Académique Documents
Professionnel Documents
Culture Documents
8.+ vlldu
ddE tec<liu
M dot sujefo
N
0fdvtO p8)ilca ctet suo
*
Algarllf.i9
- mp
0ertificado
presentad$ como
medio ds
I
Certitic"! "i%itl
)
Veir#i6n
N !iimero de serie
M
Algoritmo de lirma
N
!om)re del emisor
N L!o es valido anlei deLL lec,a
N
L!o es v+lido ctespues deL fec,a
N
!om)re del sujelo
E
0lave pu)lica de" sujeto
N
Algoriirrio
N
E3tensiones
9 Fir1
Aut ori dad de
cert ifi caci on
i
+itio We)
U ot r o soci o
de la t ransacct )n
autenticacidn
L!# certi*ic"!# "i%itle# #!n (tile# pr e#tbiecer l i"enti"" "e per#cn# ! "e cti2!# eler!nic!#.
Pr!te%en l# trn#c"!ne# en line l pr!p!rci!nr c!1(nic"!ne# en 3ne #e%(r# :encript"#4
0apit ul o
&
Proteccion
de
los
sistemas
de
informacion G%G
MIS EN ACCION
Los
pro(ectos
de
esta
seccion
le
)rindan
e3periencla practica
con
el
desarrollo
de
un
plan para
la
recuperacion
de
desastres,
utilizando
soft4are
de
,oja
de
calculo
pa/
ra
el
analisis
de
riesgos (
lierramientas
de
la
We)
para investigar
serricios
de
su)-
contratacion
de
la
seguridad.
L!%r!
"e
l
e$celenci
!perti2;
"e#rr!ll!
"e
(n
pl n
pr
l
rec(perci!n
"e
"e##tre#<
0onocimientos
de
soft4are5
+oft4are
navegador
We)
(
soft4are
de
presentaciones.
0onocimiento
de
negocios5
Planeacioii
para
la
recuperacion
de
desastres.
>ste
pro(ecto requiere que
usted
desarrolle
un
plan para
la
recuperacidn
de
desas/
tres
para
una
empresa
del
mundo
real.
A
la
adminlstracion
de
9irt
>i-es
le
preocupa que
sus
sistemas
de
coniputo
sean
vulnera)les
a
interrapciones
de
la
eneia, vandalismo,
virus
de
computadoras,
de/
sastres
naturales
o
alteraciones
en
las
telecomunicaciones.
Le
)an
solicitado
que
realice
un
analisis
de
las
vulnera)'idades
del
sistema
( que
desarrolle
un
plan para
la
recuperacion
de
desastres
para
la
empresa.
+u
informe
de)era
responder
las
si-
guientes preguntas5
N
/uales
son
las
amenazas
mis
pro)a)les para
la
operacion ininterrumpida
de
los sistemas de 9irt >i-esO
N
/uales
considera
que
son
los
sistemas
mas
criticos
de
9irt
>i-esO
/ual
es
el
impacto
en
la
empresa
si
estos
sistemas
no
fiincionanO
/uanto tiempo podria
sostenerse
la
empresa
si
estos
sistemas
se
ca(eranO KiPor
su
importancia,
cuales
sistemas
de)en
respaldarse (
restaurarse
en
case
de
un
desastreO
N
Acceda
a
la
We)
para
locallzar
dos
empresas
de
recuperacion
de
desastres
que
pudieran a(udar
a
una
pequeiia empresa
como
9irt
>i-es.
0omparelas
en
ter-
minos
de
los
servicios
que
ofrecen.
2or
cual
se
de)eria
inclinar
9irt
>i-esO
E<actamente
como
podrian
estos
servicios
a(udar
a
9irt
>i-es
a
recuperarse
de un desastreO
N
(8pcional"
+i
es
posi)le,
utflice
un
soft4are
de
presentaciones
electronicas
para
resumir
sus
conclusiones
para
la
administracion.
Me=!r
en
l
t!1
"e
"eci#i!ne#;
(#!
