seguridad en los sistemas de informacion

Vulnerabilidades de Internet
Redes publicas grandes, abiertas a cualquier persona.
Tamaño de los abusos de los medios de Internet pueden tener un amplio impacto.
El uso de direcciones fijas de Internet con módems de cable o DSL crea objetivos fijos para los hackers.
La mayoria del trafico de VoIP a traves de la red Internet publica no esta cifrada, por lo que cualquiera con una red puede escuchar las conversaciones.
E-mail, mensajería instantánea, P2P:
Intercepcion
Datos adjuntos con Software malicioso
Transmisión de los secretos comerciales

Encriptación:
Transforma texto o datos simples en texto cifrado que no puede leer nadie mas que el emisor y el receptor deseado.
Los dos métodos para cifrar el trafico de red en web son:
La capa de Sockets seguros (SSL) y su sucesor, seguridad de la capa de transporte.
El Protocolo de Transferencia de Hipertexto seguro (S-HTTP)

Sistema de Detención de Intrusos
Supervisar los puntos calientes en las redes corporativas para detectar y evadir a los intrusos de manera continua.
Software antivirus y antispyware
Revisa los sistemas computacionales para detectar la presencia de malware y, a menudo elimina el virus del área infectada.
Requiere de actualización continua.
Administración unificada de amenazas (UTM)
Sistemas de Gestión unificada de amenazas (UTM).

Firewalls
La combinación de hardware y software que evita que los usuarios no autorizados accedan a redes privadas.
Las tecnologías de filtrado de Firewall incluyen:
Filtrado de Paquetes estático
Traducción de Direcciones de Red (NAT)
Filtrado de Proxy de Aplicación

El fracaso de los sistemas informáticos pueden llevar a una pérdida significativa o total de la función empresarial.
Las empresas ahora son más vulnerables que nunca.
Datos confidenciales personales y datos financieros.
Los secretos comerciales, nuevos productos, estrategias.
Un fallo de seguridad puede cortar el valor de la empresa en el mercado de forma casi inmediata.
La seguridad y el control inadecuados también pueden dar lugar a serios problemas de responsabilidad legal

Está usted en facebook? Tenga cuidado!

*Facebook - red social mas grande del mundo.* problema -el robo de identidad. *ilustra : tipos. De ataques a la seguridad que enfrentan los consumidores

Requerimientos Legales y Regulatorios para la Administración de Registros Electrónicos
HIPAA: Ley de portabilidad y Responsabilidad de los Seguros Médicos.
Gramm-Leach-Bliley Act: Requiere que las Instituciones Financieras garanticen la seguridad y confidencialidad de los datos de los clientes.
Sarbanes-Oxley Act: Impone responsabilidad a las empresas y sus administraciones de salvaguardar la exactitud e integridad de la información financiera que se maneja de manera interna y que se emite al exterior.

Amenazas Internas: Los Empleados
Las amenazas de seguridad a menudo se originan en el interior de una organización.
Dentro de conocimientos
Procedimientos de seguridad poco rigurosos
Falta de conocimiento del usuario
Ingeniería Social (Social engineering):
Engañar a los empleados para que revelen sus contraseñas haciéndose pasar por miembros legítimos de la empresa en la necesidad de información

Vulnerabilidad del Software
El software comercial contiene defectos que no solo producen vulnerabilidades de desempeño y de seguridad.
Errores ocultos (defectos de código de programa)
Cero defectos no se puede lograr porque las pruebas completas no son posibles con programas grandes.
Los defectos pueden abrir las redes a los intrusos.
Parches (Patches)
Para corregir los defectos del software una vez que han sido identificados, el fabricante del software a creado pequeñas piezas para reparar defectos.
Sin embargo el Malware es creado con tanta rapidez que las empresas tienen muy poco tiempo para responder entre el momento en que se anuncia la existencia de una vulnerabilidad y el de su parche correspondiente

Objetivos de aprendizaje

Porque son los sistemas de informacion vulnerables a la destruccion, error ,y el abuso? *cual es el valor de negocio de la seguridad y el control? * cuales son los components de un marco organizativo para la seguridad y el control? *cuales son las herramientas mas importantes y tecnologias para la proteccion de los recursos de información.

