Post on 05-Jul-2018
8/16/2019 Seguridad Del Sistema de Informacion
1/45
Protección de losProtección de lossistemas desistemas de
informacióninformación
8/16/2019 Seguridad Del Sistema de Informacion
2/45
OBJETIVOS DE APRENDIZAJE
• Analizar por !" los sistemas de información necesitan
protección especial contra la destr!cción# los errores $ el a%!so&
• E'al!ar el 'alor del ne(ocio en relación con la se(!ridad $ el
control&
• Dise)ar !na estr!ct!ra or(anizacional para la se(!ridad $ el
control&
• E'al!ar las *erramientas $ tecnolo(+as m,s importantes para
sal'a(!ardar los rec!rsos de información&
8/16/2019 Seguridad Del Sistema de Informacion
3/45
P*is*in(- .n n!e'o $ costoso deporte para los !s!arios
de Internet
Pro%lema- (ran cantidad de !s!arios '!lnera%les de ser'iciosfinancieros en l+nea# facilidad para crear sitios /e% falsos&
Sol!ciones- implementar !n soft0are $ ser'icios antip*isin( $ !nsistema de a!tenticación de 'arios ni'eles para identificar amenazas $
red!cir los intentos de p*is*in(&
Implementar n!e'as *erramientas# tecnolo(+as $ procedimientos dese(!ridad 1!nto con el ed!car a los cons!midores# incrementa laconfia%ilidad $ la confianza del cliente&
2!estra el rol de la TI en com%atir el crimen c$%er&
Il!stra la tecnolo(+a di(ital como parte de !na sol!ción de 'arios ni'elesas+ como s!s limitaciones en red!cir a los cons!midores desalentados&
8/16/2019 Seguridad Del Sistema de Informacion
4/45
8/16/2019 Seguridad Del Sistema de Informacion
5/45
8/16/2019 Seguridad Del Sistema de Informacion
6/45
V!lnera%ilidad $ a%!so de los sistemas
Sistemas de información (erencialSistemas de información (erencial3ap+t!lo 4 Protección de los sistemas de información3ap+t!lo 4 Protección de los sistemas de información
8/16/2019 Seguridad Del Sistema de Informacion
7/45
• V!lnera%ilidades de Internet
• (edes p)blicas est*n abiertas a todo el mundo
•!l tamaño de +nternet significa abusos que pueden tener unimpacto enorme
• Las direcciones +P fi#as constituyen un ob#etio fi#o para los
%ac&ers
• !l sericio telefónico basado en tecnología de +nternet -o+P.
es m*s ulnerable a la intercepción
• /orreos electrónicos, mensa#es instant*neos son ulnerables
a los soft'are maliciosos y la intercepción
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
8/45
• Retos de se(!ridad de los ser'icios inal,m%ricos
• Muc%as redes inal*mbricas de los %ogares y p)blicos no est*n
aseguradas mediante encriptación por lo que no son seguros
• Las L01s que emplean est*ndar 234$55 est*ndar pueden ser
f*cilmente penetradas
• Los identificadores de conjuntos de servicios (SSIDs)
identifican los puntos de acceso en una red 6i78i se difunden
m)ltiples eces
• 6!P Priacidad !quialente 0l*mbrica.: el primer est*ndar de
seguridad desarrollado por 6i78i no es muy efectio como punto
de acceso y todos los usuarios comparten la misma contraseña
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
9/45
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
10/45
8/16/2019 Seguridad Del Sistema de Informacion
11/45
• 3a%allo de Tro$a
• Programa de soft'are que aparenta ser benigno pero que %ace algo
distinto a lo esperado
• 1o se replica pero con frecuencia constituye una manera para que los
irus y otro código malicioso sean introducidos en un sistema decómputo
• Sp$0are
• Pequeños programas que se instalan subrepticiamente a sí mismos en
las computadoras para igilar las actiidades de naegación del usuario
en la 6eb y presentar publicidad
• Re(istradores de cla'es• (egistran cada tecleo ingresado en una computadora
• (oban n)meros seriales o contraseñas
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
12/45
• 9ac:er
• +ndiiduo que intenta obtener acceso no autorizado a un sistema
de cómputo
• 3i%er'andalismo
• 0lteración intencional, destrozo o incluso la destrucción de un