"e
#!*t>re
"e
?!=
"e
clc(l!
pr
reli@r
(n
e2l(cl!n
"e
l !#
rie#%!# "e #e%(ri""<
0onocimientos
de
soft4are5
Formulas
( graficos
de
,oja
de
calculo.
0onocimiento
de
negocios5
Evaluacion
de
riesgos.
Este
pro(ecto
utiliza
soft4are
de
,oja
de
calculo
para
estimar
perdidas
anuales
an-
ticipadas
a
causa
de
varias
amenazas
de
seguridad
identificadas
para
una
empresa
pequeiia.
1ercer
Paints
es
una
empresa
fa)ricante
de
pinturas pequeiia pero
sumamente
respetada,
u)icada
en
Ala)ama.
La
empresa
cuenta
con
una
red
que
enlaza
muc,as
de
sus
operaciones
de
negocios.
A
pesar
de
que
la
empresa
considera
que
su
seguri/
dad
es
adecuada,
la
reciente
incorporacion
de
un
sitio
We)
se
,a
convertido
en
una
invitacion
a)ierta
a
los
,ac-ers.
La
administracion
solicito
una
evaluacion
de
riesgos,
la
cual
identified
diversas
contingencias potenciales.
Estas
contingencias,
sus
pro)a-
)Uidades
asociadas
(
sus
perdidas promedio
se
resumen
en
la
ta)la
siguiente.
N
Ademas
de
las
contingencias potenciales enlistadas,
usted
de)e
identificar
al
menos
otras
tres
amenazas
potenciales para
1ercer
Paints, asignar
sus
pro)a-
)'idades
(
estimar
un
rango
de
perdida.
N
Utilice
soft4are
de
,oja
de
calculo
(
los
dates
de
la
evaluacion
de
riesgos pa/
ra
calcular
la
perdida
anual
esperada para
cada
contingencia.
G%% Parte 9os 2nfraestrucluiEa de tecnologia de infocinaclon
EALUA028! 9E *2 E+:8+ PA*A 1E*0E* PA2!.+
N
Presente
sus conclusiones
en
un diagrama. /uales puntos
de
control
son
los
mas vulnera)lesO recomendaciones ,aria a 1ercer PaintsO Prepare
un
informe escrito que resuma sus conclusiones ( recomendaciones,
1cjora en la toma de decisiones5 evaluacion
de los servicips de su)contfataciDn de la seaurldad
0onocimientos de soft4are< +oft4are navegador We) ( soft4are de presentaciones.
0onocimiento
de
negocios5
Evaluacion
de
servicios
de
su)contratacion
de
negocios.
En
la
actualidad,
las
empresas
tienen
la
opcion de
su)contratar
la
funcion
de
segu-
ridad
de
sistemas
de
inf)rmacion
o
de mant ener
su
propio personal
imerno
para
es-
te
prop
Dsito.
Este pro(ecto le a(udara a desarrollar sus conocimientos de 2nternet al utilizar la
We)
para investigar (
evaluar
servicios
de
su)contratacion
de
la
seguridad
de
siste/
mas de informacion.
0omo e3perto en sistemas de informacion de su empresa, a usted le )an pedido
que a(ude a la administracion a decidir entre su)contratar la seguridad o mantener
la
funcion de seguridad dentro de la empresa. >usque en la We) infoi.nacion que le
a(ude
a
decidir
la
conveniencia
de
su)contratar
la
seguridad (
localice
servicios
de
su)contratacion de seguridad,
N
Presente
un
)reve resunien de los argumentos a favor ( en contra de su)con/
tratar la seguridad de los sistemas de su empresa.
N
+eleccione
dos
empresas que
ofrezcan
servicios
de
su)contratacion
de
seguri/
dad de sistemas ( compare sus servicios.