Malware (software malicioso)
Virus (Viruses)
Programa de software malintencionado que se une a otros programas de software o archivos de datos para poder ejecutarse sin el conocimiento o permiso del usuario.
Gusanos (Worms)
Programas de computadora independientes que se copian a si mismos de una computadora a otras computadoras a través de una red.
Caballos de Troya (Trojan horses)
Programa de software que parece ser benigno, pero luego hace algo distinto de lo esperadol

Delitos por Computadora
Se define como: "cualquier violación de la ley penal que implique un conocimiento de la tecnología informática para su perpetración, investigación o enjuiciamiento“
La computadora puede ser objetivo de la delincuencia, por ejemplo:
Violar la confidencialidad de los datos informáticos protegidos.
Acceso a un sistema informático sin autorización.
La Computadora puede ser instrumento de la delincuencia, por ejemplo:
El robo de secretos comerciales.
El uso del correo electrónico en busca de amenazas o acoso

Desafios de Seguridad Inalambrica
Bandas de radiofrecuencia fáciles de escanear
SSID (identificadores de conjunto de servicios)
Identifican los puntos de acceso en una red Wi-Fi
Se transmiten varias veces y los programas husmeadores de los intrusos pueden detectarlos facilmente.
War driving
Los espias conducen cerca de edificios y tratan de detectar el acceso SSID y tienen acceso a redes y demás recursos.
WEP (Privacidad Equivalente al Cableado)
Seguridad estándar de 802.11, el uso es opcional
Utiliza la contraseña compartida tanto para usuarios como punto de acceso.
Los usuarios a menudo no implementan sistemas WEP y quedan desprotegidos.

Administración de Identidad
Consiste en los procesos de negocios y las herramientas de software para identificar a los usuarios validos de un sistema y para controlar el acceso a los recursos del mismo.
Identificar y autorizar a distintas categorías de usuarios del sistema.
Especificar los sistemas o partes de los mismos
Autenticar usuarios y proteger sus identidades.
Identidad de los sistemas de gestión
Captura las reglas de acceso para los diferentes niveles de usuarios

Planificación de Recuperación de Desastres
Idea planes para restaurar los servicios de computo y comunicaciones después de haberse interrumpido.
Planificación de Continuidad de Negocios
Se centra en el restablecimiento de las operaciones de negocios después de que ocurre un desastre.
Ambos tipos de planes son necesarios para identificar los sistemas más críticos de empresa.
La gerencia debe determinar la máxima cantidad de tiempo que puede sobrevivir la empresa con sus sistemas inactivos.
La gerencia debe determinar qué sistemas se deben restaurar primero.

Auditoria de MIS
Examina el entorno general de seguridad de la empresa, así como los controles que rigen los sistemas de información individuales.
Revisa las tecnologías, procedimientos, documentación, formación y el personal.
Puede incluso simular un ataque o desastre para evaluar la respuesta de la tecnología, el personal de sistemas de información y los empleados de la empresa.
Enumera y clasifica a todas las debilidades de control; además estima la probabilidad de su ocurrencia.
Evalúa el impacto financiero y organizacional de cada amenaza

Existen dos métodos alternativos de Cifrado:
Cifrado de Clave Simétrica
El emisor y el receptor utilizan clave de cifrado única y compartida.
Cifrado de Clave Publica
Utiliza dos claves de naturaleza matemática relacionadas: clave pública y la clave privada.
El emisor cifra un mensaje con la clave pública del receptor.
El receptor usa su propia clave privada para descifrarlo

Certificados Digitales:
Archivo de datos que se utilizan para establecer la identidad de los usuarios y los activos electrónicos para proteger las transacciones en línea.
Utiliza una tercera parte de confianza, conocida como autoridad de certificado (CA), para validar la identidad de un usuario.
CA verifica la identidad de un usuario del certificado digital desconectada de Internet, almacena la información en el servidor de CA, el cual genera un certificado digital cifrado que contiene la información del propietario de identidad y copia de la clave pública del propietario.
Infraestructura de Clave Publica (PKI)
El uso de criptografía de clave pública para trabajar con certificado de autoridad (CA).
Se utiliza mucho en el Comercio Electrónico.

