SEGURIDAD EN
LOS SISTEMAS DE
INFORMACION

CAPITULO # 8

Objetivos de Aprendizaje

¿Por qué son los sistemas de información vulnerable a la
destrucción, error, y el abuso?

¿Cuál es el valor de negocio de la seguridad y el control?

¿Cuáles son los componentes de un marco organizativo para
la seguridad y el control?

¿Cuáles son las herramientas más importantes y tecnologías
para la protección de los recursos de información?

Está usted en Facebook? ¡Tenga Cuidado!

Facebook - red social más grande del mundo

Problema - El robo de identidad y softwa

Está usted en Facebook? ¡Tenga Cuidado!

Facebook - red social más grande del mundo

Problema - El robo de identidad y software malicioso.

Ejemplo:

2009 Durante 18 meses los Hackers robaron contraseñas, se tradujo
en la descarga de caballo de Troya que robó los datos financieros

Dec 2008 gusano Koobface se dirige a usuarios de Facebook, Twitter
y otros sitios web de redes sociales

Mayo 2010 los miembros de Facebook y sus amigos fueron victimas
de un spam destinado a robar logins.

Ilustra: Tipos de ataques a la seguridad que enfrentan los
consumidores

Muestra: La ubicuidad de piratería, software
malintencionados

Vulnerabilidad y Abuso de los Sistemas

Seguridad

Las políticas, procedimientos y las medidas técnicas utilizadas
para impedir el acceso no autorizado, la alteración, el robo o el
daño físico a los sistemas de información.

Controles

Los métodos, políticas y procedimientos organizacionales que
refuerzan la seguridad de los activos de la organización; la
precisión y confiabilidad de sus registros contables, y la adhesión
operacional a los estándares gerenciales.

Vulnerabilidad y Abuso de los Sistemas

Porque son Vulnerables los Sistemas

Accesibilidad de las redes.

Problemas de hardware (averías, errores de
configuración, el daño por el uso inadecuado o la
delincuencia).

Problemas de software (errores de programación,
errores de instalación, los cambios no autorizados).

Desastres.

El uso de redes / ordenadores fuera del control de

La pérdida y robo de los dispositivos portátiles.

Vulnerabilidad y Abuso de los Sistemas

Vulnerabilidad y Abuso de los Sistemas

Vulnerabilidades de Internet

Redes publicas grandes, abiertas a cualquier persona.

Tamaño de los abusos de los medios de Internet pueden tener un
amplio impacto.

El uso de direcciones fijas de Internet con módems de cable o DSL
crea objetivos fijos para los hackers.

La mayoria del trafico de VoIP a traves de la red Internet publica
no esta cifrada, por lo que cualquiera con una red puede
escuchar las conversaciones.

E-mail, mensajería instantánea, P2P:

Intercepcion

Datos adjuntos con Software malicioso

Transmisión de los secretos comerciales

Vulnerabilidad y Abuso de los Sistemas

Desafios de Seguridad Inalambrica

Bandas de radiofrecuencia fáciles de escanear

SSID (identificadores de conjunto de servicios)

Identifican los puntos de acceso en una red Wi-Fi

Se transmiten varias veces y los programas husmeadores de
los intrusos pueden detectarlos facilmente.

War driving

Los espias conducen cerca de edificios y tratan de detectar el acceso
SSID y tienen acceso a redes y demás recursos.

WEP (Privacidad Equivalente al Cableado)

Seguridad estándar de 802.11, el uso es opcional

Utiliza la contraseña compartida tanto para usuarios como punto de acceso.

Los usuarios a menudo no implementan sistemas WEP y quedan
desprotegidos.

Vulnerabilidad y Abuso de los Sistemas

Vulnerabilidad y Abuso de los Sistemas

Malware (software malicioso)

Virus (Viruses)

Programa de software malintencionado que se une a
otros programas de software o archivos de datos para
poder ejecutarse sin el conocimiento o permiso del
usuario.