N
Prepare
una
presentacion electronica para la administracion ( resuma sus
conclusiones. +u presentacidn de)e justificar si su empresa de)e o no su)/
08!.2!:E!02A P*8>A>2L29A9
9E
80U**E102A (PQ PE*929A
P*81E928
(R"
At aque
de
mal 4are D$P R?;, $$$
Perdi da de dat os 6#P R?$, $$$
9esfaico GP RG$, $$$
Error del usuari o C;P R#;, $$$
Amenazas de los ,ac-ers C;P RC$, $$$
Uso
j nadeci i ado
de
los
empl eados
;P R;, $$$
Falla
de
energi a
6;P RG$$, $$$
contratar la seguridad de los sistemas. +i usted considera que su empresa de-
)e su)contratar, la presentacion dc)e identificar cual scrvicio de su)contrata-
ciDn
de
la
seguridad
de)e
elegirse ( justificar
la
razon.
189UL8+ de +E:U212E!.8 9EL AP*E!92SAAE
Contfvles genemies y de aplicacidn para sistemas de informacion. +i usted desea sa)er
mas acerca de los diversos tipos de controles que se utilizan en sistemas de informa/
cion, en el sitio We) del li)ro para este capitulo encontrara un modulo de seguimien-
to
del
aprendizaje
so)re
controles generales ( de aplicacion.
Fetos de segundad y control para la administ}'aci6n. +i usted desea aprender mas so/
)re los retos de administracion ( las decisiones relacionadas con la seguridad ( el
control,
en
el
sitio
We)
del
li)ro
para
este
capitulo
encontrara
un
modulo
de
segui-
miento
del aprendizaje so)re este tema.
Cpit(l!
5
Pi)!tecci!n "e l!# #i#te1#
"e
in*!r1ci!n ,-A
Vulnembilidady co?ifiabihdad
del
sofhoare.
+i
usted
dcsea
aprender
mas
acerca
de
la
vulnera)ilidad
del
soft/
4are
(
dc
medidas
para garantizar
la
confia)ilidad
del
soft4are,
en
eB
sitio
We)
del
li)ro
para
este
capitulo
encont rara
un
modulo
de
seguimiento
del
aprendizaje
so)re
estos
temas,
Re#(1en
B. Analice
por qui
los
sistemas
de
iriformacion
necesitan
pvoteccion especial
contra
la
destruccion,
los
errores
y
el
ahuso.
0on
datos
concentrados
en
forma
electrnnica
(
rauc,os
procedimientos
invisi)les
a
traves
de
automatiza-
cion,
los
sistei.ias
de
inffinnacion
computarizados
son
vulne
ra)ies
a
destruccion,
mal
manejo, e=T!re#4
fraudes
(
fallas
del
,ard4are
(
el
soft4are.
Los
sistemas
coiporativos que
utilizan
2nternet
son
especialmente
vulnera)les
porque
la
2nternet
esta
diseiTada
como
un
sistema
a)icrto
(
,ace
a
los
sistemas
corporativos
internes
mas
vul/
nera)les
a
acciones
dc
e3trafios.
Los
,ac-ers
pueden
desatar
ataques
de
negacion
del
servicio
(9o+"
o
penetrar
en
las
redes
corporativas,
ocasionando
serias
alteracioncs
en
los
sistemas,
2ntrusos
que
ntilizan
programaa
sniffers
para
o)tener
direcciones
que
les
permitan
acceder
a
los
recursos
de
una
red
pueden penetrar
facilmen-
te
las
redes
Wi-Fi.
Los
vims
( gusanos
de
computadora
se
pueden esparcir
desenfiEenadamente
de
un
sistema
a
otra, congestionando
la
memoria
de
la
computadora
o
dcstru(endo programas (
datos.
El
soft4are
presenta pro-
)lemas
porque
es
casi
imposi)le
eliminar
los
enores
de
programacion ( porque
los
,ac-ers
(
el
soft4are
mali-
cioso
pueden e3plntar
las
vulnera)ilidades
del
soft4are,
Los
usuarios
finales
pueden
introducir
errores.
0. valAe
el
valor
de
negocios
de
la
segiiridad y
el
control.
La
seguridad (
el
control
constitu(en
areas
importantes pero
niuc,as
veces
descuidadas
para
la
inversion
en
sistemas
de
informacion.
