Kategorier: Alle - recuperación - continuidad - seguridad - auditoría

av Eddy Zeron 9 år siden

1197

Seguridad en los sistemas de información

Las organizaciones enfrentan riesgos considerables en sus sistemas de información, que pueden ser vulnerables a destrucción, errores y abusos. Para mitigar estos riesgos, es fundamental implementar políticas y procedimientos sólidos que aseguren la integridad de los sistemas.

Seguridad en los sistemas de información

SEGURIDAD EN LOS SISTEMAS DE INFORMACION CAPITULO # 8

Objetivos de Aprendizaje ¿Por qué son los sistemas de información vulnerable a la destrucción, error, y el abuso? ¿Cuál es el valor de negocio de la seguridad y el control? ¿Cuáles son los componentes de un marco organizativo para la seguridad y el control? ¿Cuáles son las herramientas más importantes y tecnologías para la protección de los recursos de información?

Vulnerabilidad y Abuso de los Sistemas ¿Que tan segura es la Nube? Lea la sesion Interactiva y discuta las siguientes preguntas ¿Qué problemas de seguridad y Control se describen en este caso? ¿Qué factores de personas, organización y tecnología contribuyen a estos problemas? Que tan segura es la computación en la nube? Explique su respuesta. Si estuviera a cargo del departamento de sistemas de información de su compañía, ¿Qué aspectos desearía aclarar con sus posibles distribuidores? ¿Confiaría sus sistemas corporativos a un proveedor de computación en la Nube? ¿Por qué si o por que no?
Establecimiento de un Marco para la Seguridad y el Control Aseguramiento de la calidad del software La métrica de software consiste en las evaluaciones de los objetivos del sistema en formas de medidas cuantificadas. • • • • • Regular las primeras pruebas del software • Recorrido: La revisión de una especificación o un documento de diseño realizada por un pequeño grupo de personas seleccionadas con sumo cuidado. • Numero de transacciones Tiempo de respuesta en línea Cantidad de cheques de nomina impresos en una hora Numero de errores por cada 100 líneas de código de programa. Depuración: Cuando se descubren errores y se encuentra el origen de los mismos estos son eliminados. •
Establecimiento de una Estructura para la Seguridad y el Control
Establecimiento de un Marco para la Seguridad y el Control Planificación de Recuperación de Desastres Idea planes para restaurar los servicios de computo y comunicaciones después de haberse interrumpido. • Planificación de Continuidad de Negocios Se centra en el restablecimiento de las operaciones de negocios después de que ocurre un desastre. • • • • Ambos tipos de planes son necesarios para identificar los sistemas más críticos de empresa. La gerencia debe determinar la máxima cantidad de tiempo que puede sobrevivir la empresa con sus sistemas inactivos. La gerencia debe determinar qué sistemas se deben restaurar primero.

Establecimiento de un marco para el Control y la Seguridad Auditoria de MIS Examina el entorno general de seguridad de la empresa, así como los controles que rigen los sistemas de información individuales. Revisa las tecnologías, procedimientos, documentación, formación y el personal. Puede incluso simular un ataque o desastre para evaluar la respuesta de la tecnología, el personal de sistemas de información y los empleados de la empresa. Enumera y clasifica a todas las debilidades de control; además estima la probabilidad de su ocurrencia. Evalúa el impacto financiero y organizacional de cada amenaza.

Establecimiento de un Marco para la Seguridad y el Control

Establecimiento de un Marco para la Seguridad y el Control Software de Administración de Identidad Automatiza el proceso de llevar el registro de todos estos usuarios y sus privilegios de sistema. • Autenticación Sistemas de Contraseñas • Token´s : Dispositivo físico similar a una tarjeta de identificación diseñado para demostrar la identidad de un solo usuario. • • Tarjeta Inteligente: es una tarjeta microprocesador de las dimensiones de una tarjeta de crédito o más pequeña con varias propiedades especiales y es capaz de proveer servicios de seguridad Autenticación Biométrica: nos estamos refiriendo simplemente a la verificación de una identidad por medio de la aplicación de técnicas tanto matemáticas como estadísticas sobre los rasgos o bien físicos o bien de conducta del individuo. • • Ejemplo: Huellas Dactilares, iris del ojo, palma de la mano o patrones faciales

Establecimiento de un Marco para la Seguridad y el Control Firewalls La combinación de hardware y software que evita que los usuarios no autorizados accedan a redes privadas. • Las tecnologías de filtrado de Firewall incluyen: • • • • Filtrado de Paquetes estático Traducción de Direcciones de Red (NAT) Filtrado de Proxy de Aplicación

Establecimiento de un Marco para la Seguridad y el Control Sistema de Detención de Intrusos • • Supervisar los puntos calientes en las redes corporativas para detectar y evadir a los intrusos de manera continua. Software antivirus y antispyware • • Revisa los sistemas computacionales para detectar la presencia de malware y, a menudo elimina el virus del área infectada. Requiere de actualización continua. • Administración unificada de amenazas (UTM) • • Sistemas de Gestión unificada de amenazas (UTM).