Gusanos (Worms)

Programas de computadora independientes que
se copian a si mismos de una computadora a otras
computadoras a través de una red.

Caballos de Troya (Trojan horses)

Programa de software que parece ser benigno, pero
luego hace algo distinto de lo esperado.

Vulnerabilidad y Abuso de los Sistemas

Malware (cont.)

Ataques de inyección SQL (SQL injection attacks)

Los hackers enviar datos a los formularios web que explota
software desprotegido sitio y envía pícaro consulta SQL a la
base de datos.

Spayware

Pequeños programas se instalan subrepticiamente en las
computadoras para monitorear la actividad de navegación del
usuario en la web y presentar publicidad

Key loggers (registradores de claves)

Registre cada golpe de teclado en el ordenador para robar
números de serie, contraseñas, lanzar ataques de Internet,
obtener acceso a cuentas de correo, obtener contraseñas a
sistemas de computo protegidos como tarjetas de crédito.

Vulnerabilidad y Abuso de los Sistemas

Los Hackers y los Delitos Computacionales

Hackers vs. crackers

Un hacker es alguien que descubre las debilidades de una
computadora o de una red informática, aunque el término
puede aplicarse también a alguien con un conocimiento
avanzado de computadoras y de redes informáticas.

El cracker, es considerado un "vandálico virtual". Este
utiliza sus conocimientos para invadir sistemas, descifrar
claves y contraseñas de programas y algoritmos de
encriptación, ya sea para poder correr juegos sin un
CD-ROM, o generar una clave de registro falsa para un
determinado programa, robar datos personales, o cometer
otros ilícitos informáticos.

Las actividades incluyen:

Sistema de Intrusión

Sistema de Daños

Cibervandalismo

La interrupción, desfiguración o destrucción intencional
de un sitio web o sistema de información corporativo.

Vulnerabilidad y Abuso de los Sistemas

Falsificar uno mismo mediante el uso de falsas direcciones de
correo electrónico o haciéndose pasar por otra persona.

Redirigir a los clientes a un sitio web falso que tiene una
apariencia casi exactamente igual a la del sitio verdadero.

Tipo de programa espía que monitorea la información que viaja a
través de una red.

Permite a los hackers para robar información privada, como los
archivos de correo electrónico, archivos de la empresa e informes
confidenciales.

Vulnerabilidad y Abuso de los Sistemas

Ataque de Negación de Servicios (DoS Denial-of-

Los hackers inundan un servidor de red o de web con
muchos miles de comunicaciones o solicitudes de servicios
falsas para hacer que la red falle.

Ataque de Negacion de Servicios Distribuido

El uso de numerosas computadoras para lanzar un ataque

Botnets ( Red de Robots)

Los autores de ataques DoS utilizan miles de PC’s “Zombies”
infectadas con software malicioso sin el conocimiento de sus
propietarios y organizadas en una Botnet.

En todo el mundo, 6 - 24 millones de computadoras sirven
como ordenadores zombi en miles de botnets.

Vulnerabilidad y Abuso de los Sistemas

Delitos por Computadora

Se define como: "cualquier violación de la ley penal que
implique un conocimiento de la tecnología informática
para su perpetración, investigación o enjuiciamiento“

La computadora puede ser objetivo de la delincuencia,
por ejemplo:

Violar la confidencialidad de los datos informáticos protegidos.

Acceso a un sistema informático sin autorización.

La Computadora puede ser instrumento de la
delincuencia, por ejemplo:

El robo de secretos comerciales.

El uso del correo electrónico en busca de amenazas o acoso.

Vulnerabilidad y Abuso de los Sistemas

El robo de identidad (Identity theft)

El robo de información personal (Número de identificación
del Seguro Social, licencia de conducir o tarjeta de crédito)
para hacerse pasar por otra persona.

La creación de sitios web falsos o el envío de mensajes
de correo electrónico que se parecen a las empresas
legítimas para pedir a los usuarios de los datos personales
confidenciales.

