Seguridad en Los Sistemas de Información

26
Universidad Nacional del Altiplano

Escuela Profesional de Ingeniera de
Sistemas
U N I V E R S I D A D
N A C I O N A L
D E L
A L T I P L A N O
FACULTAD DE INGENIERA MECNICA ELCTRICA, ELECTRNICA Y SISTEMAS
ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS
EXPOSICIN FINAL DE:

SEGURIDAD EN LOS SISTEMAS DE INFORMACIN
PRESENTADO POR:
ROY DAVID ACERO ZAPANA
CURSO: SISTEMAS DE INFORMACIN GERENCIAL
DOCENTE: ING. DARWIN YUFRA ORTEGA
PUNO PER
2014
Sistemas de Informacin Gerencial
26

Sistemas
CONTENIDO
1
VULNERABILIDAD Y ABUSO DE LOS SISTEMAS.........................................4

1.1
Porque son vulnerables los sistemas.................................................4
1.1.1
Vulnerabilidades de Internet........................................................6
1.1.2
Desafos de seguridad inalmbrica.............................................6
1.2
Software malicioso: virus, gusanos, caballos de Troya y spyware......7
1.3
Los hackers y los delitos computacionales........................................9
1.3.1
Spoofing y Sniffing......................................................................9
1.3.2
Ataques de negacin de servicio...............................................10
1.3.3
Delitos por computadora...........................................................10
1.3.4
Robo de Identidad.....................................................................11
1.3.5
El fraude del Clic.......................................................................11
1.3.6
Amenazas globales: Ciberterrorismo y ciberguerra...................11
1.4
Amenazas internas: los empleados.................................................11
1.5
Vulnerabilidades del Software..........................................................11
VALOR DE NEGOCIOS DE LA SEGURIDAD Y EL CONTROL.......................12

2.1 Requerimientos legales y regulatorios para la administracin de
registros digitales...................................................................................... 12
2.2
Evidencia electrnica y anlisis forense de sistemas.......................13
3 ESTABLECIMIENTO DE UN MARCO DE TRABAJO PARA LA SEGURIDAD Y EL

CONTROL...................................................................................................... 14
3.1
Controles de los sistemas de informacin.......................................14
3.2
Evaluacin del riesgo.......................................................................15
3.3
Poltica de seguridad.......................................................................15
3.4 Planificacin de recuperacin de desastres y planificacin de la

continuidad de negocios........................................................................... 17
3.5
La funcin de la auditoria................................................................17
4 TECNOLOGAS Y HERRAMIENTAS PARA PROTEGER LOS RECURSOS DE

INFORMACIN.............................................................................................. 18
4.1
Administracin de la identidad y la autenticacin...........................18
4.2
Firewalls, sistemas de deteccin de intrusos y software antivirus...19
4.2.1
Firewalls..................................................................................... 19
4.2.2
Sistema de deteccin de intrusos..............................................21
4.2.3
Software antivirus y antispyware..............................................21
4.2.4
4.3
Sistemas de administracin unificada de amenazas.................21

deinalmbricas...............................................21
Informacin Gerencial
Seguridad Sistemas
en las redes
26

Sistemas
4.4
Cifrado e infraestructura de clave publica.......................................22
4.5
Aseguramiento de la disponibilidad del sistema..............................23
4.5.1
Control del trfico de red: inspeccin profunda de paquetes (DPI)

24
4.5.2
Subcontratacin (outsourcing) de la seguridad.........................24
4.6 Aspectos de seguridad para la computacin en la nube y la

plataforma digital mvil............................................................................ 25
4.6.1
Seguridad en la nube................................................................25
4.6.2
Seguridad en las plataformas mviles.......................................25
4.7
5
Aseguramiento de la calidad del software.......................................25
BIBLIOGRAFA......................................................................................... 26
26

Sistemas
SEGURIDAD EN LOS SISTEMAS

DE INFORMACIN
El diagrama de apertura siguiente nos permite dirigir la atencin a los
puntos importantes generados por estos temas. La naturaleza social de
este sitio y el gran nmero de usuarios lo hacen en especial atractivo para
que los criminales y hackers intenten robar informacin personal y
financiera de valor, adems de propagar software malicioso.
Ilustracin 1: Diagrama de Apertura
Las prdidas por el robo de datos financieros, las dificultades de erradicar el

software malicioso o de reparar los daos provocados por el robo de
identidad se aaden a los costos operacionales y hacen menos efectivos a
los individuos y a las empresas.
1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

Si se opera un negocio en la actualidad, la seguridad y el control tienen que
ser una de sus prioridades ms importantes. La seguridad se refiere a las
polticas, procedimientos y medidas tcnicas que se utilizan para evitar el
acceso
sin
autorizacin
mtodos,
polticas
y
procedimientos
organizacionales que refuerzan la seguridad de los activos de la
organizacin: la precisin y confiabilidad que refuerzan la seguridad de los
activos de la organizacin; la precisin y la confiabilidad de sus registros, y
la adherencia operacional a los estndares gerenciales.
26

Sistemas
1.1 Porque son vulnerables los sistemas

Cuando se almacenan grandes cantidades de datos en forma electrnica,
son vulnerables a muchos ms tipos de amenazas que cuando existan en
forma manual. Los sistemas de informacin se interconectan en distintas
ubicaciones a travs de las redes de comunicaciones. El potencial de acceso
sin autorizacin, abuso o fraude no se limita a una sola ubicacin, sino que
puede ocurrir en cualquier punto de acceso en la red. La siguiente figura
ilustra las amenazas ms comunes contra los sistemas de informacin
contemporneos. Se pueden derivar de los factores tcnicos,
organizacionales y ambientales compuestos por malas decisiones
gerenciales. En el entorno de computacin cliente/servidor multinivel que se
ilustra en esta figura, existen vulnerabilidades en cada capa y en las
comunicaciones entre ellas.
Ilustracin 2: Desafos y Vulnerabilidades de Seguridad Contemporneos
Los usuarios en la capa cliente pueden provocar daos al introducir errores

o acceder a los sistemas sin autorizacin. Es posible acceder a los datos que
fluyen a travs de las redes. Rodar datos valiosos durante la transmisin o
alterar mensajes sin autorizacin.
La radiacin puede interrumpir una red en diversos puntos tambin. Los
intrusos pueden lanzar ataques de negacin de servicio o software malicioso
para interrumpir la operacin de los sitios web. Aquellas personas capaces
de penetrar en los sistemas corporativos pueden destruir o alterar los datos
corporativos almacenados en bases de datos o archivos.
Los sistemas fallan si el hardware de computadora se descompone, no est
configurado en forma apropiada o se daa debido al uso inapropiado o actos
delictivos. Los errores en la programacin, la instalacin inapropiada o los
cambios no autorizados hacen que el software de computadoras falle. Las
26

