UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS

FACULTAD DE CIENCIAS ECONÓMICAS, ADMINISTRATIVAS Y CONTABLES

POSTGRADO DE LA FACULTAD DE CIENCIAS ECONÓMICAS

CLASE: MGI 103 Sistemas de Información

CATEDRÁTICA: Diana Cárcamo

INTEGRANTES DEL GRUPO:

Merquiades Betanco
Ela Bonilla
Ibis Zavala
Elvin Flores
Seguridad en los sistemas
de Información
¿POR QUÉ SON VULNERABLES LOS SISTEMAS
DE INFORMACIÓN A LA DESTRUCCIÓN,
EL ERROR Y EL ABUSO?

• La seguridad se refiere a las políticas,

procedimientos y medidas técnicas que se
utilizan para evitar el acceso sin autorización, la
alteración, el robo o el daño físico, a los
sistemas de información.

• Los controles son métodos, políticas y

procedimientos organizacionales que garantizan
la seguridad de los activos de la organización;
la precisión y confiabilidad de sus registros y la
integración operacional a los estándares
gerenciales.
 • Los sistemas de información se
• Los sistemas de en
interconectan información se
distintas
interconectan
ubicaciones en distintasde
a través ubicaciones
las redesa
través de las redes de comunicaciones.
de comunicaciones. El potencial
El potencial de acceso sin autorización,
de acceso sin autorización, abuso
abuso o fraude no se limita a una sola
o fraude no
ubicación, sino se
quelimita
puedea ocurrir
una solaen
ubicación, sino que puede ocurrir
cualquier punto de acceso en la red.
en cualquier punto de acceso en la
• la popularidad de los teléfonos celulares
red.
hace que sea fácil de perder o robar
• la popularidad de los teléfonos
información
celulares hace que sea fácil de
• Es posible
perder que información.
o robar los intrusos tengan
acceso a las
• Es posible que los intrusos tengan
• redes corporativas internas a través de
acceso a las redes corporativas
estos dispositivos
POR QUÉ SON VULNERABLES internas a través de estos
dispositivos.

LOS SISTEMAS
Vulnerabilidades de
Internet
• Las redes públicas grandes, como Internet, son
más vulnerables que las redes internas, ya que
están abiertas prácticamente para cualquier
persona.
• El correo electrónico puede contener adjuntos
que sirven como trampolines para el software
malicioso o el acceso sin autorización a los
sistemas corporativos internos
• Redes P2P se pueden transmitir e interceptar
archivos así como se comparte piratería
ejemplo Torrent
Desafíos de seguridad
inalámbrica
• ¿Es seguro iniciar sesión en una red inalámbrica
en un aeropuerto, biblioteca u otra ubicación
pública?
• Gusanos programas independientes de
computadora que se copian a sí mismos de una
computadora a otras computadoras a través de
una red.
• Un caballo de Troya es un programa de software
que parece ser benigno, pero luego hace algo
distinto de lo esperado
• Los ataques de inyección de SQL aprovechan las
vulnerabilidades en el software de aplicación Web mal
codificado, para introducir código de programa
malicioso en los sistemas y redes de una compañía.

• El ransomware trata de extorsionar con dinero a los

usuarios, al tomar el control de sus computadoras o
mostrar mensajes emergentes molestos
• spyware estos pequeños programas se instalan a sí
mismos de manera furtiva en las computadoras para
monitorear la actividad de navegación Web de los
usuarios y mostrarles anuncios.

• Los keyloggers registran cada pulsación de tecla en

una computadora para obtener acceso a cuentas de
correo electrónico, conseguir contraseñas para los
sistemas protegidos o descubrir información personal
como los números de tarjetas de crédito o de cuentas
bancarias.
 LOS HACKERS Y LOS CRÍMENES
POR COMPUTADORA
• Un hacker es un individuo que intenta obtener acceso
sin autorización a un sistema computacional.
• El spoofing redirige un vínculo Web a una dirección
distinta de la propuesta, donde el sitio se hace pasar
por el destino esperado.
• sniffer es un tipo de programa espía que monitorea la
información que viaja a través de una red.
 LOS HACKERS Y LOS CRÍMENES
POR COMPUTADORA
• ataque de negación de servicio (DoS) inunda un
servidor de red o de Web con muchos miles de
comunicaciones o solicitudes de servicios falsas para
hacer que la red falle.
• botnet. Se crean infectar las computadoras de otras
personas con malware de bot que abre una puerta
trasera por la cual un atacante puede dar
instrucciones.
Crimen por
computadora
• El delito por computadora se define en el
Departamento de justicia de Estados Unidos
como “cualquier violación a la ley criminal
que involucra el conocimiento de una
tecnología de computadora para su
perpetración, investigación o acusación”
 • El robo de identidad es un crimen
en el que un impostor obtiene
piezas clave de información
personal, como números de
identificación del seguro social,
números de licencia de conducir
o números de tarjetas de crédito,
para hacerse pasar por alguien
más.

