Tema: Seguridad en los sistemas de información
Objetivos:
1. ¿Por qué son vulnerables los sistemas de información a la destrucción, el error y el abuso??
Entre más grande es la información que se guarda, más vulnerables y factibles son los sistemas corporativos que se encargan de almacenar estos
datos. La piratería informática se vale de las fallas de energía, inundaciones, incendios y otros problemas eléctricos que pueden dejar brechas en el
momento de acceder a la información.
Los datos se han convertido en una mina de oro, que se ha valido de la vulnerabilidad de internet para cometer robos de datos, de dinero y de esta
forma extraer información de carácter confidencial. Los hackers se ha convertido en piezas fundamentales que buscan los errores en la red, utilizan
virus, gusanos, caballos de troya y hasta spyware para acceder a las cuentas de usuarios y de empresas y de esta forma entrar sin autorización.
Con frecuencia tanto los hackers como los sistemas maliciosos copian identidades y continuamente buscan las fallas para acceder. El error de los
sistemas simplemente se ha convertido en una nueva modalidad, de robo, de crimen que es castigado con cárcel.
Las grandes compañías que tienen bases grandes de información son susceptibles a ataques, los datos son robados y sustraídos por grupos de
hacker terroristas. Lo mas difícil es que muchos de ellos no son detectados, se separan, se desaparecen un tiempo y hasta vuelven a unirse
nuevamente para continuar con su operación.
En resumen, los sistemas de información son vulnerables porque por mas inversión, barreras de control humanas y de software. Siempre en alguna
empresa se presentarán errores y siempre habrá personas que quieran acceder a robar información, el nuevo oro del siglo XXI.
2. ¿Cuál es el valor de negocios de la seguridad y el control?
Es totalmente necesario hoy en dia que las empresas inviertan en seguridad, porque la informacion de sus clientes es su activo mas importante.
Desde informacion de los impuestos, movimientos financieros de las personal naturales como también de las operaciones, activos, deudas e
inversiones de las compañías. Hasta secretos de estado y activos muy valiosos por proteger.
Es por esto que el control y la seguridad informática es un pilar fundamental a la hora de ver responsabilidades legales, ya que los litigios por
pérdida de la información se han convertido en pan de cada día. Los gobiernos han tomado cartas en el asunto y decidieron hacer e implementar
políticas regulatorias con el fin de proteger los intereses del pueblo y de la nación al mismo tiempo.
� Seguridad en los sistemas de información | Estructura informática en las empresas
Las necesidades y condiciones cambian constantemente, es por esto que hoy más que nunca los registros electrónicos se han convertido en piezas
fundamentales a la hora de responder sobre acciones legales. El análisis de la información electrónica es una fuente vital para preservar el estado
no solo de la información sino de las posibles acciones que determinan resultados.
3. ¿Cuáles son los componentes de un marco de trabajo organizacional para la seguridad y el control?
Las empresas deben establecer un conjunto de controles, tanto generales como de aplicación, para sus sistemas de información. Una evaluación del
riesgo se encarga de valorar los activos de información, identifica los puntos de control y las debilidades del control, como también determina el
conjunto de controles más efectivo en costo. Las firmas también deben desarrollar una política de seguridad corporativa coherente y planes para
continuar las operaciones de negocios en caso de desastre o interrupción. La política de seguridad implica políticas de uso aceptable y
administración de identidad.
4. ¿Cuáles son las herramientas y tecnologías más importantes para salvaguardar los recursos de información?
Los firewalls es una herramienta utilizada para evitar que los usuarios no autorizados accedan a una red privada cuando está enlazada a internet.
Los sistemas de detección de intrusos monitorean las redes privadas en busca de trafico de red sospechoso o de intentos de acceder sin
autorización a los sistemas corporativos, Se utilizan contraseñas, tokens, tarjetas inteligentes y autenticación biométrica para autenticar a los
usuarios de los sistemas. Los antivirus verifican que los sistemas computacionales no se infecten por virus y gusanos, y a menudo elimina el
software malicioso, mientras que el software antispyware combate los programas intrusos que pueden dañar o espiar nuestro computador. El
cifrado, la codificación y la encriptación de mensajes, es una tecnología muy utilizada para proteger las transmisiones electrónicas a través de
redes desprotegidas.
Análisis de los Temas
No. de Tema Principal Sub-temas Elementos claves
Objetivo
1 ¿Porque son tan Porque son tan vulnerables los sistemas Cuando se almacenan grandes cantidades de datos en
vulnerables los sistemas forma electrónica, son vulnerables a muchos más
1
� Seguridad en los sistemas de información | Estructura informática en las empresas
de información a la tipos de amenazas que cuando existían en forma
destrucción, el error y el Software malicioso: virus, gusanos, caballos manual. Los sistemas de información se interconectan
abuso? de troya y spyware en distintas ubicaciones a través de las redes de
comunicaciones. El potencial de acceso sin
autorización, abuso o fraude no se limita a una sola
Los hackers y lReos crímenes por
ubicación, sino que puede ocurrir en cualquier punto
computadoras
de acceso en la red. Se pueden derivar de los factores
técnicos, organizacionales y ambientales compuestos
por malas decisiones gerenciales.