Sistemas
fallas de energa, inundaciones incendios u otros desastres naturales

tambin pueden perturbar los sistemas computacionales.
La asociacin a nivel nacional o internacional con otra compaa impone
una mayor vulnerabilidad si la informacin valiosa reside en redes y
computadoras fuera del control de la organizacin. Sin un resguardo slido,
los datos valiosos se podran perder, destruir o hasta caer en manos
equivocadas y revelar importantes secretos comerciales o informacin que
violes la privacidad personal.
1.1.1 Vulnerabilidades de Internet
Las redes pblicas grandes, como internet son ms vulnerables que las
internas, ya que estn abiertas para casi cualquiera. Internet es tan grande
que, cuando ocurren abusos, pueden tener un impacto mucho muy amplio.
Cuando Internet se vuelve parte de la red corporativa, los sistemas de
informacin de la organizacin son an ms vulnerables a las acciones de
personas externas.
Las computadoras que tienen conexin constante a Internet mediante
mdems de cable o lneas de suscriptor digitales (DSL) son ms propensas a
que se infiltren personas externas debido a que usan direcciones de internet
fijas, mediante las cuales se pueden identificar con facilidad. Una direccin
fija en internet crea un objetivo fijo para los hackers.
El servicio telefnico basado en la tecnologa de Internet es ms vulnerable
que la red de vox conmutada si no se opera a travs de una red privada
segura. La mayora del trfico de voz sobre IP (VoIP) a travs de la red
Internet pblica no est cifrado, por lo que cualquiera con una red puede
escuchar
las
conversaciones.
Los
hackers
pueden
interceptar
conversaciones o apagar el servicio de voz al inundar los servidores que
soportan VoIP con trfico fantasma.
La vulnerabilidad tambin ha aumentado debido al extenso uso del correo
electrnico, la mensajera instantnea y los programas de comparticin de
archivos de igual a igual. El correo electrnico puede contener adjuntos que
sirven como trampolines para el software malicioso o el acceso sin
autorizacin a los sistemas corporativos internos.
1.1.2 Desafos de seguridad inalmbrica
Las redes Bluetooth y Wi-Fi son susceptibles a la piratera informtica por
parte de intrusos fisgones. Aunque el rango de las redes Wi-Fi es de solo
varios cientos de pies, se pueden extender a un cuarto de milla mediante el
uso de antenas externas. Intrusos externos equipados con laptops, tarjetas
de red inalmbricas, antenas externas y software de piratera informtica
pueden infiltrarse con facilidad en las redes de rea local (LAN) que utilizan
el estndar 802.11. Los hackers utilizan estas herramientas para detectar
redes no protegidas, monitorear el trfico de red y, en algunos casos,
obtener acceso a Internet
o ade
redes
corporativas.
Sistemas
Informacin
Gerencial
26

Sistemas
La tecnologa de transmisin Wi-FI se dise para facilitar el proceso de la

estaciones de encontrarse y escucharse entre s. Los identificadores de
conjuntos de servicios (SSID) que identifican los puntos de acceso en una
red Wi-Fi se transmiten varias veces y los programas husmeadores de los
intrusos pueden detectarlos con bastante facilidad.
Ilustracin 3: Desafos de Seguridad de WI-FI
Un intruso que se haya asociado con un punto de acceso mediante el uso

del SSID correcto es capaz de acceder a otros recursos en la red, en donde
usa el sistema operativo Windows para determinar que otros usuarios estn
conectados a la red y accede a los discos duros de sus computadora, de
modo que puede abrir o copiar sus archivos.
Los intrusos tambin utilizan la informacin que han recopilado para
establecer puntos de accesos falsos en un canal de radio diferente, en
ubicaciones fsicas cercanas a los usuarios para obligar a la NIC de radio de
un usuario a asociarse con el punto de acceso falso. Una vez que ocurre
esta asociacin, los hackers que utilizan el punto de acceso falso pueden
capturar el nombre y contraseas de los usuarios desprevenidos.
El estndar de seguridad inicial desarrollado para Wi-Fi, conocido como
privacidad equivalente al cableado (WEP), no es muy efectivo. Ahora hay
disponibles sistemas de cifrado y autenticacin ms slidos, como el Acceso
Wi-Fi protegido 2 (WPA2), pero los usuarios deben estar dispuestos a
instalarlos.
26

Sistemas
1.2 Software malicioso: virus, gusanos, caballos de Troya

y spyware
Los programas de software malicioso se conocen como malware e incluyen
una variedad de amenazas, como virus de computadora, gusanos y caballos
de Troya. Un virus de computadora es un programa de software
malintencionado que se une a otros programas de software o archivos de
datos para poder ejecutarse, por lo general sin el conocimiento o permiso
del usuario. La mayora de los virus de computadora entregan una carga
til. La cual puede ser benigna en cierto sentido, como las instrucciones
para mostrar un mensaje o imagen, o puede ser muy destructiva: talvez
destruya programas o datos, obstruya la memoria de la computadora,
aplique formato al disco duro o haga que los programas se ejecuten de
manera inapropiada.
Ilustracin 4: Ejemplos de Cdigo Malicioso
Gusanos:
Son programas de computadora independientes que se copian a s mismos
de una computadora a otras computadoras a travs de una red. Los
gusanos destruyen datos y programas; adems pueden interrumpir o
incluso detenerla operacin de las redes de computadoras.
26

Sistemas
Los gusanos y los virus se esparcen con frecuencia a travs de internet, de

archivos o software descargado, de archivos adjuntos a las transmisiones de
correo electrnico, y de mensajes de correo electrnico o de mensajera
instantnea comprometidos. Los virus tambin han invadido los sistemas de
informacin computarizados por medio de discos infectados o maquinas
infectadas. En la actualidad los gusanos de correo electrnico son los ms
problemticos.
Caballo de Troya:
Es un programa de software que parece ser benigno, pero entonces hace
algo distinto de lo esperado, como el virus troyano Zeus descrito en el caso
de apertura del captulo. El caballo de Troya en si no es un virus, ya que no
se reproduce, pero es con frecuencia un medio para que los virus y otro tipo
de software malicioso entren en un sistema computacional.
Los ataques de inyeccin de SQL:

Estos ataques aprovechan las vulnerabilidades en el software de
aplicaciones Web mal codificado para introducir cdigo de programa
malicioso en los sistemas y redes de una compaa. Estas vulnerabilidades
ocurren cuando una aplicacin Web no valida o filtra de manera apropiada
los datos introducidos por un usuario en una pgina Web, que podra ocurrir
al momento de pedir algo en lnea. Un atacante utiliza este error de
validacin de la entrada para enviar una consulta SQL falsa a la base de
datos subyacente y acceder a esta, plantar cdigo malicioso o acceder a
otros sistemas en la red. Las aplicaciones Web extensas tienen cientos de
lugares para introducir datos de los usuarios, cada uno de los cuales crea
una oportunidad para un ataque por inyeccin de SQL.
Spyware y Keyloggers:
A muchos usuarios el spyware les parece molesto y algunos crticos se
preocupan en cuanto a que infringe la privacidad de los usuarios de
computadora. Los keylogger registran cada pulsacin de tecla en una
computadora para robar nmeros de serie de software, lanzar ataques por
internet, obtener acceso a cuentas de correo electrnico, conseguir
contraseas para los sistemas computacionales protegidos descubrir
informacin personal tal como los nmeros de tarjetas de crdito.
1.3 Los hackers y los delitos computacionales