sitio 6eb o un sistema de información corporatia
• Spoofin(
• 9istorsión, por e#$: utilizando direcciones de correo falsas o
redireccionando %acia sitios 6eb falsos
• Sniffer-
• Programa de espiona#e que igila la información que ia#a a
traés de una red
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
13/45
• Ata!es de ne(ación del ser'icio 5DoS6-
• +nundación de red o de seridores 6eb con miles de solicitudes
de sericios falsas para que la red de#e de funcionar
• Ata!e distri%!ido de ne(ación del ser'icio 5DDoS6• tiliza cientos o incluso miles de computadoras para inundar y
agobiar la red desde numerosos puntos de lanzamiento
• Botnet 5red de ro%ots6
• /olección de P/s ;zombies< infectadas con soft'are maliciososin el conocimiento de sus propietarios y utilizados para lanzar
9dos o perpetrar otros crímenes
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
14/45
V!lnera%ilidad $ a%!so de los sistemas
Sistemas de información (erencialSistemas de información (erencial3ap+t!lo 4 Protección de los sistemas de información3ap+t!lo 4 Protección de los sistemas de información
8/16/2019 Seguridad Del Sistema de Informacion
15/45
• 8ea la sesión interacti'a $ desp!"s comente las si(!ientes
pre(!ntas-
• ;3!,l es el impacto de los %otnets en las empresas<• ;=!" factores de administración# or(anización $ tecnolo(+a de%en
a%ordarse en !n plan para pre'enir ata!es de %otnets<
• ;=!" tan sencillo ser+a para !na pe!e)a empresa com%atir ata!es
de %otnets< ;Para !na empresa (rande<
E1"rcitos de ro%ots $ zom%ies de red
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
16/45
• Delito inform,tico
• 8a comp!tadora como o%1eto de delito
• 0cceder a sistemas de cómputo sin autoridad
• -iolar la confidencialidad de los datos protegidos de las computadoras
• 8a comp!tadora como instr!mento para el delito
• (obo de secretos comerciales y copia sin autorización de soft'are o de
propiedad intelectual protegida por derec%os de autor
• so de correo electrónico para amenazar o acosar
• 8os tipos de delitos inform,ticos m,s per1!diciales desde elp!nto de 'ista económico
• Los ataques 9o= y irus
• !l robo de sericios y la alteración de los sistemas de cómputo
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
17/45
• Ro%o de identidad
• sar fracciones de información personal clae n)mero de
identificación del seguro social, n)meros de licencia de conducir o
n)mero de tar#eta de crédito. con el propósito de %acerse pasar por
alguien m*s$• P*is*in(
• !stablecimiento de sitios 6eb falsos o el enío de mensa#es de correo
electrónico seme#antes a los de las empresas auténticas para solicitar
a los usuarios datos personales confidenciales
• E'il t0ins• (edes inal*mbricas que fingen ofrecer cone"iones e intentan capturar
contraseñas o n)meros de tar#eta de crédito
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
18/45
• P*armin(
• (edirige a los usuarios a una p*gina 6eb falsa, a)n cuando éstos ingresen la
dirección correcta de la p*gina
• >ra!de inform,tico $ 8e$ de a%!so 5?@46
• !sta ley %ace ilegal el acceso a un sistema de cómputo sin autorización
• >ra!de del clic
• >curre cuando un indiiduo o un programa de computadora %ace clic de
manera fraudulenta en un anuncio en línea sin la intención de conocer m*s
sobre el anunciante o de realizar una compra
• 3i%erterrorismo $ ci%erarmamento:
• 0l menos einte países est*n desarrollando capacidades de ciberarmamento
ofensio y defensio
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
19/45
• Amenazas internas- empleados
• Los empleados de una empresa plantean serios problemas de
seguridad
• 0cceso a información priilegiada ?como los códigos de seguridad y
contraseñas• Pueden de#ar un pequeño rastro
• La falta de conocimiento de los usuarios: principal causa indiidual de
las brec%as de seguridad en las redes
• /ontraseñas alteradas