Las
empresas que depcndcn
de
sistemas
de
computo para
realizar
sus
funciones
de
negocios
esenciales
pueden perder
ventas
( productividad,
Los
activos
de
infonnacion,
como
registros
confidenciales
de
empleadns,
secretos
comereiales
o
planes
de
negocios, picrden gran parte
de
su
valor
si
son
revelados
a
e3tranos
o
si
e3ponen
a
la
empresa
a
responsa)ilidad legal.
La
nueva
legislacidn,
como
la
'2PAA,
la
Le( +ar)anes-83le( (
la
Le( :ramm-Leac)->lile(, e3igen
a
las
empresas que practiquen
una
rigurosa
ad-
ministracion
de
registros
electronicos
( que
se
apeguen
a
estandares
cvstrictos
de
seguridad, privaeidad (
con/
trol.
Las
acciones
legales que requieren
evidencia
electronica
(
el
computo
forense
tam)ien
e3igen
a
las
em/
presas que pongan
mas
atencidn
a
la
seguridad (
a
la
administraeion
de
registros
electrdnicos.
,. !isene
una
esryuctura
organi"ational para
la
seguridad y
el
control,
Las
empresas
necesitan
esta)leeer
una
estructura
organiaacional (
administrativa
adecuada
para
la
segu/
ridad
(
el
control,
con
el
proposito
de
utilizar
las
tecnojogias
de
manera
efectiva
en
la
proteccion
de
sus
re/
cursos
de
informacion,
Una
evaluacion
del
riesgo
valora
activos
de
informacion,
identifica
puntos
de
control
(
de)ilidades
de
control, (
determina
el
conjunto
de
eontroles
mas
reditua)le.
Las
empresas
tam)ien
de)en
desarrollar
una
politica
de
seguridad corporativa
co,erente
( planes para
continuar
las
operaciones
del
negocio
en
caso
dc
un
desastrc
o
una
alteracion
La
politica
de
seguridad
in-
clu(e politicas para
el
uso
acepta)le (
la
autorizacidn,
Un
plan para
la
recuperacion
dc
desastres
proporeio-
na
procedimientos
e
instalaciones
para
restaurar
los
servicios
de
computo (
coraunicacione.s
despues
de
que
se
)an
interrumpido,
en
tanto
que
un
plan para
la
continuidad
del
negocio
se
enfoca
en
la
manera
en
que
la
empresa puede
restaurar
las
operaciones
del
negocio.
La
auditoria
integral (
sistematica
de
un
12+
a(tida
a
las
organizaciones
a
determina
r
la
efectividad
de
la
seguridad (
los
eontroles
para
sus
sistemas
de
informacion.
-. miue
las
herr#rt$ientas
y tecnologtas
mcis
importantesara salvagitardar
los
recursos
de
infonnacion.
Las
empresas requieren
medidas
especial
es
para soportar
los
procesos
del
comercio
elsetrdnico
(
los
ne/
gocios digitales,
Pueden
utilizar
sistemas
de
computo
tolerantes
a
fallas
o
crear
entornos
de
cdmputo
de
alta
disponi)ilidad para garantizar que
sus
sistemas
de
informacion
siempre
estdn
disponi)les (
se
desempeficn
sin
interrupciones,
Los
fire4alls
se
colocan
entre
la
red
privada
de
una
organizacion (
las
redes
e3ternas,
co/
mo
2nternet, para impedii que
usuarios
no
autorizados
accedan
a
la
red
privada,
Los
sistemas
de
deteccidn
de
intrusiones
vigilan
las
redes
privadas
en
)usca
de
trafico
de
red
sospec,oso
e
intentos
de
aceeder
a
los
sistemas
corporativos.
Para
autenticar
a
los
usuarios
de
un
sistema
se
utilizan
eontrasefias, to-ens, taijetas
inteligcntes (
autenticacion
)iometrica.
