TECNOLOGIAS DE INFORMACION

SEGURIDAD DE SISTEMAS DE INFORMACIÓN

Vulnerabilidad y abuso de los Sistemas

Seguridad. - Se refiere a las políticas y procedimientos utilizados para impedir el acceso no autorizado, alteración o robo a los SI.

Controles. - Consiste en métodos y procedimientos organizacionales que garantizan la seguridad de los activos de la organización, a fin de minimizar errores, desastres y delitos por computadora que afecten la seguridad.

1. RETOS Y VULNERABILIDADES DE LA SEGURIDAD CONTEMPORÁNEA

[pic 1]

Los SI ubicados en diferentes lugares se interconectan mediante las redes; por lo que el acceso no autorizado, abuso o fraude, no se limita a un solo lugar. Las amenazas pueden derivarse de factores técnicos, organizacionales y de entorno combinados con decisiones administrativas deficientes.

2. VULNERABILIDADES DE INTERNET

• Internet, al ser red abierta, es vulnerable
• Las computadoras conectadas constantemente a Internet por modem de cable o de líneas digitales están más abiertas a la intrusión de extraños que las antiguas de marcación telefónica.
• Los emails pueden contener software malicioso, que pueden ser utilizados para difundir secretos comerciales estratégicos.
• La mayor parte del tráfico de voz IP no está encriptado entonces los Hackers pueden escuchar las conversaciones y obtener información sensible.

3. RETOS DE LA SEGURIDAD DE LOS SERVICIOS INALÁMBRICOS

Los intrusos pueden penetrar con facilidad muchas redes Wi-Fi con programas husmeadores para obtener acceso no autorizado a la red.

Los servicios inalámbricos son redes abiertas que no están aseguradas mediante encriptación. Cualquiera en su laptop puede utilizar su red y escuchar sus comunicaciones con su ruteador inalámbrico.

4. SOFTWARE MALICIOSO (troyano hasta un spyware)

Malware. - Son programas de software malicioso que tiene como objetivo infiltrarse en el sistema y dañar una computadora sin el conocimiento de su dueño y con finalidades muy diversas. Este es un término general muy utilizado por profesionales de la computación para definir una variedad de programas de códigos hostiles e intrusivos

Virus de Computadora. - Es un programa malintencionado que se une a otros programas con el propósito de ejecutarse sin permiso del usuario. Se esparcen de computadora a computadora cuando los usuarios envían un archivo adjunto a un email.

Gusano. - Programa de computadora independiente que se copia a si mismo de una computadora a otra en una red. A diferencia de los virus, los gusanos funcionan por sí mismos. No requieren ser adjuntados a otros archivos. Se esparcen más rápido que los virus. Destruyen datos y programas o incluso detienen el funcionamiento de las redes de computadoras.

Caballo de Troya. - Programa que aparenta ser benigno. No es en sí un virus porque no se replica, pero con frecuencia es una manera para que los virus y otro código malicioso sean introducidos en un sistema de cómputo.

Spyware. - Se instalan en forma oculta en la computadora para vigilar las actividades de navegación del usuario en la Web y presentar publicidad. El spyware no es solo molesto, invade su privacidad, incluso podría robar sus claves e información personal.

Keyloggers. - Registran cada tecleo ingresado en la computadora, para robar información valiosa u obtener contraseñas.

ATAQUES DoS (DENIAL OF SERVICE)

DoS -> Denial of Service. - Los hackers inundan un servicio de red o un servicio Web con miles de comunicaciones o solicitudes de servicios falsas para que la red colapse y deje de atender las soluciones legítimas.

DDoS -> Distribute Denial of Service. Utiliza cientos o miles de computadoras para atacar a las redes desde muchos puntos de lanzamiento. Frecuentemente los autores de ataques DoS usan miles de PCs infectadas con software malicioso sin el conocimiento de sus propietarios y organizadas como una BOTNET (red de robots). Estas PCs infectadas “obedecen” instrucciones recibidas desde otra PC y se conocen como “PCs zombies”.

5. Hackers y Ciber vandalismo

Hacker. - Individuo que intenta tener acceso no autorizado a un sistema de cómputo.

Cracker. - Hacker con intenciones criminales.

Cibervandalismo. - Alteración intencional, destrozo o incluso la destrucción de un sitio Web o un sistema de información corporativo.