Asegurar la Disponibilidad del Sistema
Procesamiento de transacciones en línea requiere un 100% de disponibilidad, sin tiempo de inactividad.
Sistemas de Computadora tolerantes a fallas
Para conocer la disponibilidad continua, por ejemplo, los mercados de valores.
Contiene componentes redundantes de hardware, software y suministro de energía que crean un entorno en donde se provee un servicio continuo, sin interrupciones.
Computación de Alta Disponibilidad
Ayuda a las firmas a recuperarse con rapidez de un desastre.
Reduce al mínimo, el tiempo de inactividad no eliminado.

Aseguramiento de la calidad del software
La métrica de software consiste en las evaluaciones de los objetivos del sistema en formas de medidas cuantificadas.
Numero de transacciones
Tiempo de respuesta en línea
Cantidad de cheques de nomina impresos en una hora
Numero de errores por cada 100 líneas de código de programa.
Regular las primeras pruebas del software
Recorrido: La revisión de una especificación o un documento de diseño realizada por un pequeño grupo de personas seleccionadas con sumo cuidado.
Depuración: Cuando se descubren errores y se encuentra el origen de los mismos estos son eliminados.

Vulnerabilidades de Internet
Redes publicas grandes, abiertas a cualquier persona.
Tamaño de los abusos de los medios de Internet pueden tener un amplio impacto.
El uso de direcciones fijas de Internet con módems de cable o DSL crea objetivos fijos para los hackers.
La mayoria del trafico de VoIP a traves de la red Internet publica no esta cifrada, por lo que cualquiera con una red puede escuchar las conversaciones.
E-mail, mensajería instantánea, P2P:
Intercepcion
Datos adjuntos con Software malicioso
Transmisión de los secretos comerciales

Seguridad en las Redes Inalámbricas
WEP ofrece cierto margen de seguridad si los usuarios de Wi-Fi recuerdan activarla para:
Asignar un nombre único a SSID de su red a instruir a su enrutador para que no lo transmita.
Si la utiliza con la tecnología de Redes Privadas Virtuales (VPN) para accesar datos corporativos.
La alianza Wi-Fi finalizó la especificación WAP2, en sustitución de WEP con estándares de seguridad mas solidos.
Usa claves mucho mas extensas que cambian de manera continua.
Emplea un sistema de autenticación cifrado con un servidor de autenticación central

Software de Administración de Identidad
Automatiza el proceso de llevar el registro de todos estos usuarios y sus privilegios de sistema.
Autenticación
Sistemas de Contraseñas
Token´s : Dispositivo físico similar a una tarjeta de identificación diseñado para demostrar la identidad de un solo usuario.
Tarjeta Inteligente: es una tarjeta microprocesador de las dimensiones de una tarjeta de crédito o más pequeña con varias propiedades especiales y es capaz de proveer servicios de seguridad
Autenticación Biométrica: nos estamos refiriendo simplemente a la verificación de una identidad por medio de la aplicación de técnicas tanto matemáticas como estadísticas sobre los rasgos o bien físicos o bien de conducta del individuo.
Ejemplo: Huellas Dactilares, iris del ojo, palma de la mano o patrones faciales