Gemelos Malvados (Evil twins)

Las redes inalámbricas que pretenden ofrecer conexiones
Wi-Fi de confianza a Internet, como las que se encuentran
en las salas de los aeropuertos, hoteles o cafeterías.

Vulnerabilidad y Abuso de los Sistemas

Pharming

Redirige a los usuarios a una página web falsa, incluso cuando
estos ingresen la dirección correcta de la página web de su
navegador.

El fraude del clic (Click fraud)

Se produce cuando el programa de computadora individual o de
manera fraudulenta hace clic en anuncios en línea sin ninguna
intención de aprender más sobre el anunciante o hacer una
compra.

Ciberterrorismo: es la forma de terrorismo que utiliza las
tecnologías de información para intimidar, coercionar o para
causar daños a grupos sociales con fines políticos-religiosos.

Guerra cibernética: nos referimos solamente a los medios y los
métodos bélicos que consisten en operaciones cibernéticas que
alcanzan el nivel de un conflicto armado o son conducidas en el
contexto de un conflicto armado.

Vulnerabilidad y Abuso de los Sistemas

Amenazas Internas: Los Empleados

Las amenazas de seguridad a menudo se originan en el
interior de una organización.

Dentro de conocimientos

Procedimientos de seguridad poco rigurosos

Falta de conocimiento del usuario

Ingeniería Social (Social engineering):

Engañar a los empleados para que revelen sus contraseñas
haciéndose pasar por miembros legítimos de la empresa en la
necesidad de información.

Vulnerabilidad y Abuso de los Sistemas

Vulnerabilidad del Software

El software comercial contiene defectos que no solo producen
vulnerabilidades de desempeño y de seguridad.

Errores ocultos (defectos de código de programa)

Cero defectos no se puede lograr porque las pruebas completas no son
posibles con programas grandes.

Los defectos pueden abrir las redes a los intrusos.

Parches (Patches)

Para corregir los defectos del software una vez que han sido
identificados, el fabricante del software a creado pequeñas piezas
para reparar defectos.

Sin embargo el Malware es creado con tanta rapidez que las
empresas tienen muy poco tiempo para responder entre el
momento en que se anuncia la existencia de una vulnerabilidad y el
de su parche correspondiente.

Cuando el Software antivirus inutiliza a sus computadoras

¿Qué factores de administración, organización y tecnología fueron
responsables de problema de software de McAfee?

¿Cuál fue el impacto de negocios de este problema de software,
tanto para McAfee como para sus clientes?

Si usted fuera empleado empresarial de McAfee, ¿consideraría que
la respuesta de la compañía al problema sea aceptable? ¿Por qué si
o por qué no?

¿Qué debería hacer McAfee en el futuro para evitar problemas
similares?

Valor de Negocios de la Seguridad y el Control

El fracaso de los sistemas informáticos pueden llevar a una
pérdida significativa o total de la función empresarial.

Las empresas ahora son más vulnerables que nunca.

Datos confidenciales personales y datos financieros.

Los secretos comerciales, nuevos productos, estrategias.

Un fallo de seguridad puede cortar el valor de la empresa en
el mercado de forma casi inmediata.

La seguridad y el control inadecuados también pueden dar
lugar a serios problemas de responsabilidad legal.

Valor de Negocios de la Seguridad y el Control

Requerimientos Legales y Regulatorios para la
Administración de Registros Electrónicos

HIPAA: Ley de portabilidad y Responsabilidad de los Seguros
Médicos.

Gramm-Leach-Bliley Act: Requiere que las Instituciones
Financieras garanticen la seguridad y confidencialidad de los
datos de los clientes.

Sarbanes-Oxley Act: Impone responsabilidad a las empresas y sus
administraciones de salvaguardar la exactitud e integridad de la
información financiera que se maneja de manera interna y que
se emite al exterior.

Valor de Negocios de la Seguridad y el Control

Evidencia Electrónica

Hoy en día, gran parte de la evidencia acerca de fraudes con
acciones, abuso de confianza, robo de secretos comerciales
a empresas, delitos informáticos y muchos casos civiles, se
encuentran en forma digital.