El
soft4are
antivirus
revisa
los
sistemas
de
computo para
cerciorar-
se
que
esten
li)res
de
iniEecciones
por
virus
( gusanos, (
con
frecuencia
eliniinan
el
soft4are
malicioso,
en
tanto
que
el
soft4are
antisp(4are
com)ate
los
program
as
de
spjr4are
intrusivos
( perjudiciales.
La
encrip-
tacion,
la
codificaeidn
y
eifrado
dc
mensajes,
es
una
tecnologia ampliamente
utilizada
para proteger
las
transmisiones
eleetronicas
a
traves
de
2nternet
(
de
redes
Wi-Fi.
Los
certificados
digitales
com)inados
con
encriptacidn
de
clave
pu)lica proporcionan proteccion
adicional
a
las
transacciones
electronicas
por
medio
de la autenticacidn de la identidad de un usuario.
,-6 Prte D!#
2nfraestructura de tecnologiEa de irfofmacifin
Trminos cl2e
%idministracidn
de
registros electmnicos &'()*, +,-
Ataque
de
rtegacidn del servicia &!o.*, +,,
Ataque
distribuido
de
negacion
del
servido
&!!o.*, +,/
Auditoria de )0., ++1
Autenticacian biometrica, GGD
A1fenficitcuAn, GG;
'ottiet, +,,
Calrallo de 'lyoya, +,2
Certificados digitales, +1,
Ci3$ervandalism4$ +,5
Computacion orientada a h recuperacton, GGG
Cdmpiito de alta disponihilidad, +++
Cdmputo forense, +,6
Control de acceso, ++7
Controles, G6D
Crac8er, +,5
!irector
de
segnridad (CSO)
++5
ncriptacion de clave ptiblica, +15
9ncriptacion, ++6
miuacion de riesgos, GG$
vil t:ins, +,7
;iltrado de pcu$uetes, ++-
;iltrado pro#y de aplicaciort, GG&
;irma digital, +1,
;raude del die, +,6
<uerra mdm'l, +5-
<usanos, +56
=ac8er, GG6
=3;AA, +,-
0nfraestructura
de
clave pitblica &>?l*, +1,
0ngenierta social, +,@
0nspeccion completa del estado, ++-
0.4 5@@66, ++2
Pre%(nt#
"e
rep#!
6.
i Por que
son
tan
vul nera)i es los si st emas de
comput oO 9escri)a las amenazas mcis coni unes
contra los sistemas de infonnaciDn cont empora-
neos.
0.
2or que es tan dificil proteger a 2nternet y a las
redes Wi-FiO
,.
i =ue es el mal4areO 9escri)a la diferencia ent re
nil
virus,
un
gusano ( un ca)allo de .o(a,
-.
+ue es un ,ac-erO $e "u7 manera los ,ac-ers
crean pro)l emas de seguridad ( danan los siste/
masO
A.
$e que
manera
afecta el soft4are la confia)ili-
dad ( la seguridad de los sistemasO
6. (i=u+ es un delito informaticoO Proporcione dos
ejemplos en los cuales las comput adoras son o)je-
tivos del delito ( dos ejemplos en los cuales
son
i nst rument os para el delito,
C.
i En que consiste el ro)o de identidadO 2or que
es uno de los pri nci pal es pro)l emas actualesO
Aey <rammBAeachB'l9eyf +,-
Aey .arbane='4#ley, +,6
)etl:are, +56
>arches, +,@
>harming, +,7
>hishing, +,7
>loneacion para la continuidaA del negocio, GGG
>lc:eacion para la recuperacion de desistres, GGG
>o9tica de seguridad, GG6
>olttiea
de
uso
aceptable &A9>*,
++5
;oliticas de autori"acidn, ++5
>rocesaniiento de trartsacciones en linea, +++
>rotocolo
de
Capa
de
Cone#ion .egura &..A*, ++6
>rotocolo de 'lyansferencia de =iperte?to .eguro &.B=CC>*,
++6
>roveedores de servicios de seguridad administrados
C)..>s3, ++1
(egistradores de claves, +,5
(obo de identidad, +,7
.eguridad
de
la
Capa de CDansporte &CA.*,
++6
.egtiridad, +56
.isterncis de administracidn de autori"aciones, ++5
.istemas de cdmputo tolerantes a fallas, +++
.iste}nas de deteccion de intnisioties, ++-
.niffer, +,5
.oftiuare antivirus, ++-
.poofing, +,5
.py:are, +,5
Chr$eta inteligente, GGD
Ciempo de caida, GGG
Cb8en, GGD
lDaduccion
de
!irecciones
de
(ed
(E!A.A,
++-
Virus de computadora, +i6
$e quD
manera
fomenta
el
p,is,ing
el
ro)o
de
identidadO
5.