Un hacker es un individuo que intenta obtener acceso sin autorizacin a un
sistema computacional. Dentro de la comunidad de hackers, el termino
cracker se utiliza con frecuencia para denotar a un hacker con intencin
criminal, aunque en la prensa publica los trminos hacker y cracker se
utilizan si distincin. Los hackers y los crackers obtienen acceso sin
autorizacin al encontrar debilidades en las protecciones de seguridad
deyInformacin
empleadas por losSistemas
sitios Web
los sistemas Gerencial
computacionales; a menudo
26

Sistemas
aprovechan las diversas caractersticas de Internet que los convierten en

sistemas abiertos fciles de usar
1.3.1 Spoofing y Sniffing
El spoofi ng: Tambin puede implicar el hecho de redirigir un vnculo Web
a una direccin distinta de la que se tena pensada, en donde el sitio se
hace pasar por el destino esperado. Por ejemplo, si los hackers redirigen a
los clientes a un sitio Web falso que se ve casi igual que el sitio verdadero,
pueden recolectar y procesar pedidos para robar de manera efectiva la
informacin de negocios as como la informacin confidencial de los clientes
del sitio verdadero.
Un husmeador (sniff er): Es un tipo de programa espa que monitorea la

informacin que viaja a travs de una red. Cuando se utilizan de manera
legtima, los husmeadores ayudan a identificar los potenciales puntos
problemticos en las redes o la actividad criminal en las mismas, pero
cuando se usan para fines criminales pueden ser dainos y muy difciles de
detectar.
1.3.2 Ataques de negacin de servicio
Ataque de negacin de servicio (DoS): En un ataque de negacin de

servicio los hackers inundan un servidor de red o de Web con muchos miles
de comunicaciones o solicitudes de servicios falsas para hacer que la red
falle. La red recibe tantas solicitudes que no puede mantener el ritmo y, por
lo tanto, no est disponible para dar servicio a las solicitudes legtimas.
Ataque de negacin de servicio distribuida (DDoS) Un ataque de

negacin de servicio distribuida utiliza varias computadoras para saturar la
red desde muchos puntos de lanzamiento.
1.3.3 Delitos por computadora
La mayora de las actividades de los hackers son delitos criminales; las
vulnerabilidades de los sistemas que acabamos de describir los convierten
en objetivos para otros tipos de delitos por computadora tambin.
El delito por computadora se define en el Departamento de Justicia de
Estados Unidos como cualquier violacin a la ley criminal que involucra el
conocimiento de una tecnologa de computadora para su perpetracin,
investigacin o acusacin.
26

Sistemas
Ilustracin 5: Ejemplos de Delitos por Computadora
1.3.4 Robo de Identidad

El robo de identidad es un crimen en el que un impostor obtiene piezas
clave de informacin personal, como nmeros de identificacin del seguro
social, nmeros de licencias de conducir o nmeros de tarjetas de crdito,
para hacerse pasar por alguien ms.
Una tctica cada vez ms popular es una forma de spoofing conocida como
phishing, la cual implica el proceso de establecer sitios Web falsos o enviar
tanto correo electrnico como mensajes de texto que se parezcan a los de
las empresas legtimas, para pedir a los usuarios datos personales.
El pharming redirige a los usuarios a una pgina Web falsa, aun y cuando
el individuo escribe la direccin de la pgina Web correcta en su navegador.
Esto es posible si los perpetradores del pharming obtienen acceso a la
informacin de las direcciones de Internet que almacenan los proveedores
de servicio de Internet para agilizar la navegacin Web; las compaas ISP
tienen software con fallas en sus servidores que permite a los estafadores
infiltrarse y cambiar esas direcciones.
26

Sistemas
1.3.5 El fraude del Clic

El fraude del clic ocurre cuando un individuo o programa de computadora
hace clic de manera fraudulenta en un anuncio en lnea, sin intencin de
aprender ms sobre el anunciante o de realizar una compra.
1.3.6 Amenazas globales: Ciberterrorismo y ciberguerra
Las actividades cibercriminales que hemos descrito lanzar malware,
ataques de negacin de servicios y sondas de phishing no tienen
fronteras.
Dichos ciberataques podran estar dirigidos al software que opera las redes
de energa elctrica, los sistemas de control del trfico areo o las redes de
los principales bancos e instituciones financieras. Se cree que por lo menos
20 pases (uno de ellos China) estn desarrollando capacidades ofensivas y
defensivas de ciberguerra.
1.4 Amenazas internas: los empleados

Los trabajadores internos de la compaa representan graves problemas de
seguridad. Los empleados tienen acceso a la informacin privilegiada, y en
la presencia de procedimientos de seguridad interna descuidados, con
frecuencia son capaces de vagar por los sistemas de una organizacin sin
dejar rastro.
Algunas veces los intrusos maliciosos que buscan acceder al sistema
engaan a los empleados para que revelen sus contraseas al pretender ser
miembros legtimos de la compaa que necesitan informacin. A esta
prctica se le denomina ingeniera social.
1.5 Vulnerabilidades del Software

Los errores de software representan una constante amenaza para los
sistemas de informacin, ya que provocan prdidas incontables en cuanto a
la productividad. La complejidad y el tamao cada vez mayores de los
programas, aunados a las exigencias de una entrega oportuna en los
mercados, han contribuido al incremento en las fallas o vulnerabilidades del
software.
Para corregir las fallas en el software una vez identificadas, el distribuidor
del software crea pequeas piezas de software llamadas parches para
reparar las fallas sin perturbar la operacin apropiada del software.
2 VALOR DE NEGOCIOS DE LA SEGURIDAD Y EL

CONTROL
Muchas firmas se rehsan a invertir mucho en seguridad debido a que no se
relaciona de manera directa con los ingresos de ventas. Sin embargo,
proteger los sistemas de informacin es algo tan imprescindible para la
operacin de la empresa que merece reconsiderarse.
26