Los sistemas fallan si el hardware de computadora se
Vulnerabilidad del software
descompone, no está configurado en forma apropiada
o se daña debido al uso inapropiado o actos delictivos.
Los errores en la programación, la instalación
inapropiada o los cambios no autorizados hacen que el
software de computadora falle. Las fallas de energía,
inundaciones, incendios u otros desastres naturales
también pueden perturbar los sistemas
computacionales. La asociación a nivel nacional o
internacional con otra compañía impone una mayor
vulnerabilidad si la información valiosa reside en
redes y computadoras fuera del control de la
organización. Sin un resguardo sólido, los datos
valiosos se podrían perder, destruir o hasta caer en
manos equivocadas y revelar importantes secretos
comerciales o información que viole la privacidad
personal.
2 Valor de negocios de la Requerimientos legales y regulatorios para la Las compañías tienen activos de información muy
seguridad y el control administración de registros electrónicos valiosos por proteger. A menudo los sistemas alojan
información confidencial sobre los impuestos de las
personas, los activos financieros, los registros
médicos y las revisiones del desempeño en el trabajo.
Evidencias electrónicas y análisis forenses de También pueden contener información sobre
sistemas operaciones corporativas; secretos de estado, planes
de desarrollo de nuevos productos y estrategias de
marketing. Los sistemas gubernamentales pueden
almacenar información sobre sistemas de armamento,
operaciones de inteligencia y objetivos militares.
Estos activos de información tienen un tremendo
valor, y las repercusiones pueden ser devastadoras si
2
� Seguridad en los sistemas de información | Estructura informática en las empresas
se pierden, destruyen o ponen en las manos
equivocadas.
3 Componente de un Los controles de los sistemas de información pueden
marco de trabajo Controles de los sistemas de informacion ser manuales y automatizados; consisten tanto de
organizacional para la controles generales como de aplicación. Los controles
seguridad y control Evaluación del riesgo generales gobiernan el diseño, la seguridad y el uso de
los programas de computadora, además de la
Arquitectura y gobernanza de Internet seguridad de los archivos de datos en general, a lo
Políticas de seguridad largo de toda la infraestructura de tecnología de la
información de la organización. En conjunto, los
controles generales se asignan a todas las aplicaciones
Planificación de recuperación de desastres y computarizadas y consisten en una combinación de
la planificación de la continuidad de negocios hardware, software y procedimientos manuales que
crean un entorno de control en general.
Los controles de aplicación son controles específicos
únicos para cada aplicación computarizada, como
La función de la auditoria nómina o procesamiento de pedidos. Implican
procedimientos tanto automatizados como manuales,
los cuales aseguran que la aplicación procese de una
forma completa y precisa sólo los datos autorizados.
Los controles de aplicación se pueden clasificar como
Administración de la identidad y la (1) controles de entrada, (2) controles de
autenticación procesamiento y (3) controles de salida.
Respuestas a las preguntas de las sesiones interactivas:
Sesión Interactiva: Administrativa
3
� Seguridad en los sistemas de información | Estructura informática en las empresas
TARGET SE CONVIERTE EN EL OBJETIVO DE UN ROBO DE DATOS MASIVO
1. Liste y describa las debilidades de seguridad y control en Target que se analizan en este caso.
Las debilidades y control de Target son:
- El equipo de seguridad de Target haya desactivado la función para eliminar el malware automáticamente al detectarlo para poder tener la
decisión final en cuanto a lo que se debería hacer.
- El equipo de seguridad de Target alegó que sabía sobre la actividad de los hackers, pero no era suficiente para garantizar un seguimiento
inmediato.
- El equipo de seguridad de Target ve muchas amenazas cada semana y puede enfocarse sólo en un número limitado de ellas en sus
reuniones mensuales del comité directivo.
- Target pudo haber ayudado a los hackers al proveer documentación interna detallada para los distribuidores en varias páginas Web de cara
al público que no requieren un inicio de sesión.
2. ¿Qué factores de administración, organización y tecnología contribuyeron a estos problemas? ¿Qué tan responsable era la gerencia?
La empresa cuenta con 300 miembros de seguridad de la información, una inversión de 1.6 millones de dólares en una plataforma de detección de
malware, un equipo de especialistas de seguridad que monitorea sus computadoras todo el día, y aunque el equipo no logro detener la fuga el
sistema tenía la opción de hacerlo, por lo que se cree que el equipo de seguridad de Target desactivo esa función para poder tener la decisión final
en cuanto a lo que se debería hacer, incluso el equipo sabia sobre la actividad de los hackers, por lo que se puede ver claramente que había una
mala administración y organización, porque a pesar de que el equipo ve muchas amenazas cada semana solo puede enfocarse en un número
limitado de ellas en sus reuniones mensuales de comité directivo, entonces podemos determinar que incluso la gerencia no estaba tan
comprometida con el manejo de problemas, por pequeños que fueran ellos tenían la responsabilidad de actuar rápidamente. En cuanto a la
organización, no desarrollo formas de detección de intrusos más eficientes mediante el monitoreo constante de las entradas y salidas de la red. En
lo tecnológico a pesar de tener una buena plataforma su sistema presentaba debilidades en cuanto a seguridad pues los intrusos lograron acceder.