Spoofing. - Involucra la redirección de un sitio web a una dirección diferente de la que se pretende, con el sitio camuflado de la dirección que se pretendía.

Sniffer. - Tipo de programa espía que vigila la información que viaja a través de una red.

6. Delito Informático

PHISHING: Es el establecimiento de sitios Web falsos o el envío de mensajes de correo electrónico semejantes a los de las empresas auténticas para solicitar datos personales.

Robo de Identidad: Un impostor obtiene fracciones de información personal clave, como números de Tarjetas de Crédito.

Evil twins: Técnica de phishing, son redes inalámbricas que fingen ofrecer conexiones Wifi confiables. Se capturan contraseñas o números de tarjetas de crédito.

PHARMING: Redirige a los usuarios a una página Web falsa aun cuando estos escriban la dirección correcta.

Los delitos informáticos buscan:

COMPUTADORAS COMO OBJETIVOS DEL DELITO

• Acceder a computadores sin autorización
• Enviar malware o comandos que causen daño a una computadora
• Amenazar con causar daño a un computador        

COMPUTADORAS COMO INSTRUMENTOS PARA EL DELITO

• Robo de secretos comerciales
• Artimañas para defraudar
• Interceptar comunicaciones electrónicas
• Acceder ilegalmente a correos electrónicos y de voz

VALOR DEL NEGOCIO EN RELACIÓN CON LA SEGURIDAD Y EL CONTROL

EVIDENCIA ELECTRÓNICA: La seguridad, el control y la administración de registros electrónicos se han vuelto esenciales para responder en situaciones legales.

CÓMPUTO FORENSE: Consiste en la recopilación, preservación y análisis de datos contenidos o recuperados de los medios de almacenamiento de una computadora en forma tal que se pueda utilizar como prueba en un tribunal de justicia.

ESTABLECIMIENTO DE UNA ESTRUCTURA PARA LA SEGURIDAD Y EL CONTROL

• La tecnología no es todo en la seguridad y control.
• La protección de los recursos de información requiere una sólida política y un conjunto de controles.
• Antes era la ISO 17799 ahora es la ISO27001; conjunto de estándares para seguridad y control. Especifica mejores políticas en seguridad y control de SI, incluyendo política de seguridad y planeación de continuidad del negocio, seguridad física, control de acceso y creación de una función de seguridad dentro de la organización.

EVALUACIÓN DEL RIESGO

Antes de que la compañía asigne recursos a la seguridad, debe saber:

• que activos requieren protección y
• que tan vulnerables son éstos.

Una evaluación del riesgo ayuda a responder a estas preguntas y determinar el conjunto de controles más rentables para proteger los activos.

POLÍTICA DE SEGURIDAD

Consta de enunciados que:

• Clasifican los riesgos de seguridad,
• Identifican los objetivos de seguridad aceptables y
• Determinan mecanismos para alcanzar estos objetivos.

ASEGURAMIENTO DE LA CONTINUIDAD DEL NEGOCIO

Las empresas necesitan asegurar que sus sistemas y aplicaciones estén siempre disponibles. En el procesamiento de transacciones en línea la computadora procesa inmediatamente las transacciones que se ingresan. La tolerancia a fallas y el cómputo de alta disponibilidad procuran reducir el tiempo de caída (se refiere a los períodos de no funcionamiento) El cómputo de alta disponibilidad ayuda a las empresas a recuperarse rápidamente de una caída del sistema, mientras que la tolerancia a fallas promete una disponibilidad ininterrumpida junto con la eliminación del tiempo de recuperación.

PLANEACIÓN PARA LA RECUPERACIÓN DE DESASTRES

Son planes para la restauración de los servicios de proceso de datos y comunicaciones después de haber sido interrumpidos por algún suceso (temblor, inundación, apagón, etc). Se enfocan en mantener los sistemas en funcionamiento.

PLANEACIÓN PARA LA RECUPERACIÓN DE DESASTRES Y PARA LA CONTINUIDAD DEL NEGOCIO Planeación para la continuidad del negocio. - Se enfoca en establecer formas en que la empresa puede restaurar las operaciones de negocios después de que ocurre un desastre. Este plan identifica los procesos de negocios críticos y determina los planes de acción para manejar las funciones de misión crítica si se caen los sistemas. La administración debe determinar el período máximo que el negocio puede sostenerse con sus sistemas caídos y que partes del negocio se deben restaurar primero.

...