Sistemas
Las compaas tienen activos de informacin muy valiosos por proteger. A

menudo los sistemas alojan informacin confidencial sobre los impuestos de
las personas, los activos financieros, los registros mdicos y las revisiones
del desempeo en el trabajo.
Tambin pueden contener informacin sobre operaciones corporativas;
secretos de estado, planes de desarrollo de nuevos productos y estrategias
de marketing. Los sistemas gubernamentales pueden almacenar
informacin sobre sistemas de armamento, operaciones de inteligencia y
objetivos militares. Estos activos de informacin tienen un tremendo valor, y
las repercusiones pueden ser devastadoras si se pierden, destruyen o ponen
en las manos equivocadas.
Un control y seguridad inadecuados pueden provocar una responsabilidad
legal grave. Los negocios deben proteger no slo sus propios activos de
informacin, sino tambin los de sus clientes, empleados y socios de
negocios. Si no hicieran esto, las firmas podran involucrarse en litigios
costosos por exposicin o robo de datos. Una organizacin puede ser
considerada responsable de crear riesgos y daos innecesarios si no toma la
accin protectora apropiada para evitar la prdida de informacin
confidencial, la corrupcin de datos o la fuga de privacidad.
2.1 Requerimientos legales y regulatorios

administracin de registros digitales
para
la
Las recientes regulaciones gubernamentales de Estados Unidos estn

obligando a las compaas a considerar la seguridad y el control con ms
seriedad, al exigir que se protejan los datos contra el abuso, la exposicin y
el acceso sin autorizacin. Las firmas se enfrentan a nuevas obligaciones
legales en cuanto a la retencin, el almacenaje de registros electrnicos y la
proteccin de la privacidad.
Si usted trabaja en la industria de servicios mdicos, su firma tendr que
cumplir con la Ley de Responsabilidad y Portabilidad de los Seguros Mdicos
(HIPAA) de 1996. La HIPAA describe las reglas de seguridad y privacidad
mdica, adems de los procedimientos para simplificar la administracin de
la facturacin de servicios mdicos y para automatizar la transferencia de
datos sobre servicios mdicos entre los proveedores de los servicios
mdicos, los contribuyentes y los planes.
Si usted trabaja en una empresa que proporciona servicios financieros, su
firma tendr que cumplir con la Ley de Modernizacin de Servicios
Financieros de 1999, mejor conocida como Ley Gramm-Leach-Bliley en
honor de sus patrocinadores congresistas. Esta ley requiere que las
instituciones financieras garanticen la seguridad y confidencialidad de los
datos de los clientes.
Si usted trabaja en una compaa que cotiza en la bolsa, su compaa
Sistemas
tendr que cumplir
con la de
LeyInformacin
de Reforma Gerencial
de Contabilidad Pblica de
Compaas y Proteccin al Inversionista de 2002, mejor conocida como Ley
26

Sistemas
Sarbanes-Oxley en honor a sus patrocinadores, el senador Paul Sarbanes

de Maryland y el representante Michael Oxley de Ohio.
Cada aplicacin de sistemas que trata con los datos crticos de los informes
financieros requiere controles para asegurar que estos datos sean precisos.
Tambin son esenciales los controles para asegurar la red corporativa, para
evitar el acceso sin autorizacin a los sistemas y datos, y para asegurar
tanto la integridad como la disponibilidad de los datos en caso de desastre u
otro tipo de interrupcin del servicio.
2.2 Evidencia electrnica y anlisis forense de sistemas

Gran parte de la evidencia actual para el fraude en la bolsa de valores, la
malversacin de fondos, el robo de secretos comerciales de la compaa, los
delitos por computadora y muchos casos civiles se encuentra en formato
digital.
En una accin legal, una empresa se ve obligada a responder a una solicitud
de exhibicin de pruebas para acceder a la informacin que se puede
utilizar como evidencia, y la compaa debe por ley entregar esos datos. El
costo de responder a una solicitud de exhibicin de evidencia puede ser
enorme si la compaa tiene problemas para ensamblar los datos, o si stos
estn corrompidos o se destruyeron. Ahora los juzgados imponen serios
castigos financieros y hasta penales por la destruccin inapropiada de
documentos electrnicos.
Una poltica efectiva de retencin de documentos electrnicos asegura que
los documentos electrnicos, el correo electrnico y otros registros estn
bien organizados, sean accesibles y no se retengan demasiado tiempo ni se
descarten demasiado pronto. Tambin refleja una conciencia en cuanto a
cmo preservar la potencial evidencia para el anlisis forense de
sistemas, que viene siendo el proceso de recolectar, examinar, autenticar,
preservar y analizar de manera cientfica los datos retenidos o recuperados
de medios de almacenamiento de computadora, de tal forma que la
informacin se pueda utilizar como evidencia en un juzgado. Se encarga de
los siguientes problemas:
Recuperar datos de las computadoras y preservar al mismo tiempo la

integridad evidencial.
Almacenar y manejar con seguridad los datos electrnicos
recuperados.
Encontrar informacin importante en un gran volumen de datos
electrnicos.
Presentar la informacin a un juzgado.
La evidencia electrnica puede residir en medios de almacenamiento de

computadora, en forma de archivos de computadora y como datos
ambientales, que no son visibles para el usuario promedio.
26

Sistemas
Los expertos de anlisis forense de sistemas tratan de recuperar dichos

datos ocultos para presentarlos como evidencia.
3 ESTABLECIMIENTO DE UN MARCO DE TRABAJO

PARA LA SEGURIDAD Y EL CONTROL
An con las mejores herramientas de seguridad, sus sistemas de
informacin no sern confiables y seguros a menos que sepa cmo y en
dnde implementarlos. Necesitar saber en dnde est su compaa en
riesgo y qu controles debe establecer para proteger sus sistemas de
informacin. Tambin tendr que desarrollar una poltica de seguridad y
planes para mantener su empresa en operacin, en caso de que sus
sistemas de informacin no estn funcionando.
3.1 Controles de los sistemas de informacin

Los controles de los sistemas de informacin pueden ser manuales y
automatizados; consisten tanto de controles generales como de aplicacin.
Los controles generales gobiernan el diseo, la seguridad y el uso de los
programas de computadora, adems de la seguridad de los archivos de
datos en general, a lo largo de toda la infraestructura de tecnologa de la
informacin de la organizacin. En conjunto, los controles generales se
asignan a todas las aplicaciones computarizadas y consisten en una
combinacin de hardware, software y procedimientos manuales que crean
un entorno de control en general.
Los controles generales cuentan con controles de software, controles de
hardware fsicos, controles de operaciones de computadora, controles de
seguridad de datos, controles sobre la implementacin de procesos de
sistemas y controles administrativos.
Ilustracin 6: Controles Generales
deson
Informacin
Gerencial nicos para cada
Los controles deSistemas
aplicacin
controles especficos
aplicacin computarizada, como nmina o procesamiento de pedidos.
26

Sistemas
Implican procedimientos tanto automatizados como manuales, los cuales

aseguran que la aplicacin procese de una forma completa y precisa slo los
datos autorizados. Los controles de aplicacin se pueden clasificar como:
Los controles de entrada verifican la precisin e integridad de los

datos cuando stos entran al sistema. Hay controles de entrada
especficos para autorizacin de la entrada, conversin de datos,
edicin de datos y manejo de errores.
Los controles de procesamiento establecen que los datos sean
completos y precisos durante la actualizacin.
Los controles de salida aseguran que los resultados del
procesamiento de computadora sean precisos, completos y se
distribuyan de manera apropiada. En nuestras Trayectorias de
aprendizaje aprender ms sobre los controles de aplicacin y
generales.
3.2 Evaluacin del riesgo