• +ngeniería social
• !rrores introducidos en los soft'are por:
• +ngreso de datos erróneos, mal uso del sistema
• !rrores al programar, diseño de sistema
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
20/45
• V!lnera%ilidad del soft0are
• !rrores de soft'are son una amenaza constante para los
sistemas de información
• /uestan @A,B33 millones de dólares anuales a la economía de!stados nidos
• 9an al mal'are la oportunidad de superar las defensas de los
antiirus
• Parc*es
• /reados por los endedores de soft'are para actualizar y
arreglar las ulnerabilidades
• =in embargo, mantener parc%es en todos los dispositios de la
empresa toma muc%o tiempo y es muy costoso
V!lnera%ilidad $ a%!so de los sistemas
8/16/2019 Seguridad Del Sistema de Informacion
21/45
• Valor del ne(ocio en relación con la se(!ridad $ el control
• Protección de información personal y corporatia confidencial
• -alor de los actios de información
• La brec%a de seguridad de las grandes empresas pierdeapro"imadamente 4$5 por ciento de su alor del mercado
• (esponsabilidad legal
• Administración de re(istros electrónicos 5ER26
• Políticas, procedimientos y %erramientas para mane#ar laconseración, destrucción y almacenamiento de registros
electrónicos
Valor del ne(ocio en relación con la se(!ridad $ el control
Sistemas de información (erencialSistemas de información (erencial3ap+t!lo 4 Protección de los sistemas de información3ap+t!lo 4 Protección de los sistemas de información
8/16/2019 Seguridad Del Sistema de Informacion
22/45
• Re!erimientos le(ales $ re(!latorios para la ER2
• 9IPAA
• (eglas y procedimientos sobre la seguridad y priacidad médicas
• 8e$ de 7ramm8eac*Blile$• (equiere que las instituciones financieras garanticen la seguridad
y confidencialidad de los datos de sus clientes
• 8e$ Sar%anesOCle$
• +mpone responsabilidad a las empresas y sus administraciones de
salaguardar la e"actitud e integridad de la información financieraque se mane#a de manera interna y que se emite al e"terior
Valor del ne(ocio en relación con la se(!ridad $ el control
8/16/2019 Seguridad Del Sistema de Informacion
23/45
• E'idencia electrónica $ cómp!to forense
• Coy en día, los #uicios se apoyan cada ez m*s en pruebas
en forma de datos digitales
• !l correo electrónico es el tipo m*s com)n de eidencia
electrónica
• Las cortes imponen a%ora multas financieras seeras e
incluso penas #udiciales por la destrucción inapropiada de
documentos electrónicos, anomalías en la generación deregistros y fallas en el almacenamiento adecuado de
registros
Valor del ne(ocio en relación con la se(!ridad $ el control
8/16/2019 Seguridad Del Sistema de Informacion
24/45
• 3ómp!to forense
• (ecopilación, e"amen, autenticación, preseración y
an*lisis de los datos contenidos o recuperados de los
medios de almacenamiento de una computadora enforma tal que la información se pueda utilizar como
prueba en un tribunal de #usticia
• !s necesario incluir una preisión sobre el cómputo
forense en el proceso de planeación de contingencias deuna empresa
Valor del ne(ocio en relación con la se(!ridad $ el control
8/16/2019 Seguridad Del Sistema de Informacion
25/45
8/16/2019 Seguridad Del Sistema de Informacion
26/45
Valor del ne(ocio en relación con la se(!ridad $ el control
8/16/2019 Seguridad Del Sistema de Informacion
27/45
• Pol+tica de se(!ridad
• !nunciados que clasifican los riesgos de seguridad, identifican los
ob#etios de seguridad aceptables y determinan los mecanismos
para alcanzar los ob#etios
• Director de se(!ridad 53SO6• !ncabeza la seguridad corporatia en empresa grandes
• (esponsable de aplicar la política de seguridad de la empresa
• 7r!po de se(!ridad
• +nstruye y capacita a los usuarios
• Mantiene a la administración al tanto de las amenazas y fallas de
seguridad
• Mantiene las %erramientas elegidas para implementar la seguridad