Establecimiento de un Marco para la Seguridad y el Control Seguridad en las Redes Inalámbricas WEP ofrece cierto margen de seguridad si los usuarios de Wi-Fi recuerdan activarla para: • • • Asignar un nombre único a SSID de su red a instruir a su enrutador para que no lo transmita. Si la utiliza con la tecnología de Redes Privadas Virtuales (VPN) para accesar datos corporativos. La alianza Wi-Fi finalizó la especificación WAP2, en sustitución de WEP con estándares de seguridad mas solidos. • • • Usa claves mucho mas extensas que cambian de manera continua. Emplea un sistema de autenticación cifrado con un servidor de autenticación central.

Establecimiento de un Marco para la Seguridad y el Control Encriptación: Transforma texto o datos simples en texto cifrado que no puede leer nadie mas que el emisor y el receptor deseado. • Los dos métodos para cifrar el trafico de red en web son: • • • La capa de Sockets seguros (SSL) y su sucesor, seguridad de la capa de transporte. El Protocolo de Transferencia de Hipertexto seguro (S-HTTP)

Establecimiento de un Marco para la Seguridad y el Control Existen dos métodos alternativos de Cifrado: Cifrado de Clave Simétrica • • Cifrado de Clave Publica • • El emisor y el receptor utilizan clave de cifrado única y compartida. • • Utiliza dos claves de naturaleza matemática relacionadas: clave pública y la clave privada. El emisor cifra un mensaje con la clave pública del receptor. El receptor usa su propia clave privada para descifrarlo.

Establecimiento de un Marco para la Seguridad y el Control Certificados Digitales: • • • • Archivo de datos que se utilizan para establecer la identidad de los usuarios y los activos electrónicos para proteger las transacciones en línea. Utiliza una tercera parte de confianza, conocida como autoridad de certificado (CA), para validar la identidad de un usuario. CA verifica la identidad de un usuario del certificado digital desconectada de Internet, almacena la información en el servidor de CA, el cual genera un certificado digital cifrado que contiene la información del propietario de identidad y copia de la clave pública del propietario. Infraestructura de Clave Publica (PKI) • • • El uso de criptografía de clave pública para trabajar con certificado de autoridad (CA). Se utiliza mucho en el Comercio Electrónico.

Establecimiento de un Marco para la Seguridad y el Control Asegurar la Disponibilidad del Sistema Procesamiento de transacciones en línea requiere un 100% de disponibilidad, sin tiempo de inactividad. • Sistemas de Computadora tolerantes a fallas Para conocer la disponibilidad continua, por ejemplo, los mercados de valores. • Contiene componentes redundantes de hardware, software y suministro de energía que crean un entorno en donde se provee un servicio continuo, sin interrupciones. • Computación de Alta Disponibilidad Ayuda a las firmas a recuperarse con rapidez de un desastre. • Reduce al mínimo, el tiempo de inactividad no eliminado. •

Establecimiento de un Marco para la Seguridad y el Control Computación Orientada a la Recuperación Consiste en diseñar sistemas que se recuperen con rapidez, para ayudar a los operadores a señalar los orígenes de las fallas en los sistemas con muchos componentes. • Control del Trafico de Red Inspección Profunda de Paquetes (DPI) • • Bloqueo de películas y Música, esto evita que la red este lenta. Subcontratación de la Seguridad (Outsourcing) Proveedores de Servicios de Seguridad Administrados (MSSP) •

Establecimiento de un Marco para la Seguridad y el Control Seguridad en la Nube La rendición de cuentas y la responsabilidad para proteger los datos confidenciales aun recae en la compañía que posee esos datos. • Las empresas deben asegurarse que los proveedores proporciona una protección adecuada de los datos. • Los controles de deben de escribir en el Acuerdo de nivel de servicio (SLA) antes de firmar con el proveedor de la nube. • Seguridad en las Plataformas Móviles Las políticas de seguridad deben de incluir y cubrir cualquier requisito especial para dispositivos móviles. • • Por ejemplo: La actualización de los teléfonos inteligentes con los parches de seguridad más recientes y con software antivirus/ antispam, etc.