Antes de que su compaa consigne recursos a los controles de seguridad y
sistemas de informacin, debe saber qu activos requieren proteccin y el
grado de vulnerabilidad de stos. Una evaluacin del riesgo ayuda a
responder estas preguntas y a determinar el conjunto ms eficiente de
controles para proteger activos.
Una evaluacin del riesgo determina el nivel de riesgo para la firma si no
se controla una actividad o proceso especfico de manera apropiada. No
todos los riesgos se pueden anticipar o medir, pero la mayora de las
empresas podrn adquirir cierta comprensin de los riesgos a los que se
enfrentan. Los gerentes de informacin que trabajan con especialistas en
sistemas de informacin deberan tratar de determinar el valor de los
activos de informacin, los puntos de vulnerabilidad, la probable frecuencia
de un problema y el potencial de dao.
Ilustracin 7: Evaluacin del Riesgo para el Procesamiento de Pedidos en Lnea
Sistemas
de Informacin
Gerencial
Una vez que se hayan
evaluado
los riesgos, los
desarrolladores del sistema
se concentrarn en los puntos de control con la mayor vulnerabilidad y
26

Sistemas
potencial de prdida. En este caso, los controles se deberan enfocar en las

formas para minimizar el riesgo de fallas de energa elctrica y errores de
los usuarios, ya que las prdidas anuales anticipadas son mayores en estas
reas.
3.3 Poltica de seguridad

Una vez que identifique los principales riesgos para sus sistemas, su
compaa tendr que desarrollar una poltica de seguridad para proteger sus
activos. Una poltica de seguridad consiste de enunciados que clasifican
los riesgos de informacin, identifican los objetivos de seguridad aceptables
y tambin los mecanismos para lograr estos objetivos.
La poltica de seguridad controla las polticas que determinan el uso
aceptable de los recursos de informacin de la firma y qu miembros de la
compaa tienen acceso a sus activos de informacin. Una poltica de uso
aceptable (AUP) define los usos admisibles de los recursos de informacin
y el equipo de cmputo de la firma, que incluye las computadoras laptop y
de escritorio, los dispositivos inalmbricos e Internet. La poltica debe
clarificar la poltica de la compaa con respecto a la privacidad la
responsabilidad de los usuarios y el uso personal tanto del equipo como de
las redes de la compaa. Una buena AUP define las acciones inaceptables y
aceptables para cada usuario, adems de especificar las consecuencias si
no se lleva a cabo.
La poltica de seguridad tambin comprende de provisiones para
administrar la identidad. La administracin de identidad consiste en los
procesos de negocios y las herramientas de software para identificar a los
usuarios vlidos de un sistema, y para controlar su acceso a los recursos del
mismo. Involucra las polticas para identificar y autorizar a distintas
categoras de usuarios del sistema, especificar los sistemas o partes de los
mismos a los que cada usuario puede acceder, adems de los procesos y las
tecnologas para autenticar usuarios y proteger sus identidades.
26

Sistemas
Ilustracin 8: Reglas de Acceso para un Sistema de Personal
Las reglas de acceso que se ilustran aqu son para dos conjuntos de
usuarios. Uno de esos conjuntos consiste en todos los empleados que
realizan funciones de oficina, como introducir datos de los empleados en el
sistema. Todos los individuos con este tipo de perfil pueden actualizar el
sistema, pero no pueden leer ni actualizar los campos delicados, como el
salario, el historial mdico o los datos sobre los ingresos. Otro perfil se
aplica a un gerente de divisin, que no puede actualizar el sistema pero s
leer todos los campos de datos de los empleados de su divisin, entre ellos
el historial mdico y el salario.
3.4 Planificacin de recuperacin de desastres

planificacin de la continuidad de negocios
Si opera una empresa, necesita planificar los eventos, como los cortes en el
suministro elctrico, las inundaciones, los terremotos o los ataques
terroristas que evitarn que sus sistemas de informacin y su empresa
puedan operar.
La planificacin de recuperacin de desastres idea planes para
restaurar los servicios de cmputo y comunicaciones despus de haberse
de Informacin
interrumpido. El Sistemas
principal enfoque
de los Gerencial
planes de recuperacin de
desastres es en los aspectos tcnicos involucrados en mantener los
26

Sistemas
sistemas en funcionamiento, tales como qu archivos respaldar y el

mantenimiento de los sistemas de cmputo de respaldo o los servicios de
recuperacin de desastres.
La planificacin de continuidad de negocios se enfoca en la forma en
que la compaa puede restaurar las operaciones de negocios despus de
que ocurre un desastre. El plan de continuidad de negocios identifica los
procesos de negocios crticos y determina los planes de accin para manejar
las funciones de misin crtica en caso de que fallen los sistemas.
Los gerentes de negocios y los especialistas en tecnologa de la informacin
necesitan trabajar juntos en ambos tipos de planes para determinar qu
sistemas y procesos de negocios son ms crticos para la compaa. Deben
realizar un anlisis de impacto comercial para identificar los sistemas ms
crticos de la firma, adems del impacto que tendra una falla de los
sistemas en la empresa. La gerencia debe determinar la mxima cantidad
de tiempo que puede sobrevivir la empresa con sus sistemas inactivos y qu
partes de la empresa se deben restaurar primero.
3.5 La funcin de la auditoria

Una auditora de MIS examina el entorno de seguridad general de la
firma, adems de controlar el gobierno de los sistemas de informacin
individuales. El auditor debe rastrear el flujo de transacciones de ejemplo a
travs del sistema y realizar pruebas, mediante el uso (si es apropiado) de
software de auditora automatizado. La auditora de MIS tambin puede
examinar la calidad de los datos.
Las auditoras de seguridad revisan las tecnologas, los procedimientos, la
documentacin, la capacitacin y el personal. Una auditora detallada puede
incluso simular un ataque o desastre para evaluar la respuesta de la
tecnologa, el personal de sistemas de informacin y los empleados de la
empresa.
La auditora lista y clasifica todas las debilidades de control; adems estima
la probabilidad de su ocurrencia. Despus evala el impacto financiero y
organizacional de cada amenaza
26

Sistemas
Ilustracin 9: Lista de Ejemplo de un Auditor Sobre las Debilidades de los Controles
4 TECNOLOGAS Y HERRAMIENTAS PARA PROTEGER

LOS RECURSOS DE INFORMACIN
Las empresas cuentan con una variedad de tecnologas para proteger sus
recursos de informacin, tales como herramientas para administrar las
identidades de los usuarios, evitar el acceso no autorizado a los sistemas y
datos, asegurar la disponibilidad del sistema y asegurar la calidad del
software.
4.1 Administracin de la identidad y la autenticacin