Tecnolo(+a $ *erramientas para la se(!ridad
8/16/2019 Seguridad Del Sistema de Informacion
28/45
8/16/2019 Seguridad Del Sistema de Informacion
29/45
Esta%lecimiento de !na estr!ct!ra para la se(!ridad $ el control
8/16/2019 Seguridad Del Sistema de Informacion
30/45
8/16/2019 Seguridad Del Sistema de Informacion
31/45
• Planeación para la rec!peración de desastres
• (estauración de los sericios de cómputo y comunicaciones después de
un temblor o inundación, etc$
• Pueden contratar compañías para la recuperación de desastres
• Planeación para la contin!idad del ne(ocio
• (estauración de las operaciones de negocios después de un desastre
• +dentifica los procesos de negocios críticos y determina los planes de
acción para mane#ar las funciones de misión crítica si se caen los
sistemas
• An,lisis de impacto en el ne(ocio
• +dentifica los sistemas m*s críticos para la empresa y el impacto que
tendría en el negocio
Tecnolo(+a $ *erramientas para la se(!ridad
8/16/2019 Seguridad Del Sistema de Informacion
32/45
• A!ditor+a
• A!ditor+a 2IS- e"amina el entorno de seguridad general de la
empresa así como los controles que rigen los sistemas de
información indiiduales
• A!ditor+a de se(!ridad- reisan tecnologías, procedimientos,
documentación, capacitación y personal
• A!ditor+as-
• !nlista y clasifica todas las debilidades de control
• /alcula la probabilidad de que sucedan
• !al)a el impacto financiero y organizacional de cada amenaza
Tecnolo(+a $ *erramientas para la se(!ridad
Si d i f ió i l
8/16/2019 Seguridad Del Sistema de Informacion
33/45
Sistemas de información (erencialSistemas de información (erencial3ap+t!lo 4 Protección de los sistemas de información3ap+t!lo 4 Protección de los sistemas de información
Esta%lecimiento de !na estr!ct!ra para la se(!ridad $ el control
8/16/2019 Seguridad Del Sistema de Informacion
34/45
• 3ontrol de acceso
• Políticas y procedimientos de que se ale una empresa para preenir el
acceso inapropiado a los sistemas por parte de usuarios internos y
e"ternos no autorizados
• Los usuarios deben de estar autorizados y autenticados
• A!tenticación-
• Por lo general establecidos por sistemas de contraseñas
• N!e'as tecnolo(+as de a!tenticación-
•Do&en
• Dar#eta inteligente
• 0utenticación biométrica
Tecnolo(+a $ *erramientas para la se(!ridad
8/16/2019 Seguridad Del Sistema de Informacion
35/45
• >ire0alls-
• /ombinación de %ard'are y soft'are que controla el flu#o del
tr*fico que entra y sale de una red
• Preiene accesos no autorizados
• Decnologías de rastreo
• 8iltrado de paquetes
• +nspección completa del estado
• Draducción de 9irecciones de (ed 10D.
• 8iltrado pro"y de aplicación
Tecnolo(+a $ *erramientas para la se(!ridad
8/16/2019 Seguridad Del Sistema de Informacion
36/45
Tecnolo(+a $ *erramientas para la se(!ridad
8/16/2019 Seguridad Del Sistema de Informacion
37/45
• Sistemas de detección de intr!siones-
• Cerramientas de igilancia de tiempo completo en tiempo real
• /olocados en los puntos m*s ulnerables de las redescorporatias para detectar y disuadir continuamente a los intrusos
• !l soft'are de escaneo busca patrones indicatios de métodos
conocidos de ataques a las computadoras, como contraseñas
erróneas, eliminación o modificación de arc%ios importantes y
enío de alertas de andalismo o errores de administración delsistema
Tecnolo(+a $ *erramientas para la se(!ridad
8/16/2019 Seguridad Del Sistema de Informacion
38/45
• Soft0are anti'ir!s $ antisp$0are
• Soft0are anti'ir!s-
• (eisa sistemas de cómputo y discos en busca de irus de
computadora• Para seguir siendo efectio, el soft'are antiirus debe
actualizarse continuamente
• 9erramientas de soft0are antisp$0are:
Los principales fabricantes de soft'are antiirus incluyen
protección contra spy'are
• Cerramientas de soft'are disponibles 0d70'are, =pybot.