Malware (cont.)
Ataques de inyección SQL (SQL injection attacks)
Los hackers enviar datos a los formularios web que explota software desprotegido sitio y envía pícaro consulta SQL a la base de datos.
Spayware
Pequeños programas se instalan subrepticiamente en las computadoras para monitorear la actividad de navegación del usuario en la web y presentar publicidad
Key loggers (registradores de claves)
Registre cada golpe de teclado en el ordenador para robar números de serie, contraseñas, lanzar ataques de Internet, obtener acceso a cuentas de correo, obtener contraseñas a sistemas de computo protegidos como tarjetas de crédito

Evidencia Electrónica
Hoy en día, gran parte de la evidencia acerca de fraudes con acciones, abuso de confianza, robo de secretos comerciales a empresas, delitos informáticos y muchos casos civiles, se encuentran en forma digital.
Pruebas en formas de datos digitales almacenados en CD’s, Discos Duros de Computadoras, Correo electrónico, Mensajes Instantáneos y transacciones de comercio electrónico a través de Internet.
El control adecuado de los datos puede ahorrar tiempo y dinero cuando se responde a una petición de descubrimiento legal.
Informática Forense
Colección científica, la exploración, la autenticación, la preservación y análisis de datos de los soportes informáticos para su uso como prueba en los Tribunales de Justicia.
Incluye la recuperación de los datos del ambiente y datos ocultos.

Los sistemas de información controlan:
Los controles manuales y automatizados
Controles de aplicación y controles generales.
Los controles generales:
El Gobierno diseña, la seguridad y el uso de programas informáticos y de seguridad de los archivos de datos en general toda la infraestructura de tecnología de información de la organización.
Aplicar a todas las aplicaciones informáticas.
La combinación de hardware, software y manual de procedimientos para crear un ambiente general de control.

El robo de identidad (Identity theft)
El robo de información personal (Número de identificación del Seguro Social, licencia de conducir o tarjeta de crédito) para hacerse pasar por otra persona.
Phishing
La creación de sitios web falsos o el envío de mensajes de correo electrónico que se parecen a las empresas legítimas para pedir a los usuarios de los datos personales confidenciales.
Gemelos Malvados (Evil twins)
Las redes inalámbricas que pretenden ofrecer conexiones Wi-Fi de confianza a Internet, como las que se encuentran en las salas de los aeropuertos, hoteles o cafeterías.

vulnerabilidad y uso de los sistemas

Seguridad
Las políticas, procedimientos y las medidas técnicas utilizadas para impedir el acceso no autorizado, la alteración, el robo o el daño físico a los sistemas de información.
Controles
Los métodos, políticas y procedimientos organizacionales que refuerzan la seguridad de los activos de la organización; la precisión y confiabilidad de sus registros contables, y la adhesión operacional a los estándares gerenciales

¿Qué factores de administración, organización y tecnología fueron responsables de problema de software de McAfee?
¿Cuál fue el impacto de negocios de este problema de software, tanto para McAfee como para sus clientes?
Si usted fuera empleado empresarial de McAfee, ¿consideraría que la respuesta de la compañía al problema sea aceptable? ¿Por qué si o por qué no?
¿Qué debería hacer McAfee en el futuro para evitar problemas similares?

Ataque de Negación de Servicios (DoS Denial-of-service)
Los hackers inundan un servidor de red o de web con muchos miles de comunicaciones o solicitudes de servicios falsas para hacer que la red falle.
Ataque de Negacion de Servicios Distribuido (DDoS)
El uso de numerosas computadoras para lanzar un ataque DoS
Botnets ( Red de Robots)
Los autores de ataques DoS utilizan miles de PC’s “Zombies” infectadas con software malicioso sin el conocimiento de sus propietarios y organizadas en una Botnet.
En todo el mundo, 6 - 24 millones de computadoras sirven como ordenadores zombi en miles de botnets

Tipos de Control General:
Controles de Software
Controles de Hardware
Controles de Operaciones de Computadora
Controles de Seguridad de Datos
Controles de Implementación
Controles Administrativos

Controles de Aplicación
Son controles específicos únicos para cada aplicación computarizada, como nomina o procesamiento de pedidos.
Implica procedimientos tanto automatizados como manuales
Asegurarse que la aplicación procese de una forma completa y precisa solo los datos autorizados.
Incluyen:
Controles de entrada
Controles de Procesamiento
Controles de Salida