Pruebas en formas de datos digitales almacenados en CD’s, Discos
Duros de Computadoras, Correo electrónico, Mensajes Instantáneos
y transacciones de comercio electrónico a través de Internet.

El control adecuado de los datos puede ahorrar tiempo y dinero
cuando se responde a una petición de descubrimiento legal.

Informática Forense

Colección científica, la exploración, la autenticación, la
preservación y análisis de datos de los soportes informáticos para
su uso como prueba en los Tribunales de Justicia.

Incluye la recuperación de los datos del ambiente y datos ocultos.

SISTEMAS DE INFORMACION

Establecimiento de una Estructura para la Seguridad y el Control

Los sistemas de información controlan:







Los controles generales:





Los controles manuales y automatizados

Controles de aplicación y controles generales.





El Gobierno diseña, la seguridad y el uso de programas
informáticos y de seguridad de los archivos de datos en general
toda la infraestructura de tecnología de información de la
organización.

Aplicar a todas las aplicaciones informáticas.

La combinación de hardware, software y manual de
procedimientos para crear un ambiente general de control.

Establecimiento de una Estructura para la Seguridad y el Control

Tipos de Control General:















Controles de Software

Controles de Hardware

Controles de Operaciones de Computadora

Controles de Seguridad de Datos

Controles de Implementación

Controles Administrativos

Establecimiento de una Estructura para la Seguridad y el Control

Controles de Aplicación











Son controles específicos únicos para cada aplicación
computarizada, como nomina o procesamiento de pedidos.

Implica procedimientos tanto automatizados como manuales

Asegurarse que la aplicación procese de una forma completa y
precisa solo los datos autorizados.

Incluyen:

Controles de entrada



Controles de Procesamiento



Controles de Salida

Establecimiento de una Estructura para la Seguridad y el Control

Evaluación del Riesgo: Determina el nivel de riesgo
para la empresa si no se controla una actividad o
proceso especifico de manera apropiado.











Tipos de Amenaza

Probabilidad de ocurrencia durante el año

Las pérdidas potenciales, valor de la amenaza

La pérdida esperada anual

Establecimiento de una Estructura para la Seguridad y el Control

Política de Seguridad







Riesgos de información, identifican los objetivos de seguridad
aceptables y también los mecanismos para lograr estos objetivos.

Unidades de otras políticas

Política de uso aceptable (AUP)





Define los usos admisibles de los recursos de información y el equipo de
computo de la firma.

Políticas de autorización





Determina los diferentes niveles de acceso de los usuarios a los activos de
la información.

Establecimiento de una Estructura para la Seguridad y el Control

Administración de Identidad







Consiste en los procesos de negocios y las herramientas de
software para identificar a los usuarios validos de un sistema y
para controlar el acceso a los recursos del mismo.

Identificar y autorizar a distintas categorías de usuarios del sistema.



Especificar los sistemas o partes de los mismos



Autenticar usuarios y proteger sus identidades.



Identidad de los sistemas de gestión

Captura las reglas de acceso para los diferentes niveles de usuarios

Establecimiento de una Estructura para la Seguridad y el Control

Establecimiento de un Marco para la Seguridad y el Control

Planificación de Recuperación de Desastres

Idea planes para restaurar los servicios de computo y
comunicaciones después de haberse interrumpido.



Planificación de Continuidad de Negocios

Se centra en el restablecimiento de las operaciones de negocios
después de que ocurre un desastre.









Ambos tipos de planes son necesarios para identificar los sistemas
más críticos de empresa.

La gerencia debe determinar la máxima cantidad de tiempo que
puede sobrevivir la empresa con sus sistemas inactivos.

La gerencia debe determinar qué sistemas se deben restaurar
primero.

Establecimiento de un marco para el Control y la Seguridad

Auditoria de MIS

Examina el entorno general de seguridad de la empresa, así como
los controles que rigen los sistemas de información individuales.