Tecnolo(+a $ *erramientas para la se(!ridad
8/16/2019 Seguridad Del Sistema de Informacion
39/45
• Protección de redes inal,m%ricas
• /EP: proporciona un pequeño margen de seguridad si esta actio
• Tecnolo(+a VPN: puede ser utilizada por las corporaciones para
ayudar a la seguridad
• 8a especificación 4F&??i: incluye medidas de seguridad para las
L01s inal*mbricas
• (eemplaza las claes de encriptación est*ticas
•=eridor de autenticación central
• 0utenticación mutua
• La seguridad inal*mbrica debe ir acompañada de políticas y
procedimientos apropiados para el uso seguro de los dispositios
inal*mbricos
Tecnolo(+a $ *erramientas para la se(!ridad
Sistemas de información (erencialSistemas de información (erencial
8/16/2019 Seguridad Del Sistema de Informacion
40/45
• Lea la sesión interactia: administración y después comente las
siguientes preguntas:
• E9e qué manera se relacionan los dispositios inal*mbricos de los
e#ecutio de nileer con el desempeño de negocios de la empresaF
• 9ebata el impacto potencial de una ulneración de seguridad en nileer$
• EGué factores de administración, organización y tecnológicos se tuieron
que tomar en cuenta al desarrollar las políticas y los procedimientos de
seguridad para los dispositios inal*mbricos de nileerF
• E8ue una buena decisión permitir a los e#ecutios de nileer que
utilizaran Hlac&Herrys y teléfonos celularesF EPor qué sí o por qué noF
.nile'er prote(e s!s dispositi'os mó'iles
Tecnolo(+a $ *erramientas para la se(!ridad
Sistemas de información (erencialSistemas de información (erencial3ap+t!lo 4 Protección de los sistemas de información3ap+t!lo 4 Protección de los sistemas de información
Sistemas de información (erencialSistemas de información (erencial
8/16/2019 Seguridad Del Sistema de Informacion
41/45
• Encriptación-
• Dransforma te"to o datos comunes en te"to cifrado, utilizando una
clae de encriptación
• !l receptor tiene que desencriptar el mensa#e
• Dos m"todos para encriptar el tr,fico de red-
• El protocolo de 3apa de Protección Se(!ra 5SS86 GSe(!ridad
de la 3apa de Transporte 5T8S6
• !stablece una cone"ión segura entre dos computadoras
• El protocolo de Transferencia de 9iperteCto Se(!ro 5S9TTP6
• !ncripta mensa#es indiiduales
Tecnolo(+a $ *erramientas para la se(!ridad
Sistemas de información (erencialSistemas de información (erencial3ap+t!lo 4 Protección de los sistemas de información3ap+t!lo 4 Protección de los sistemas de información
8/16/2019 Seguridad Del Sistema de Informacion
42/45
• Dos m"todos de encriptación-
• Encriptación de cla'e sim"trica
• /ompartida, clae de encriptación )nica eniada al
receptor
• Encriptación de cla'e pH%lica
• tiliza dos claes, una compartida o p)blica y una
totalmente priada
• Para eniar y recibir mensa#es, los comunicadores
primero crean pares separados de claes priadas y
p)blicas
Tecnolo(+a $ *erramientas para la se(!ridad
8/16/2019 Seguridad Del Sistema de Informacion
43/45
Tecnolo(+a $ *erramientas para la se(!ridad
8/16/2019 Seguridad Del Sistema de Informacion
44/45
• >irma di(ital
• !ncripta mensa#es que sólo el emisor puede crear con su clae priada
• =e emplea para erificar el origen y el contenido de un mensa#e
•3ertificados di(itales• 0rc%ios de datos utilizados para establecer la identidad de usuarios y
actios electrónicos para la protección de las transacciones en línea
• (ecurre a un tercero confiable, conocido como autoridad de certificación
/0., para alidar la identidad de un usuario
• Infraestr!ct!ra de cla'e pH%lica 5PI6• so de la criptografía de clae p)blica que funciona con una autoridad de
certificación
Tecnolo(+a $ *erramientas para la se(!ridad
8/16/2019 Seguridad Del Sistema de Informacion
45/45
Tecnolo(+a $ *erramientas para la se(!ridad