3. ¿Cuál fue el impacto de las pérdidas de datos de Target sobre esta empresa y sus clientes?
El robo de datos a la empresa ocasiono una pérdida de confianza y credibilidad en la empresa. Los clientes atestaron las líneas telefónicas y el sitio
Web de la empresa, las ventas de Target cayeron 5.3% en el cuarto trimestre de 2013, en tanto que su rentabilidad bajó 46%. Se presentaron cerca
de 70 demandas legales contra Target, las empresas de tarjetas de crédito y los bancos habían reemplazado muchas de las tarjetas y cuentas de los
clientes a raíz de la infiltración, con un costo considerable. Tal vez Target tenga que pagar a las redes de tarjetas de crédito para cubrir parte de
4
� Seguridad en los sistemas de información | Estructura informática en las empresas
estas pérdidas y gastos por volver a emitir tarjetas, investigaciones gubernamentales y procedimientos de ejecución, lo que sin duda afectaría los
ingresos corporativos en 2014.
4. ¿Qué soluciones sugeriría para evitar estos problemas?
Implementar una seguridad de redes más sofisticada para salvaguardar los sistemas de pagos y los datos de sus clientes. La tecnología de listas
blancas que usa la empresa sólo permitirá que entre a sus sistemas el tráfico Web que haya identificado como inofensivo. Implementación de la
tecnología de tarjetas basada en chips y así incrementar la seguridad de sus tarjetas de crédito y de débito.
Sesión Interactiva: Tecnologia
BYOD: NO ES TAN SEGURO
1. Se dice que un teléfono inteligente es una computadora de mano. Analice las implicaciones de seguridad de esta afirmación.
Bring Your Own Device (Traiga su propio dispositivo, o BYOD) se ha convertido en una enorme tendencia, donde casi una tercera parte de los
empleados usan sus dispositivos personales en sus lugares de trabajo en todo el mundo. Se espera que esta cifra aumente todavía más en los años
por venir, actualmente estamos viviendo esto pues a raíz de la pandemia del Covid-19 muchas personas utilizan el teléfono inteligente para
acceder a diferentes plataformas y aplicaciones, resulta más fácil administrar y mantener que una computadora, podemos ver que más personas
usan sus teléfonos inteligentes ya sea por estudio, trabajo o para hacer negocios por internet. Muchos expertos creen que los teléfonos inteligentes
y otros dispositivos móviles representan ahora una de las más graves amenazas de seguridad para las organizaciones. Los datos confidenciales en
los dispositivos móviles viajan, tanto en forma física como electrónica, de la oficina al hogar y tal vez a otras ubicaciones fuera del sitio. Uno de
los mayores peligros de seguridad de los teléfonos inteligentes es que podrían perderse. Esto pone en riesgo todos los datos personales y
corporativos almacenados en el dispositivo, así como el acceso a los datos corporativos en servidores remotos. Hay muy poco que una empresa
pueda hacer para evitar que los empleados que tienen permitido usar sus teléfonos inteligentes descarguen datos corporativos para poder trabajar
en ellos en forma remota.
2. ¿Qué cuestiones de administración, organización y tecnología debe tratar la seguridad de los teléfonos inteligentes?
En la administración deben implementarse medidas de control de las actividades en cuanto a lo que ven los empleados para asegurar la integridad
de las operaciones internas de la empresa. En la organización debe estimularse un hábito de cuidado e instruir a los empleados sobre las
repercusiones que pueden traer principalmente que no afecte su productividad. En la tecnología debería implementarse aplicaciones y medidas de
seguridad en los teléfonos inteligentes para la protección de los datos en caso de pérdida borrando la información de forma remota o programada al
extraviarse el dispositivo esto si el móvil es dado por la empresa.
3. ¿Qué problemas causan las debilidades en la seguridad de los teléfonos inteligentes para las empresas?
5
� Seguridad en los sistemas de información | Estructura informática en las empresas
Las fallas de seguridad en los teléfonos inteligentes causan fugas de datos de las empresas comprometiendo las operaciones de la misma y las
informaciones confidenciales de sus clientes ocasionados graves daños a la marca y la imagen de la empresa
4. ¿Qué pasos pueden tomar los individuos y empresas para que sus teléfonos inteligentes sean más seguros?
Los empleados deberían tener precaución en la forma en la que manejan la información de la empresa, y cuando navegan en sitios web, usan
aplicaciones o llenan datos en línea, además las empresas deberían tener cierto tipo de control sobre las actividades de sus empleados en las redes
de la compañía y la forma en la que distribuyen su información, así como restringir ciertos sitios o al extraviarse el móvil.