Establecimiento de una Estructura para la Seguridad y el Control Los sistemas de información controlan: • • • Los controles generales: • • Los controles manuales y automatizados Controles de aplicación y controles generales. • • El Gobierno diseña, la seguridad y el uso de programas informáticos y de seguridad de los archivos de datos en general toda la infraestructura de tecnología de información de la organización. Aplicar a todas las aplicaciones informáticas. La combinación de hardware, software y manual de procedimientos para crear un ambiente general de control.
Establecimiento de una Estructura para la Seguridad y el Control Tipos de Control General: • • • • • • • Controles de Software Controles de Hardware Controles de Operaciones de Computadora Controles de Seguridad de Datos Controles de Implementación Controles Administrativos

Establecimiento de una Estructura para la Seguridad y el Control Controles de Aplicación • • • • • Son controles específicos únicos para cada aplicación computarizada, como nomina o procesamiento de pedidos. Implica procedimientos tanto automatizados como manuales Asegurarse que la aplicación procese de una forma completa y precisa solo los datos autorizados. Incluyen: Controles de entrada • Controles de Procesamiento • Controles de Salida •

Establecimiento de una Estructura para la Seguridad y el Control Evaluación del Riesgo: Determina el nivel de riesgo para la empresa si no se controla una actividad o proceso especifico de manera apropiado. • • • • • Tipos de Amenaza Probabilidad de ocurrencia durante el año Las pérdidas potenciales, valor de la amenaza La pérdida esperada anual

Establecimiento de una Estructura para la Seguridad y el Control Política de Seguridad • • • Riesgos de información, identifican los objetivos de seguridad aceptables y también los mecanismos para lograr estos objetivos. Unidades de otras políticas Política de uso aceptable (AUP) • • Define los usos admisibles de los recursos de información y el equipo de computo de la firma. Políticas de autorización • • Determina los diferentes niveles de acceso de los usuarios a los activos de la información.

Establecimiento de una Estructura para la Seguridad y el Control Administración de Identidad • • • Consiste en los procesos de negocios y las herramientas de software para identificar a los usuarios validos de un sistema y para controlar el acceso a los recursos del mismo. Identificar y autorizar a distintas categorías de usuarios del sistema. • Especificar los sistemas o partes de los mismos • Autenticar usuarios y proteger sus identidades. • Identidad de los sistemas de gestión Captura las reglas de acceso para los diferentes niveles de usuarios •

Valor de Negocios de la Seguridad y el Control El fracaso de los sistemas informáticos pueden llevar a una pérdida significativa o total de la función empresarial. Las empresas ahora son más vulnerables que nunca. Datos confidenciales personales y datos financieros. Los secretos comerciales, nuevos productos, estrategias. Un fallo de seguridad puede cortar el valor de la empresa en el mercado de forma casi inmediata. La seguridad y el control inadecuados también pueden dar lugar a serios problemas de responsabilidad legal.
Valor de Negocios de la Seguridad y el Control Requerimientos Legales y Regulatorios para la Administración de Registros Electrónicos HIPAA: Ley de portabilidad y Responsabilidad de los Seguros Médicos. Gramm-Leach-Bliley Act: Requiere que las Instituciones Financieras garanticen la seguridad y confidencialidad de los datos de los clientes. Sarbanes-Oxley Act: Impone responsabilidad a las empresas y sus administraciones de salvaguardar la exactitud e integridad de la información financiera que se maneja de manera interna y que se emite al exterior.

Valor de Negocios de la Seguridad y el Control Evidencia Electrónica Hoy en día, gran parte de la evidencia acerca de fraudes con acciones, abuso de confianza, robo de secretos comerciales a empresas, delitos informáticos y muchos casos civiles, se encuentran en forma digital. Pruebas en formas de datos digitales almacenados en CD’s, Discos Duros de Computadoras, Correo electrónico, Mensajes Instantáneos y transacciones de comercio electrónico a través de Internet. El control adecuado de los datos puede ahorrar tiempo y dinero cuando se responde a una petición de descubrimiento legal. Informática Forense Colección científica, la exploración, la autenticación, la preservación y análisis de datos de los soportes informáticos para su uso como prueba en los Tribunales de Justicia. Incluye la recuperación de los datos del ambiente y datos ocultos. SISTEMAS DE INFORMACION