Las compaas grandes y de tamao mediano tienen infraestructuras de TI
complejas y muchos sistemas distintos, cada uno con su propio conjunto de
usuarios. El software de administracin de identidad automatiza el proceso
de llevar el registro de todos estos usuarios y sus privilegios de sistemas, ya
que asigna a cada usuario una identidad digital nica para acceder a cada
Sistemas
de Informacin
Gerencial
sistema. Tambin tiene
herramientas
para autenticar
usuarios, proteger las
identidades de los usuarios y controlar el acceso a los recursos del sistema.
26

Sistemas
La autenticacin se refiere a la habilidad de saber que una persona es

quien dice ser. La forma ms comn de establecer la autenticacin es
mediante el uso de contraseas que slo conocen los usuarios
autorizados. Un usuario final utiliza una contrasea para iniciar sesin en un
sistema computacional y tambin puede usar contraseas para acceder a
sistemas y archivos especficos.
Un token es un dispositivo fsico, similar a una tarjeta de identificacin, que
est diseado para demostrar la identidad de un solo usuario. Los tokens
son pequeos gadgets que por lo general se colocan en los llaveros y
muestran cdigos de contrasea que cambian con frecuencia. Una tarjeta
inteligente es un dispositivo con un tamao aproximado al de una tarjeta
de crdito, que contiene un chip formateado con permiso de acceso y otros
datos (las tarjetas inteligentes tambin se utilizan en los sistemas de pago
electrnico). Un dispositivo lector interpreta los datos en la tarjeta
inteligente y permite o niega el acceso.
La autenticacin biomtrica usa sistemas que leen e interpretan rasgos
humanos individuales, como las huellas digitales, el iris de los ojos y las
voces, para poder otorgar o negar el acceso. La autenticacin biomtrica se
basa en la medicin de un rasgo fsico o del comportamiento que hace a
cada individuo nico. Compara las caractersticas nicas de una persona,
como las huellas digitales el rostro o la imagen de la retina, con un perfil
almacenado de estas caractersticas para determinar si hay alguna
diferencia entre las caractersticas y el perfil guardado. Si los dos perfiles
coinciden, se otorga el acceso.
4.2 Firewalls, sistemas

software antivirus
de
deteccin
de
intrusos
Sin proteccin contra el malware y los intrusos, sera muy peligroso

conectarse a Internet. Los firewalls, los sistemas de deteccin de intrusos y
el software antivirus se han vuelto herramientas de negocios esenciales.
4.2.1 Firewalls
Los firewalls evitan que los usuarios sin autorizacin accedan a redes
privadas. Un firewall es una combinacin de hardware y software que
controla el flujo de trfico de red entrante y saliente. Por lo general se
colocan entre las redes internas privadas de la organizacin y las redes
externas que no son de confianza como Internet, aunque tambin se
pueden utilizar firewalls para proteger una parte de la red de una compaa
del resto de la red.
26

Sistemas
Ilustracin 10: Firewall Corporativo
El firewall acta como un portero que examina las credenciales de cada

usuario antes de otorgar el acceso a una red. Identifica nombres,
direcciones IP, aplicaciones y otras caractersticas del trfico entrante.
Verifica esta informacin y la compara con las reglas de acceso que el
administrador de red tiene programadas en el sistema. El firewall evita la
comunicacin sin autorizacin que entra a la red y sale de ella.
En organizaciones grandes, es comn que el firewall resida en una
computadora designada de forma especial y separada del resto de la red, de
modo que ninguna solicitud entrante acceda de manera directa a los
recursos de la red privada. Existen varias tecnologas de filtrado de firewall,
como el filtrado de paquete esttico, la inspeccin con estado, la Traduccin
de direcciones de red (NAT) y el filtrado de proxy de aplicacin. Se utilizan
con frecuencia en combinacin para proveer proteccin de firewall.
El filtrado de paquetes examina ciertos campos en los encabezados de
los paquetes de datos que van y vienen entre la red de confianza e Internet;
se examinan paquetes individuales aislados. Esta tecnologa de filtrado
puede pasar por alto muchos tipos de ataques.
La inspeccin con estado provee una seguridad adicional al determinar si
los paquetes forman parte de un dilogo continuo entre un emisor y un
receptor. Establece tablas de estado para rastrear la informacin a travs de
varios paquetes. Los
paquetes
aceptan o rechazan
con base en si forman
Sistemas
deseInformacin
Gerencial
26

Sistemas
o no parte de una conversacin aprobada, o si tratan o no de establecer una

conexin legtima.
La traduccin de direcciones de red (NAT) puede proveer otra capa de
proteccin cuando se emplean el filtrado de paquetes estticos y la
inspeccin con estado. NAT oculta las direcciones IP de la(s) computadora(s)
host interna(s) de la organizacin para evitar que los programas
husmeadores, que estn fuera del firewall, las puedan descubrir y utilicen
esa informacin para penetrar en los sistemas internos.
El filtrado de proxy de aplicacin examina el contenido de los paquetes
relacionado con aplicaciones. Un servidor proxy detiene los paquetes de
datos que se originan fuera de la organizacin, los inspecciona y pasa un
proxy al otro lado del firewall.
Para crear un buen firewall, un administrador debe mantener reglas internas
detalladas que identifiquen a las personas, aplicaciones o direcciones que se
permiten o rechazan. Los firewalls pueden impedir, pero no prevenir por
completo, que usuarios externos penetren la red, por lo cual se deben tener
en cuenta como un elemento en un plan de seguridad general.
4.2.2 Sistema de deteccin de intrusos
Los sistemas de deteccin de intrusos contienen herramientas de
monitoreo de tiempo completo que se colocan en los puntos ms
vulnerables, o puntos activos de las redes corporativas, para detectar y
evadir a los intrusos de manera continua. El sistema genera una alarma si
encuentra un evento sospechoso o anormal. El software de exploracin
busca patrones que indiquen mtodos conocidos de ataques por
computadora, como malas contraseas, verifica que no se hayan eliminado
o modificado archivos importantes, y enva advertencias de vandalismo o
errores de administracin de sistemas. El software de monitoreo examina
los eventos a medida que ocurren para descubrir ataques de seguridad en
progreso. La herramienta de deteccin de intrusos tambin se puede
personalizar para desconectar una parte muy delicada de una red en caso
de que reciba trfico no autorizado.
4.2.3 Software antivirus y antispyware
El software antivirus est diseado para revisar los sistemas
computacionales y las unidades en busca de la presencia de virus de
computadora. Por lo general, el software elimina el virus del rea infectada.
Sin embargo, la mayora del software antivirus es efectivo slo contra virus
que ya se conocan a la hora de escribir el software. Para que siga siendo
efectivo, hay que actualizar el software antivirus en forma continua.
Los principales distribuidores de software antivirus, como McAfee, Symantec
y Trend Micro, han mejorado sus productos para incluir proteccin contra
spyware.
26