i0omo
se
pueden
utilizar
los
sistemas
de
compu/
to ( las redes
de
comput adoras para el
ci)erterro-
rismo
( el ci)erarmament oO
D.
+.ue pro)lemas
de
seguri dad propician los
em-
pleadosO
B..
9efina la seguridad ( el control. $e que manera
proporcionan valor de negociosO /dmo se rela-
donan
la
seguridad (
el
control
con
los
recientes
requerimient os regulatorios del go)ierno
de
Esta-
dos Unidos ( con el computo forenseO
66.
/u'l es la funcidn de la evaluacion
del
riesgoO
/dmo se realiza en los sistemas de informaci0inO
B0.
9efina (
descri)a
lo
siguiente5 politica
de
seguri/
dad, politica de uso acepta)le, politica
de
autori/
zacidn.
B,.
1encione la diferencia entre el computo toleran-
te
a
fallas
(
el
de
alta
disponi)ilidad, (
ent re
la
planeacifin para
la
recuperacion
de
desastres
(
la
planeacion para
la
continuidad
del
negocio.
B-.
$e que
manera
proinueve
la
seguridad (
el
con/
trol la auditoiia de 12+O
BA.
1encione
(
descri)a
tres
metodos
de
autentica-
ciDn.
B6. 9escri)a los roles de los fire4alls, los sistemas de
deteccion
de
intrusiones
(
el
soft4are
antivirus
para promover
la
seguridad.
BC.
i0omo
se
puede
utilizar
la
encriptacion para pro-
teger
la
informadonO
9escri)a
el
rol
de
la
encrip-
tacion
(
los
certificados
digitales
en
una
infraes-
tructura
de
clave
pu)lica.
C#! en 2i"e!
En el sitio We) del li)ro encontrar+ un caso en video
que
ilustra
algunos
de
los
conceptos
de
este
capim-
lo, junto
con
preguntas que le a(udaran
a
analizar
el
caso.
Cpi/t(l!
5
Pr!tecci!*i
"e
l!#
#i#te1#
"e
in*r1ci6n
,-C
Pre%(nt# pr
"ebtir
B.
La
seguridad
no
es
solo
un
pro)lema
de
la
tecno-
logia,
sino
de
los
negocios.
*ealice
un
de)ate.
0.
+i
usted
estuviera
desarrollando
un
plan
de
conti/
nuidad
del
negocio para
su
empresa, por
dDnde
empezanEaO i=.ue aspectos
del
negocio
de)eria
a)ordar
el
planO
Trb=!
en
eE(ip!;
e2l(ci"n
"e
l#
?err1ient#
"e
#!*t>re
pr
#e%(ri""
En
un
grupo
de
tres
o
cuatro
estudiantes,
utilicen
la
We)
para investigar (
evaluar
productos
de
seguridad
de
dos
fa)ricantes
diferentes,
como
soft4are
antivi/
rus,
fire4alls
o
sofl54are
antisp(4are,
9escri)a
las
ca-
pacidades
de
cada
producto, para que tipos
de
nego/
cios
son
mas
adecuados, (
el
costo
de
coniprarlos
e
instalarlos.
i0u+l
es
el
mejor productoO 2or queO
+i
es
posi)le,
utilice
soft4are
de
presentaciones
electrd-
nicas
para e3poner
sus
conclusiones
a
la
clase.