Cuando el Software antivirus inutiliza a sus computadoras ¿Qué factores de administración, organización y tecnología fueron responsables de problema de software de McAfee? ¿Cuál fue el impacto de negocios de este problema de software, tanto para McAfee como para sus clientes? Si usted fuera empleado empresarial de McAfee, ¿consideraría que la respuesta de la compañía al problema sea aceptable? ¿Por qué si o por qué no? ¿Qué debería hacer McAfee en el futuro para evitar problemas similares?
Vulnerabilidad y Abuso de los Sistemas Vulnerabilidad del Software El software comercial contiene defectos que no solo producen vulnerabilidades de desempeño y de seguridad. Errores ocultos (defectos de código de programa) Cero defectos no se puede lograr porque las pruebas completas no son posibles con programas grandes. Los defectos pueden abrir las redes a los intrusos. Parches (Patches) Para corregir los defectos del software una vez que han sido identificados, el fabricante del software a creado pequeñas piezas para reparar defectos. Sin embargo el Malware es creado con tanta rapidez que las empresas tienen muy poco tiempo para responder entre el momento en que se anuncia la existencia de una vulnerabilidad y el de su parche correspondiente.
Vulnerabilidad y Abuso de los Sistemas Amenazas Internas: Los Empleados Las amenazas de seguridad a menudo se originan en el interior de una organización. Dentro de conocimientos Procedimientos de seguridad poco rigurosos Falta de conocimiento del usuario Ingeniería Social (Social engineering): Engañar a los empleados para que revelen sus contraseñas haciéndose pasar por miembros legítimos de la empresa en la necesidad de información.
Vulnerabilidad y Abuso de los Sistemas Pharming Redirige a los usuarios a una página web falsa, incluso cuando estos ingresen la dirección correcta de la página web de su navegador. El fraude del clic (Click fraud) Se produce cuando el programa de computadora individual o de manera fraudulenta hace clic en anuncios en línea sin ninguna intención de aprender más sobre el anunciante o hacer una compra. Ciberterrorismo: es la forma de terrorismo que utiliza las tecnologías de información para intimidar, coercionar o para causar daños a grupos sociales con fines políticos-religiosos. Guerra cibernética: nos referimos solamente a los medios y los métodos bélicos que consisten en operaciones cibernéticas que alcanzan el nivel de un conflicto armado o son conducidas en el contexto de un conflicto armado.
Vulnerabilidad y Abuso de los Sistemas El robo de identidad (Identity theft) El robo de información personal (Número de identificación del Seguro Social, licencia de conducir o tarjeta de crédito) para hacerse pasar por otra persona. La creación de sitios web falsos o el envío de mensajes de correo electrónico que se parecen a las empresas legítimas para pedir a los usuarios de los datos personales confidenciales. Gemelos Malvados (Evil twins) Las redes inalámbricas que pretenden ofrecer conexiones Wi-Fi de confianza a Internet, como las que se encuentran en las salas de los aeropuertos, hoteles o cafeterías.
Vulnerabilidad y Abuso de los Sistemas Ataque de Negación de Servicios (DoS Denial-of- Los hackers inundan un servidor de red o de web con muchos miles de comunicaciones o solicitudes de servicios falsas para hacer que la red falle. Ataque de Negacion de Servicios Distribuido El uso de numerosas computadoras para lanzar un ataque Botnets ( Red de Robots) Los autores de ataques DoS utilizan miles de PC’s “Zombies” infectadas con software malicioso sin el conocimiento de sus propietarios y organizadas en una Botnet. En todo el mundo, 6 - 24 millones de computadoras sirven como ordenadores zombi en miles de botnets.

Vulnerabilidad y Abuso de los Sistemas Delitos por Computadora Se define como: "cualquier violación de la ley penal que implique un conocimiento de la tecnología informática para su perpetración, investigación o enjuiciamiento“ La computadora puede ser objetivo de la delincuencia, por ejemplo: Violar la confidencialidad de los datos informáticos protegidos. Acceso a un sistema informático sin autorización. La Computadora puede ser instrumento de la delincuencia, por ejemplo: El robo de secretos comerciales. El uso del correo electrónico en busca de amenazas o acoso.