• phishing, la cual implica el

proceso de establecer sitios Web
falsos o enviar mensajes de
correo electrónico que se
parezcan a los de las empresas
legítimas, para pedir datos

Robo de Identidad personales a los usuarios.

 Amenazas globales: ciberterrorismo y guerra
informática:
• La naturaleza global de Internet hace posible que los
cibercriminales operen (y hagan daño) en cualquier
parte del mundo. Las vulnerabilidades de Internet
también hacen de los individuos (e incluso estados-
nación enteros) blancos fáciles para los ataques
piratas con motivos políticos, para realizar sabotaje y
espionaje. La guerra informática es una actividad
patrocinada por el estado, diseñada para paralizar y
vencer a otro estado o nación al penetrar en sus
computadoras o redes con el fin de provocar daños y
perturbación.
 AMENAZAS INTERNAS: LOS EMPLEADOS:
Los empleados tienen acceso a información privilegiada, y al haber procedimientos de
seguridad interna descuidados, son capaces de vagar por los sistemas de una
organización sin dejar rastro. Algunas veces los intrusos maliciosos que buscan acceder al
sistema engañan a los empleados para que revelen sus contraseñas al pretender ser
miembros legítimos de la compañía que necesitan información.

A esta práctica se le denomina ingeniería social.

 VULNERABILIDAD DEL SOFTWARE
Las fallas en el software comercial no sólo impiden el desempeño, sino
que también crean vulnerabilidades de seguridad que abren las redes
a los intrusos. Cada año las empresas de seguridad identifican
miles de vulnerabilidades en el software de Internet y PC.

Para corregir las fallas en el software una vez identificadas,

el distribuidor del software crea pequeñas piezas de software
llamadas parches para reparar las fallas sin alterar la operación
apropiada del software.
 ¿CUÁL ES EL VALOR DE NEGOCIOS
DE LA SEGURIDAD Y EL CONTROL?
Un control y seguridad inadecuados pueden provocar una responsabilidad legal grave.
Los negocios deben proteger no sólo sus propios activos de información, sino también los
de sus clientes, empleados y socios de negocios.

REQUERIMIENTOS LEGALES Y REGULATORIOS PARA LA

ADMINISTRACIÓN DE REGISTROS ELECTRÓNICOS

 Si usted trabaja en la industria de servicios médicos, su empresa tendrá que cumplir

con la Ley de responsabilidad y portabilidad de los seguros médicos (HIPA A) de
1996.
 Si usted trabaja en una empresa que proporciona servicios financieros, su empresa
tendrá que cumplir con la Ley de modernización de servicios financieros de 1999,
mejor conocida como Ley Gramm-Leach-Bliley en honor de sus patrocinadores
congresistas.

 Si usted trabaja en una compañía que cotiza en la bolsa, su compañía tendrá que
cumplir con la Ley de reforma de contabilidad pública de compañías y protección al
inversionista de 2002, mejor conocida como Ley Sarbanes-Oxley en honor a sus
patrocinadores, el senador Paul Sarbanes de Maryland y el representante Michael
Oxley de Ohio.
 EVIDENCIA ELECTRÓNICA Y ANÁLISIS FORENSE
DE SISTEMAS
Una política efectiva de retención de documentos
electrónicos asegura que los documentos electrónicos,
el correo electrónico y otros registros estén bien
organizados, sean accesibles y no se retengan demasiado
tiempo ni se descarten demasiado pronto.

También refleja una conciencia en cuanto a cómo preservar la

potencial evidencia para el análisis forense de sistemas, que es el
proceso de recolectar, examinar, autenticar, preservar y analizar
científicamente los datos retenidos o recuperados de medios de
almacenamiento de computadora, de tal forma que la información se
pueda utilizar como evidencia en un juzgado.
El análisis forense de sistemas se encarga de los siguientes
problemas:

 Recuperar datos de las computadoras y preservar al mismo

tiempo la integridad evidencial.

 Almacenar y manejar con seguridad los datos electrónicos

recuperados.

 Encontrar información importante en un gran volumen de

datos electrónicos.

 Presentar la información a un juzgado.

¿CUÁLES SON LOS COMPONENTES DE UN MARCO DE TRABAJO
ORGANIZACIONAL PARA LA SEGURIDAD Y EL CONTROL?
Aun con las mejores herramientas de seguridad,
sus sistemas de información no serán confiables
y seguros a menos que sepa cómo y dónde
implementarlos. Necesitará saber dónde está su
compañía en riesgo y qué controles debe
establecer para proteger sus sistemas de
información. También tendrá que desarrollar una
política de seguridad y planes para mantener su
empresa en operación, en caso de que sus
sistemas de información no estén funcionando.
CONTROLES DE LOS SISTEMAS DE INFORMACIÓN

Los controles de los sistemas de información

pueden ser manuales y automatizados;
consisten tanto en controles generales como de
aplicación.

