lunes, 2 de noviembre de 2015

CAPITULO 8 Seguridad en los sistemas de información

Cuando se almacenan grandes cantidades de datos en forma electrónica, son vulnerables a muchos más tipos de amenazas que cuando existían en forma manual.

Vulnerabilidad de Internet


Las redes públicas grandes, como internet, son más vulnerables que las internas, ya que están abiertas para casi cualquiera.

Software malicioso: virus, gusanos, caballos de Troya y spyware


Virus de computadora: es un programa de software malintencionado que se une a otros programas de software o archivos de datos para poder ejecutarse, por lo general sin el conocimiento o permiso del usuario.

Gusanos: programa de computadora independiente que se copian a sí mismos de una computadora a otras, a través de una red. Estos destruyen datos y programas; además pueden interrumpir e incluso detener la operación de las redes de computadoras.

Caballo de Troya: es un programa que parece ser benigno, pero entonces hace algo distinto de lo esperado.

Los hackers y los delitos computacionales


Hacker: es un individuo que intenta obtener acceso sin autorización a un sistema computacional.

Cibervandalismo: la interrupción, desfiguración o destrucción intencional de un sitio web o sistema de información corporativo.
Spoofing: puede implicar el hecho de redirigir un vínculo web a una dirección distinta de la que se tenía pensada, en donde el sitio se hace pasar por el destino esperado.

Sniffer (husmeador): es un tipo de programa espía que monitorea la información que viaja a través de una red.

Ataque de negación de servicio (DoS): los hackers inundan una red o web con muchos miles de comunicaciones o solicitudes de servicios falsas para hacer que la red falle.

Ataque de negación de servicio distribuida (DDoS): utiliza varias computadoras para saturar la red desde muchos puntos de lanzamiento.
Delitos por computadora:

Robo de Identidad


Robo de identidad: es un crimen en el que un impostor obtiene piezas clave de información personal, como números de identificación del seguro social, números de licencias de conducir o números de tarjetas de crédito para hacerse pasar por alguien más.

Phishing: implica el proceso de estables sitios web falsos o enviar tanto correo electrónico como mensajes de texto que parezcan a los de las empresas legítimas, para pedir a los usuarios datos personales.

Gemelos malvados: son redes inalámbricas que pretenden ofrecer conexiones Wi-Fi de confianza a internet, como las que se encuentran en las salas de los aeropuertos, hoteles o cafeterías.

Pharming: redirige a los usuarios a una página web falsa, aun y cuando el individuo escribe la dirección de la página web correcta en su navegador.

Fraude del clic: ocurre cuando un individuo o programa de computadora hace clic de manera fraudulenta en un anuncio en línea, sin intención de aprender más sobre anunciante o de realizar una compra.

 

8.2 Valor de negocios de la seguridad y el control


Requerimientos legales y regulatorios para la administración de registros digitales


HIPAA (Ley de responsabilidad y portabilidad de los seguros médicos): describe las reglas de seguridad y privacidad medica.

Ley Gramm-Leach-Bliley: requiere que las instituciones financieras garanticen la seguridad y confidencialidad de los datos de los clientes.

Ley Sarbanes-Oxley: diseñada para proteger a los inversionistas después de los escándalos financieros de Henron, WorldCom.

Evidencia electrónica y análisis forense de sistemas


El análisis forense se encarga de los siguientes problemas:

·      Recuperar datos de las computadoras y preservar al mismo tiempo la integridad evidenciar.
·      Almacenar y manejar con seguridad los datos electrónicos recuperados.
·      Encontrar información importante en un gran volumen de datos electrónicos.
·      Presentar la información a un juzgado.

8.3 Establecimiento de un marco de trabajo para la seguridad y el control


Controles de los sistemas de información


Controles generales: gobiernan el diseño, la seguridad y el uso de los programas de computadora, además de la seguridad de los archivos de datos en general, a lo larga de toda la infraestructura de tecnología de información de la organización.
Controles de aplicación: son controles específicos únicos para cada aplicación computarizada, como nómina o procesamiento de pedidos. Se clasifican como:

Controles de entrada: verificar la presión e integridad de los datos cuando entran al sistema.

Controles de procesamiento: establecen que los datos sean completos y precisos durante la actualización.

Controles de salida: aseguran que los resultados del procesamiento de computadora sean precisos, completos y se distribuyan de manera apropiada.

Evaluación de Riesgo


Determina el nivel de riesgo para la firma si no se controla una actividad o proceso específico de manera apropiada.

Política de Seguridad

Consiste en enunciados que clasifican los riesgos de información, identifican los objetivos de seguridad aceptables y también los mecanismos para lograr los objetivos.

Política de uso Aceptable (AUP)

Define los usos admisibles de los recursos de información y el equipo de cómputo de la firma, que incluye las computadoras laptop y de escritorio.

Administración de Identidad

Consiste en los procesos de negocios y las herramientas de software para identificar a los usuarios validos de un sistema, y para controlar su acceso a los recursos del mismo.

Planeación de recuperación de desastres y planificación de la continuidad de negocio


Planificación de recuperación de datos: idea planes para restaurar los servicios de cómputo y comunicaciones después de haberse interrumpido.

Planificación de continuidad de negocios: se enfoca en la forma en la que la compañía puede restaurar las operaciones de negocios después de que ocurre un desastre.

La función de la auditoria

Una auditoria de MIS examina el entorno de seguridad general de la firma, además de controlar el gobierno de los sistemas de información individuales.

8.4 Tecnologías y herramientas para proteger los recursos de información


Administración de la identidad y la autenticación


Autenticación: se refiere a la habilidad de saber que una persona es quien dice ser.
Token: es un dispositivo físico, similar a una tarjeta de identificación, que está diseñada para demostrar la identidad de un solo usuario.

Tarjeta inteligente: es un dispositivo de tamaño aproximado al de una tarjeta de crédito, que contiene un chip formateado con permisos de acceso y otros datos.

Autenticación biométrica: usa sistemas que leen e interpretan rasgos humanos individuales, como huellas digitales, el iris de los ojos y las voces, para poder otorgar o negar el acceso.

Firewalls, sistemas de detección de intrusos y software antivirus


Firewalls: evitan que los usuarios sin autorización accedan a redes privadas.
Sistema de detección de intrusos: contiene herramientas de monitoreo de tiempo completo que se colocan en los puntos más vulnerables de las redes corporativos, para detectar y evadir a los intrusos de manera continua.

Antivirus: está diseñado para revisar los sistemas computacionales y las unidades en busca de la presencia de virus de computadora.

Cifrado e infraestructura de clave publica


Cifrado: es el proceso de transformar texto o datos simples en texto cifrado que no pueda leer nadie más que el emisor y el receptor deseado.

Certificados digitales: son archivos de datos que se utilizan para establecer la identidad de los usuarios y los activos electrónicos para proteger las transacciones en línea.


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)