Sistemas
4.2.4 Sistemas de administracin unificada de amenazas

Para ayudar a las empresas a reducir costos y mejorar la capacidad de
administracin, los distribuidores de seguridad han combinado varias
herramientas de seguridad en un solo paquete, que ofrece firewalls, redes
privadas virtuales, sistemas de deteccin de intrusos y software de filtrado
de contenido Web y antispam. Estos productos de administracin de
seguridad completos se conocen como sistemas de administracin
unificada de amenazas (UTM). Aunque en un principio estaban dirigidos
a las empresas pequeas y de tamao mediano, hay productos UTM
disponibles para redes de todos tamaos.
4.3 Seguridad en las redes inalmbricas

A pesar de sus fallas, WEP ofrece cierto margen de seguridad si los usuarios
de Wi-Fi recuerdan activarla. Un primer paso sencillo para frustrar la
intencin de los hackers es asignar un nombre nico al SSID de su red e
instruir a su enrutador para que no lo transmita. Las corporaciones pueden
mejorar an ms la seguridad Wi-Fi si utilizan WEP junto con la tecnologa
de redes privadas virtuales (VPN) para acceder a los datos corporativos
internos.
En junio de 2004, el grupo industrial y comercial Alianza Wi-Fi finaliz la
especificacin 802.11i (tambin conocida como Acceso Wi-Fi protegido 2 o
WPA2), la cual sustituye a WEP con estndares de seguridad ms slidos.
4.4 Cifrado e infraestructura de clave publica

Muchas empresas usan el cifrado para proteger la informacin digital que
almacenan, transfieren por medios fsicos o envan a travs de Internet. El
cifrado es el proceso de transformar texto o datos simples en texto cifrado
que no pueda leer nadie ms que el emisor y el receptor deseado. Para
cifrar los datos se utiliza un cdigo numrico secreto, conocido como clave
de cifrado, que transforma los datos simples en texto cifrado. El receptor
debe descifrar el mensaje.
Los dos mtodos para cifrar el trfico de red en Web son SSL y S-HTTP. La
capa de sockets seguros (SSL) y su sucesor, seguridad de la capa de
transporte (TLS), permiten que las computadoras cliente y servidor manejen
las actividades de cifrado y descifrado a medida que se comunican entre s
durante una sesin Web segura. El protocolo de transferencia de
hipertexto seguro (S-HTTP) es otro protocolo que se utiliza para cifrar los
datos que fluyen a travs de Internet, pero se limita a mensajes
individuales, mientras que SSL y TLS estn diseados para establecer una
conexin segura entre dos computadoras.
Una forma ms segura de cifrado conocida como cifrado de clave pblica
utiliza dos claves: una compartida (o pblica) y otra por completo privada,
como se muestra en la figura siguiente.
26

Sistemas
Ilustracin 11: Cifrado de Clave Pblica
Las claves estn relacionadas en sentido matemtico, de modo que los

datos cifrados con una clave se puedan descifrar slo mediante la otra
clave. Para enviar y recibir mensajes, los comunicadores primero crean
pares separados de claves privadas y pblicas. La clave pblica se conserva
en un directorio y la privada se debe mantener secreta. El emisor cifra un
mensaje con la clave pblica del receptor. Al recibir el mensaje, el receptor
usa su propia clave privada para descifrarlo.
Los certificados digitales son archivos de datos que se utilizan para
establecer la identidad de los usuarios y los activos electrnicos para
proteger las transacciones en lnea.
Ilustracin 12: Certificados Digitales
26

Sistemas
Un sistema de certificados digitales utiliza una tercera parte de confianza,

conocida como autoridad de certificado (CA, o autoridad de certificacin),
para validar la identidad de un usuario.
La CA verifica la identidad de un usuario del certificado digital desconectada
de Internet. Esta informacin se coloca en un servidor de CA, el cual genera
un certificado digital cifrado que contiene informacin de identificacin del
propietario y una copia de su clave pblica. El certificado autentica que la
clave pblica pertenece al propietario designado. La CA hace que su propia
clave est disponible en forma pblica, ya sea en papel o tal vez en Internet.
El receptor de un mensaje cifrado utiliza la clave pblica de la CA para
decodificar el certificado digital adjunto al mensaje, verifica que lo haya
emitido la CA y despus obtiene la clave pblica del emisor adems de la
informacin de identificacin contenida en el certificado. Al usar esta
informacin, el receptor puede enviar una respuesta cifrada.
La infraestructura de clave pblica (PKI), el uso de la criptografa de
clave pblica para trabajar con una CA, en la actualidad se utiliza mucho
para el comercio electrnico.
4.5 Aseguramiento de la disponibilidad del sistema

A medida que las compaas dependen cada vez ms de las redes digitales
para obtener ingresos y operaciones, necesitan realizar ciertos pasos
adicionales para asegurar que sus sistemas y aplicaciones estn siempre
disponibles. Las firmas como las que estn en el mbito de las industrias de
servicios financieros y las aerolneas, en donde las aplicaciones requieren el
procesamiento de transacciones en lnea, han usado desde hace varios aos
los sistemas computacionales tolerantes a fallas para asegurar una
disponibilidad del 100 por ciento. En el procesamiento de transacciones
en lnea, la computadora procesa de inmediato las transacciones que se
realizan en lnea. Los cambios multitudinarios en las bases de datos, los
informes y las solicitudes de informacin ocurren a cada instante.
Los sistemas de computadora tolerantes a fallas contienen
componentes redundantes de hardware, software y suministro de energa
que crean un entorno en donde se provee un servicio continuo sin
interrupciones. Las computadoras tolerantes a fallas utilizan rutinas
especiales de software o lgica de autocomprobacin integrada en sus
circuitos para detectar fallas de hardware y cambiar de manera automtica
a un dispositivo de respaldo. Las piezas de estas computadoras se pueden
quitar y reparar sin interrupciones en el sistema computacional.
Hay que establecer la diferencia entre la tolerancia a fallas y la
computacin de alta disponibilidad. Tanto la tolerancia a fallas como la
computacin de alta disponibilidad tratan de minimizar el tiempo de
inactividad: periodos de tiempo en los que un sistema no est en
funcionamiento. Sin embargo, la computacin de alta disponibilidad ayuda a
las firmas a recuperarse con rapidez de un desastre en el sistema, mientras
26

