos pueden abrir las redes a los intrusos. Parches (Patches) Para corregir los defectos del software una vez que han sido identificados, el fabricante del software a creado pequeñas piezas para reparar defectos. Sin embargo el Malware es creado con tanta rapidez que las empresas tienen muy poco tiempo para responder entre el momento en que se anuncia la existencia de una vulnerabilidad y el de su parche correspondiente.

¿Qué factores de administración, organización y tecnología fueron responsables de problema de software de McAfee? ¿Cuál fue el impacto de negocios de este problema de software, tanto para McAfee como para sus clientes? Si usted fuera empleado empresarial de McAfee, ¿consideraría que la respuesta de la compañía al problema sea aceptable? ¿Por qué si o por qué no? ¿Qué debería hacer McAfee en el futuro para evitar problemas similares?

Evidencia Electrónica Hoy en día, gran parte de la evidencia acerca de fraudes con acciones, abuso de confianza, robo de secretos comerciales a empresas, delitos informáticos y muchos casos civiles, se encuentran en forma digital. Pruebas en formas de datos digitales almacenados en CD’s, Discos Duros de Computadoras, Correo electrónico, Mensajes Instantáneos y transacciones de comercio electrónico a través de Internet. El control adecuado de los datos puede ahorrar tiempo y dinero cuando se responde a una petición de descubrimiento legal. Informática Forense Colección científica, la exploración, la autenticación, la preservación y análisis de datos de los soportes informáticos para su uso como prueba en los Tribunales de Justicia. Incluye la recuperación de los datos del ambiente y datos ocultos.

Ataque de Negación de Servicios (DoS Denial-of-service) Los hackers inundan un servidor de red o de web con muchos miles de comunicaciones o solicitudes de servicios falsas para hacer que la red falle. Ataque de Negacion de Servicios Distribuido (DDoS) El uso de numerosas computadoras para lanzar un ataque DoS Botnets ( Red de Robots) Los autores de ataques DoS utilizan miles de PC’s “Zombies” infectadas con software malicioso sin el conocimiento de sus propietarios y organizadas en una Botnet. En todo el mundo, 6 - 24 millones de computadoras sirven como ordenadores zombi en miles de botnets.

Está usted en Facebook? ¡Tenga Cuidado! Facebook - red social más grande del mundo Problema - El robo de identidad y software malicioso. Ejemplo: 2009 Durante 18 meses los Hackers robaron contraseñas, se tradujo en la descarga de caballo de Troya que robó los datos financieros Dec 2008 gusano Koobface se dirige a usuarios de Facebook, Twitter y otros sitios web de redes sociales Mayo 2010 los miembros de Facebook y sus amigos fueron victimas de un spam destinado a robar logins. Ilustra: Tipos de ataques a la seguridad que enfrentan los consumidores Muestra: La ubicuidad de piratería, software malintencionados

Seguridad en los sistemas de Informacion

Erick Jeovanny Maldonado Clase de Introduccion a Informatica Sabados 12:30