Evaluación del Riesgo: Determina el nivel de riesgo para la empresa si no se controla una actividad o proceso especifico de manera apropiado.
Tipos de Amenaza
Probabilidad de ocurrencia durante el año
Las pérdidas potenciales, valor de la amenaza
La pérdida esperada anua

Política de Seguridad
Riesgos de información, identifican los objetivos de seguridad aceptables y también los mecanismos para lograr estos objetivos.
Unidades de otras políticas
Política de uso aceptable (AUP)
Define los usos admisibles de los recursos de información y el equipo de computo de la firma.
Políticas de autorización
Determina los diferentes niveles de acceso de los usuarios a los activos de la información.

Computación Orientada a la Recuperación
Consiste en diseñar sistemas que se recuperen con rapidez, para ayudar a los operadores a señalar los orígenes de las fallas en los sistemas con muchos componentes.
Control del Trafico de Red
Inspección Profunda de Paquetes (DPI)
Bloqueo de películas y Música, esto evita que la red este lenta.
Subcontratación de la Seguridad (Outsourcing)
Proveedores de Servicios de Seguridad Administrados (MSSP)

Seguridad en la Nube
La rendición de cuentas y la responsabilidad para proteger los datos confidenciales aun recae en la compañía que posee esos datos.
Las empresas deben asegurarse que los proveedores proporciona una protección adecuada de los datos.
Los controles de deben de escribir en el Acuerdo de nivel de servicio (SLA) antes de firmar con el proveedor de la nube.
Seguridad en las Plataformas Móviles
Las políticas de seguridad deben de incluir y cubrir cualquier requisito especial para dispositivos móviles.
Por ejemplo: La actualización de los teléfonos inteligentes con los parches de seguridad más recientes y con software antivirus/antispam, etc.

¿Qué problemas de seguridad y Control se describen en este caso?
¿Qué factores de personas, organización y tecnología contribuyen a estos problemas?
Que tan segura es la computación en la nube? Explique su respuesta.
Si estuviera a cargo del departamento de sistemas de información de su compañía, ¿Qué aspectos desearía aclarar con sus posibles distribuidores?
¿Confiaría sus sistemas corporativos a un proveedor de computación en la Nube? ¿Por qué si o por que no?

Porque son Vulnerables los Sistemas
Accesibilidad de las redes.
Problemas de hardware (averías, errores de configuración, el daño por el uso inadecuado o la delincuencia).
Problemas de software (errores de programación, errores de instalación, los cambios no autorizados).
Desastres.
El uso de redes / ordenadores fuera del control de firma.
La pérdida y robo de los dispositivos portátiles

Spoofing
Falsificar uno mismo mediante el uso de falsas direcciones de correo electrónico o haciéndose pasar por otra persona.
Redirigir a los clientes a un sitio web falso que tiene una apariencia casi exactamente igual a la del sitio verdadero.
Sniffer
Tipo de programa espía que monitorea la información que viaja a través de una red.
Permite a los hackers para robar información privada, como los archivos de correo electrónico, archivos de la empresa e informes confidenciales.

Los Hackers y los Delitos Computacionales
Hackers vs. crackers
Un hacker es alguien que descubre las debilidades de una computadora o de una red informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado de computadoras y de redes informáticas.
El cracker, es considerado un "vandálico virtual". Este utiliza sus conocimientos para invadir sistemas, descifrar claves y contraseñas de programas y algoritmos de encriptación, ya sea para poder correr juegos sin un CD-ROM, o generar una clave de registro falsa para un determinado programa, robar datos personales, o cometer otros ilícitos informáticos.
Las actividades incluyen:
Sistema de Intrusión
Sistema de Daños
Cibervandalismo
La interrupción, desfiguración o destrucción intencional de un sitio web o sistema de información corporativo.