Vulnerabilidad y Abuso de los Sistemas Falsificar uno mismo mediante el uso de falsas direcciones de correo electrónico o haciéndose pasar por otra persona. Redirigir a los clientes a un sitio web falso que tiene una apariencia casi exactamente igual a la del sitio verdadero. Tipo de programa espía que monitorea la información que viaja a través de una red. Permite a los hackers para robar información privada, como los archivos de correo electrónico, archivos de la empresa e informes confidenciales.
Vulnerabilidad y Abuso de los Sistemas Los Hackers y los Delitos Computacionales Hackers vs. crackers Un hacker es alguien que descubre las debilidades de una computadora o de una red informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado de computadoras y de redes informáticas. El cracker, es considerado un "vandálico virtual". Este utiliza sus conocimientos para invadir sistemas, descifrar claves y contraseñas de programas y algoritmos de encriptación, ya sea para poder correr juegos sin un CD-ROM, o generar una clave de registro falsa para un determinado programa, robar datos personales, o cometer otros ilícitos informáticos. Las actividades incluyen: Sistema de Intrusión Sistema de Daños Cibervandalismo La interrupción, desfiguración o destrucción intencional de un sitio web o sistema de información corporativo.
Vulnerabilidad y Abuso de los Sistemas Malware (cont.) Ataques de inyección SQL (SQL injection attacks) Los hackers enviar datos a los formularios web que explota software desprotegido sitio y envía pícaro consulta SQL a la base de datos. Spayware Pequeños programas se instalan subrepticiamente en las computadoras para monitorear la actividad de navegación del usuario en la web y presentar publicidad Key loggers (registradores de claves) Registre cada golpe de teclado en el ordenador para robar números de serie, contraseñas, lanzar ataques de Internet, obtener acceso a cuentas de correo, obtener contraseñas a sistemas de computo protegidos como tarjetas de crédito.
Vulnerabilidad y Abuso de los Sistemas Malware (software malicioso) Virus (Viruses) Programa de software malintencionado que se une a otros programas de software o archivos de datos para poder ejecutarse sin el conocimiento o permiso del usuario. Gusanos (Worms) Programas de computadora independientes que se copian a si mismos de una computadora a otras computadoras a través de una red. Caballos de Troya (Trojan horses) Programa de software que parece ser benigno, pero luego hace algo distinto de lo esperado.
Vulnerabilidad y Abuso de los Sistemas
Vulnerabilidad y Abuso de los Sistemas Desafios de Seguridad Inalambrica Bandas de radiofrecuencia fáciles de escanear SSID (identificadores de conjunto de servicios) Identifican los puntos de acceso en una red Wi-Fi Se transmiten varias veces y los programas husmeadores de los intrusos pueden detectarlos facilmente. War driving Los espias conducen cerca de edificios y tratan de detectar el acceso SSID y tienen acceso a redes y demás recursos. WEP (Privacidad Equivalente al Cableado) Seguridad estándar de 802.11, el uso es opcional Utiliza la contraseña compartida tanto para usuarios como punto de acceso. Los usuarios a menudo no implementan sistemas WEP y quedan desprotegidos.
Vulnerabilidad y Abuso de los Sistemas Vulnerabilidades de Internet Redes publicas grandes, abiertas a cualquier persona. Tamaño de los abusos de los medios de Internet pueden tener un amplio impacto. El uso de direcciones fijas de Internet con módems de cable o DSL crea objetivos fijos para los hackers. La mayoria del trafico de VoIP a traves de la red Internet publica no esta cifrada, por lo que cualquiera con una red puede escuchar las conversaciones. E-mail, mensajería instantánea, P2P: Intercepcion Datos adjuntos con Software malicioso Transmisión de los secretos comerciales
Vulnerabilidad y Abuso de los Sistemas Porque son Vulnerables los Sistemas Accesibilidad de las redes. Problemas de hardware (averías, errores de configuración, el daño por el uso inadecuado o la delincuencia). Problemas de software (errores de programación, errores de instalación, los cambios no autorizados). Desastres. El uso de redes / ordenadores fuera del control de La pérdida y robo de los dispositivos portátiles.
Vulnerabilidad y Abuso de los Sistemas Seguridad Las políticas, procedimientos y las medidas técnicas utilizadas para impedir el acceso no autorizado, la alteración, el robo o el daño físico a los sistemas de información. Controles Los métodos, políticas y procedimientos organizacionales que refuerzan la seguridad de los activos de la organización; la precisión y confiabilidad de sus registros contables, y la adhesión operacional a los estándares gerenciales.
Está usted en Facebook? ¡Tenga Cuidado! Facebook - red social más grande del mundo Problema - El robo de identidad y software malicioso. Ejemplo: 2009 Durante 18 meses los Hackers robaron contraseñas, se tradujo en la descarga de caballo de Troya que robó los datos financieros Dec 2008 gusano Koobface se dirige a usuarios de Facebook, Twitter y otros sitios web de redes sociales Mayo 2010 los miembros de Facebook y sus amigos fueron victimas de un spam destinado a robar logins. Ilustra: Tipos de ataques a la seguridad que enfrentan los consumidores Muestra: La ubicuidad de piratería, software malintencionados