Los controles generales gobiernan el diseño, la

seguridad y el uso de los programas de
computadora, además de la seguridad de los
archivos de datos en general, a lo largo de toda la
infraestructura de tecnología de la información de la
organización.
Los controles de aplicación son controles
específicos únicos para cada aplicación
computarizada, como nómina o procesamiento de
pedidos.
Implican procedimientos tanto automatizados como
manuales, los cuales aseguran que la aplicación
procese de una forma completa y precisa
únicamente los datos autorizados.
 EVALUACIÓN DEL RIESGO
Antes de que su compañía consigne recursos a
los controles de seguridad y sistemas de
información, debe saber qué activos requieren
protección y el grado de vulnerabilidad de éstos.
Una evaluación del riesgo ayuda a responder estas
preguntas y a determinar el conjunto más eficiente
de controles para proteger activos.

Una vez que se hayan evaluado los riesgos, los desarrolladores del
sistema se concentrarán en los puntos de control con la mayor
vulnerabilidad y potencial de pérdida. En este caso, los controles se
deberían enfocar en las formas para minimizar el riesgo de fallas de
energía eléctrica y errores de los usuarios, ya que las pérdidas anuales
anticipadas son mayores en estas áreas.
 POLÍTICA DE SEGURIDAD
Una vez que identifique los principales riesgos para sus sistemas, su
compañía tendrá que desarrollar una política de seguridad para
proteger sus activos. Una política de seguridad consta de
enunciados que clasifican los riesgos de información, identifican los
objetivos de seguridad aceptables e incluso los mecanismos para
lograr estos objetivos. ¿Cuáles son los activos de información más
importantes de la empresa? ¿Quién genera y controla esa
información en la empresa? ¿Cuáles son las políticas de seguridad
que se implementan para proteger esa información? ¿Qué nivel de
riesgo está dispuesta la gerencia a aceptar para cada uno de estos
activos? ¿Acaso está dispuesta, por ejemplo, a perder los datos
crediticios de sus clientes una vez cada 10 años? ¿O creará un
sistema de seguridad para datos de tarjetas de crédito que pueda
soportar al desastre una vez cada cien años? La gerencia debe
estimar qué tanto costará lograr este nivel de riesgo aceptable.
 PLANIFICACIÓN DE RECUPERACIÓN DE DESASTRES
PLANIFICACIÓN DE LA CONTINUIDAD DE NEGOCIOS

Si usted opera una empresa, necesita planificar los

eventos, como cortes en el suministro eléctrico,
inundaciones, terremotos o ataques terroristas que evitarán
que sus sistemas de información y su empresa puedan
operar. La planificación de recuperación de desastres idea
planes para restaurar los servicios de cómputo y
comunicaciones después de haberse interrumpido. El
principal enfoque de los planes de recuperación de
desastres es en los aspectos técnicos involucrados en
mantener los sistemas en funcionamiento, tales como qué
archivos respaldar y el mantenimiento de los sistemas de
cómputo de respaldo o los servicios de recuperación de
desastres.
 LA FUNCIÓN DE LA AUDITORÍA

Cómo sabe la gerencia que la seguridad y los controles de

los sistemas de información son efectivos? Para responder
a esta pregunta, las organizaciones deben llevar a cabo
auditorías exhaustivas y sistemáticas. Una auditoría de
sistemas de información examina el entorno de seguridad
general de la firma, además de controlar el gobierno de los
sistemas de información individuales.
HERRAMIENTAS Y TECNOLOGÍAS MÁS IMPORTANTES
PARA SALVAGUARDAR LOS RECURSOS DE
INFORMACIÓN
 ADMINISTRACIÓN DE LA IDENTIDAD Y LA
AUTENTICACIÓN

Para obtener acceso a un sistema, es necesario que el usuario tenga

autorización y esté autenticado. La autenticación se refiere a la
habilidad de saber que una persona es quien dice ser. La forma más
común de establecer la autenticación es mediante el uso de
contraseñas que sólo conocen los usuarios autorizados. Un usuario
final utiliza una contraseña para iniciar sesión en un sistema
computacional y también puede usar contraseñas para acceder a
sistemas y archivos específicos. Sin embargo, es común que los
usuarios olviden las contraseñas, las compartan o elijan contraseñas
inadecuadas que sean fáciles de adivinar, lo cual compromete la
seguridad.
 FIREWALLS

Para crear un buen firewall, un administrador debe mantener

reglas internas detalladas que identifiquen a las personas,
aplicaciones o direcciones que se permiten o rechazan. Los
firewalls pueden impedir, pero no prevenir por completo, que
usuarios externos penetren la red, por lo cual se deben tener
en cuenta como un elemento en un plan de seguridad total.
 CIFRADO E INFRAESTRUCTURA DE CLAVE PÚBLICA

El cifrado es el proceso de transformar texto o datos simples

en texto cifrado que no pueda leer nadie más que el emisor y
el receptor deseado. Para cifrar los datos se utiliza un código
numérico secreto, conocido como clave de cifrado, que
transforma los datos simples en texto cifrado. El receptor debe
descifrar el mensaje.