Sistemas
que la tolerancia a fallas promete tanto la disponibilidad continua como la

eliminacin del tiempo de recuperacin.
Los investigadores estn explorando formas de hacer que los sistemas
computacionales se recuperen an con ms rapidez cuando ocurran
percances, algo que se conoce como computacin orientada a la
recuperacin. Trabajo que consiste en disear sistemas que se recuperen
con rapidez, adems de la implementacin de capacidades y herramientas
para ayudar a los operadores a sealar los orgenes de las fallas en los
sistemas con muchos componentes, para poder corregir sus errores con
facilidad.
4.5.1 Control del trfico de red: inspeccin profunda de paquetes
(DPI)
Las aplicaciones que consumen ancho de banda, como los programas de
procesamiento de archivos, el servicio telefnico por Internet y el video en
lnea, son capaces de obstruir y reducir la velocidad de las redes
corporativas, lo cual degrada su desempeo.
Una tecnologa conocida como inspeccin profunda de paquetes (DPI)
ayuda a resolver este problema. DPI examina los archivos de datos y ordena
el material en lnea de baja prioridad mientras asigna mayor prioridad a los
archivos crticos para la empresa. Con base en las prioridades establecidas
por los operadores de una red, decide si un paquete de datos especfico
puede continuar hacia su destino, o si hay que bloquearlo o retrasarlo
mientras avanza el trfico ms importante.
4.5.2 Subcontratacin (outsourcing) de la seguridad
Muchas compaas, en especial las pequeas empresas, carecen de los
recursos o la experiencia para proveer un entorno de computacin seguro
de alta disponibilidad por su cuenta. Por fortuna, pueden subcontratar
muchas funciones de seguridad con proveedores de servicios de
seguridad administrados (MSSP), quienes monitorean la actividad de la
red y realizan pruebas de vulnerabilidad, adems de deteccin de intrusos.
4.6 Aspectos de seguridad para la computacin en la

nube y la plataforma digital mvil
Aunque la computacin en la nube y la plataforma digital mvil emergente
tienen el potencial de producir beneficios poderosos, imponen nuevos
desafos para la seguridad y confiabilidad de los sistemas. Ahora
describiremos algunos de estos desafos y cmo hay que lidiar con ellos.
4.6.1 Seguridad en la nube
Cuando el procesamiento se lleva a cabo en la nube, la rendicin de cuentas
y la responsabilidad de proteger los datos confidenciales an recae en la
compaa que posee esos datos. Es imprescindible comprender cmo es que
el proveedor de computacin en la nube organiza sus servicios y administra
Sistemas
de Informacin
Gerencial
los datos. Los usuarios
de nubes
necesitan confirmar
que, sin importar que
26

Sistemas
sus datos se almacenen o transfieran, estarn protegidos a un nivel que

cumpla con sus requerimientos corporativos.
Deben estipular que el proveedor de la nube almacene y procese los datos
en jurisdicciones especficas, de acuerdo con las reglas de privacidad de
esas jurisdicciones. Los clientes de nubes deben averiguar cmo es que el
proveedor de la nube segrega sus datos corporativos de los de otras
compaas; adems deben pedir una prueba de que los mecanismos de
cifrado son slidos.
Los usuarios de nubes tambin deberan preguntar si los proveedores
estaran dispuestos a someterse a auditoras y certificaciones de seguridad
externas. Estos tipos de controles se pueden escribir en el acuerdo de nivel
de servicio (SLA) antes de firmar con un proveedor de la nube.
4.6.2 Seguridad en las plataformas mviles
Si los dispositivos mviles estn realizando muchas de las funciones de las
computadoras, necesitan estar protegidos de igual forma que las
computadoras de escritorio y laptops contra malware, robo, prdida
accidental, acceso sin autorizacin y hackers.
Los dispositivos mviles que acceden a los sistemas y datos corporativos
requieren proteccin especial. Las compaas se deben asegurar de que su
poltica de seguridad corporativa contenga los dispositivos mviles, con
detalles adicionales sobre cmo hay que dar soporte, proteger y utilizar los
dispositivos mviles.
Las firmas deben desarrollar lineamientos que estipulen las plataformas
mviles y las aplicaciones de software aprobadas, as como el software y los
procedimientos requeridos para el acceso remoto a los sistemas
corporativos. Las compaas tendrn que asegurar que todos los telfonos
inteligentes estn actualizados con los parches de seguridad ms reciente y
con software antivirus/antispam; adems la comunicacin se debe cifrar
siempre que sea posible.
4.7 Aseguramiento de la calidad del software

Adems de implementar una seguridad y controles efectivos, las
organizaciones pueden mejorar la calidad y confiabilidad del sistema al
emplear mtrica de software y un proceso riguroso de prueba de software.
La mtrica de software consiste en las evaluaciones de los objetivos del
sistema en forma de medidas cuantificadas.
5 BIBLIOGRAFA
Laudon, K. C., & Laudon, J. P. (2012). Sistemas de Informacin Gerencial.
Mexico: Pearson Educacion de Mxico.

Seguridad en Los Sistemas de Información

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Seguridad en Los Sistemas de Información

Transféré par

Droits d'auteur :

Formats disponibles

26

Universidad Nacional del Altiplano

EXPOSICIN FINAL DE:

Sistemas de Informacin Gerencial

Universidad Nacional del Altiplano

VULNERABILIDAD Y ABUSO DE LOS SISTEMAS.........................................4

Porque son vulnerables los sistemas.................................................4

Desafos de seguridad inalmbrica.............................................6

Software malicioso: virus, gusanos, caballos de Troya y spyware......7

Los hackers y los delitos computacionales........................................9

Ataques de negacin de servicio...............................................10

Delitos por computadora...........................................................10

El fraude del Clic.......................................................................11

Amenazas globales: Ciberterrorismo y ciberguerra...................11

Amenazas internas: los empleados.................................................11

Vulnerabilidades del Software..........................................................11

VALOR DE NEGOCIOS DE LA SEGURIDAD Y EL CONTROL.......................12

Evidencia electrnica y anlisis forense de sistemas.......................13

3 ESTABLECIMIENTO DE UN MARCO DE TRABAJO PARA LA SEGURIDAD Y EL

Controles de los sistemas de informacin.......................................14

Evaluacin del riesgo.......................................................................15

3.4 Planificacin de recuperacin de desastres y planificacin de la

4 TECNOLOGAS Y HERRAMIENTAS PARA PROTEGER LOS RECURSOS DE

Administracin de la identidad y la autenticacin...........................18

Firewalls, sistemas de deteccin de intrusos y software antivirus...19

Sistema de deteccin de intrusos..............................................21

Software antivirus y antispyware..............................................21

Sistemas de administracin unificada de amenazas.................21

Universidad Nacional del Altiplano

Cifrado e infraestructura de clave publica.......................................22

Aseguramiento de la disponibilidad del sistema..............................23

Control del trfico de red: inspeccin profunda de paquetes (DPI)

Subcontratacin (outsourcing) de la seguridad.........................24

4.6 Aspectos de seguridad para la computacin en la nube y la

Seguridad en las plataformas mviles.......................................25

Aseguramiento de la calidad del software.......................................25

Sistemas de Informacin Gerencial

Universidad Nacional del Altiplano