Revisa las tecnologías, procedimientos, documentación,
formación y el personal.

Puede incluso simular un ataque o desastre para evaluar
la respuesta de la tecnología, el personal de sistemas de
información y los empleados de la empresa.

Enumera y clasifica a todas las debilidades de control; además
estima la probabilidad de su ocurrencia.

Evalúa el impacto financiero y organizacional de cada amenaza.

Establecimiento de un Marco para la Seguridad y el Control

Establecimiento de un Marco para la Seguridad y el Control

Software de Administración de Identidad

Automatiza el proceso de llevar el registro de todos estos usuarios y
sus privilegios de sistema.



Autenticación

Sistemas de Contraseñas



Token´s : Dispositivo físico similar a una tarjeta de identificación
diseñado para demostrar la identidad de un solo usuario.





Tarjeta Inteligente: es una tarjeta microprocesador de las dimensiones
de una tarjeta de crédito o más pequeña con varias propiedades
especiales y es capaz de proveer servicios de seguridad

Autenticación Biométrica: nos estamos refiriendo simplemente a la
verificación de una identidad por medio de la aplicación de técnicas
tanto matemáticas como estadísticas sobre los rasgos o bien físicos o
bien de conducta del individuo.





Ejemplo: Huellas Dactilares, iris del ojo, palma de la mano o patrones
faciales

Establecimiento de un Marco para la Seguridad y el Control

Firewalls

La combinación de hardware y software que evita que los
usuarios no autorizados accedan a redes privadas.



Las tecnologías de filtrado de Firewall incluyen:









Filtrado de Paquetes estático

Traducción de Direcciones de Red (NAT)

Filtrado de Proxy de Aplicación

Establecimiento de un Marco para la Seguridad y el Control

Establecimiento de un Marco para la Seguridad y el Control

Sistema de Detención de Intrusos





Supervisar los puntos calientes en las redes corporativas para
detectar y evadir a los intrusos de manera continua.

Software antivirus y antispyware





Revisa los sistemas computacionales para detectar la presencia
de malware y, a menudo elimina el virus del área infectada.

Requiere de actualización continua.



Administración unificada de amenazas (UTM)





Sistemas de Gestión unificada de amenazas (UTM).

Establecimiento de un Marco para la Seguridad y el Control

Seguridad en las Redes Inalámbricas

WEP ofrece cierto margen de seguridad si los usuarios de Wi-Fi
recuerdan activarla para:







Asignar un nombre único a SSID de su red a instruir a su enrutador
para que no lo transmita.

Si la utiliza con la tecnología de Redes Privadas Virtuales (VPN) para
accesar datos corporativos.

La alianza Wi-Fi finalizó la especificación WAP2, en sustitución de
WEP con estándares de seguridad mas solidos.







Usa claves mucho mas extensas que cambian de manera continua.

Emplea un sistema de autenticación cifrado con un servidor de
autenticación central.

Establecimiento de un Marco para la Seguridad y el Control

Encriptación:

Transforma texto o datos simples en texto cifrado que no puede
leer nadie mas que el emisor y el receptor deseado.



Los dos métodos para cifrar el trafico de red en web son:







La capa de Sockets seguros (SSL) y su sucesor, seguridad de la capa
de transporte.

El Protocolo de Transferencia de Hipertexto seguro (S-HTTP)

Establecimiento de un Marco para la Seguridad y el Control

Existen dos métodos alternativos de Cifrado:

Cifrado de Clave Simétrica





Cifrado de Clave Publica





El emisor y el receptor utilizan clave de cifrado única y compartida.





Utiliza dos claves de naturaleza matemática relacionadas: clave
pública y la clave privada.

El emisor cifra un mensaje con la clave pública del receptor.

El receptor usa su propia clave privada para descifrarlo.

Establecimiento de un Marco para la Seguridad y el Control

Establecimiento de un Marco para la Seguridad y el Control

Certificados Digitales:









Archivo de datos que se utilizan para establecer la identidad de los
usuarios y los activos electrónicos para proteger las transacciones en
línea.

Utiliza una tercera parte de confianza, conocida como autoridad de
certificado (CA), para validar la identidad de un usuario.

CA verifica la identidad de un usuario del certificado digital
desconectada de Internet, almacena la información en el servidor
de CA, el cual genera un certificado digital cifrado que contiene la
información del propietario de identidad y copia de la clave pública del
propietario.

Infraestructura de Clave Publica (PKI)







El uso de criptografía de clave pública para trabajar con certificado de
autoridad (CA).

Se utiliza mucho en el Comercio Electrónico.

Establecimiento de un Marco para la Seguridad y el Control

Establecimiento de un Marco para la Seguridad y el Control

Asegurar la Disponibilidad del Sistema

Procesamiento de transacciones en línea requiere un 100% de
disponibilidad, sin tiempo de inactividad.



Sistemas de Computadora tolerantes a fallas

Para conocer la disponibilidad continua, por ejemplo, los
mercados de valores.



Contiene componentes redundantes de hardware, software y
suministro de energía que crean un entorno en donde se provee
un servicio continuo, sin interrupciones.



Computación de Alta Disponibilidad

Ayuda a las firmas a recuperarse con rapidez de un desastre.



Reduce al mínimo, el tiempo de inactividad no eliminado.

Establecimiento de un Marco para la Seguridad y el Control

Computación Orientada a la Recuperación

Consiste en diseñar sistemas que se recuperen con
rapidez, para ayudar a los operadores a señalar los
orígenes de las fallas en los sistemas con muchos
componentes.



Control del Trafico de Red

Inspección Profunda de Paquetes (DPI)





Bloqueo de películas y Música, esto evita que la red este
lenta.

Subcontratación de la Seguridad (Outsourcing)

Proveedores de Servicios de Seguridad Administrados
(MSSP)

Establecimiento de un Marco para la Seguridad y el Control

Seguridad en la Nube

La rendición de cuentas y la responsabilidad para proteger los
datos confidenciales aun recae en la compañía que posee esos
datos.



Las empresas deben asegurarse que los proveedores proporciona
una protección adecuada de los datos.



Los controles de deben de escribir en el Acuerdo de nivel de
servicio (SLA) antes de firmar con el proveedor de la nube.



Seguridad en las Plataformas Móviles

Las políticas de seguridad deben de incluir y cubrir cualquier
requisito especial para dispositivos móviles.





Por ejemplo: La actualización de los teléfonos inteligentes con
los parches de seguridad más recientes y con software antivirus/
antispam, etc.

Vulnerabilidad y Abuso de los Sistemas

¿Que tan segura es la Nube?

Lea la sesion Interactiva y discuta las siguientes preguntas

¿Qué problemas de seguridad y Control se describen en este caso?

¿Qué factores de personas, organización y tecnología contribuyen a
estos problemas?

Que tan segura es la computación en la nube? Explique su
respuesta.

Si estuviera a cargo del departamento de sistemas de información
de su compañía, ¿Qué aspectos desearía aclarar con sus posibles
distribuidores?

¿Confiaría sus sistemas corporativos a un proveedor de
computación en la Nube? ¿Por qué si o por que no?

Establecimiento de un Marco para la Seguridad y el Control

Aseguramiento de la calidad del software

La métrica de software consiste en las evaluaciones de los
objetivos del sistema en formas de medidas cuantificadas.











Regular las primeras pruebas del software



Recorrido: La revisión de una especificación o un documento
de diseño realizada por un pequeño grupo de personas
seleccionadas con sumo cuidado.



Numero de transacciones

Tiempo de respuesta en línea

Cantidad de cheques de nomina impresos en una hora

Numero de errores por cada 100 líneas de código de programa.

Depuración: Cuando se descubren errores y se encuentra el
origen de los mismos estos son eliminados.