miércoles, 15 de julio de 2015

Resumen Capitulo 8

Capítulo 8 – Seguridad en los sistemas de información

¿Porque son vulnerables los sistemas?
Cuando se almacenan grandes cantidades de datos en forma electrónica, son vulnerables a muchos más tipos de amenazas que cuando existían en forma manual.


Vulnerabilidad de Internet

Las redes públicas grandes, como internet, son más vulnerables que las internas, ya que están abiertas para casi cualquiera.

Software malicioso: virus, gusanos, caballos de Troya y spyware
  • Virus de computadora: es un programa de software malintencionado que se une a otros programas de software o archivos de datos para poder ejecutarse, por lo general sin el conocimiento o permiso del usuario.
  • Gusanos: programa de computadora independiente que se copian a sí mismos de una computadora a otras, a través de una red. Estos destruyen datos y programas; además pueden interrumpir e incluso detener la operación de las redes de computadoras.
  • Caballo de Troya: es un programa que parece ser benigno, pero entonces hace algo distinto de lo esperado.



Los hackers y los delitos computacionales
  •  Hacker: es un individuo que intenta obtener acceso sin autorización a un sistema computacional.
  • Cibervandalismo: la interrupción, desfiguración o destrucción intencional de un sitio web o sistema de información corporativo.
  • Spoofing: puede implicar el hecho de redirigir un vínculo web a una dirección distinta de la que se tenía pensada, en donde el sitio se hace pasar por el destino esperado.
  • Sniffer (husmeador): es un tipo de programa espía que monitorea la información que viaja a través de una red.
  • Ataque de negación de servicio (DoS): los hackers inundan una red o web con muchos miles de comunicaciones o solicitudes de servicios falsas para hacer que la red falle.
  • Ataque de negación de servicio distribuida (DDoS): utiliza varias computadoras para saturar la red desde muchos puntos de lanzamiento.
  • Delitos por computadora:
   

    Robo de Identidad
  •     Robo de identidad: es un crimen en el que un impostor obtiene piezas clave de información personal, como números de identificación del seguro social, números de licencias de conducir o números de tarjetas de crédito para hacerse pasar por alguien más.
  •     Phishing: implica el proceso de estables sitios web falsos o enviar tanto correo electrónico como mensajes de texto que parezcan a los de las empresas legítimas, para pedir a los usuarios datos personales.
  •     Gemelos malvados: son redes inalámbricas que pretenden ofrecer conexiones Wi-Fi de confianza a internet, como las que se encuentran en las salas de los aeropuertos, hoteles o cafeterías.
  •     Pharming: redirige a los usuarios a una página web falsa, aun y cuando el individuo escribe la dirección de la página web correcta en su navegador.
  •     Fraude del clic: ocurre cuando un individuo o programa de computadora hace clic de manera fraudulenta en un anuncio en línea, sin intención de aprender más sobre anunciante o de realizar una compra.

8.2 Valor de negocios de la seguridad y el control

Requerimientos legales y regulatorios para la administración de registros digitales
  • HIPAA (Ley de responsabilidad y portabilidad de los seguros médicos): describe las reglas de seguridad y privacidad medica.
  • Ley Gramm-Leach-Bliley: requiere que las instituciones financieras garanticen la seguridad y confidencialidad de los datos de los clientes.
  • Ley Sarbanes-Oxley: diseñada para proteger a los inversionistas después de los escándalos financieros de Henron, WorldCom.



Evidencia electrónica y análisis forense de sistemas

El análisis forense se encarga de los siguientes problemas:
  • Recuperar datos de las computadoras y preservar al mismo tiempo la integridad evidenciar.
  • Almacenar y manejar con seguridad los datos electrónicos recuperados.
  • Encontrar información importante en un gran volumen de datos electrónicos.
  • Presentar la información a un juzgado.


8.3          Establecimiento de un marco de trabajo para la seguridad y el control

Controles de los sistemas de información
  • Controles generales: gobiernan el diseño, la seguridad y el uso de los programas de computadora, además de la seguridad de los archivos de datos en general, a lo larga de toda la infraestructura de tecnología de información de la organización.
  • Controles de aplicación: son controles específicos únicos para cada aplicación computarizada, como nómina o procesamiento de pedidos. Se clasifican como:

    1. Controles de entrada: verificar la presión e integridad de los datos cuando entran al sistema.
    2. Controles de procesamiento: establecen que los datos sean completos y precisos durante la actualización.
    3. Controles de salida: aseguran que los resultados del procesamiento de computadora sean precisos, completos y se distribuyan de manera apropiada.


Evaluación de Riesgo
Determina el nivel de riesgo para la firma si no se controla una actividad o proceso específico de manera apropiada.

Política de Seguridad
Consiste en enunciados que clasifican los riesgos de información, identifican los objetivos de seguridad aceptables y también los mecanismos para lograr los objetivos.

Política de uso Aceptable (AUP)
Define los usos admisibles de los recursos de información y el equipo de cómputo de la firma, que incluye las computadoras laptop y de escritorio.

Administración de Identidad
Consiste en los procesos de negocios y las herramientas de software para identificar a los usuarios validos de un sistema, y para controlar su acceso a los recursos del mismo.

Planeación de recuperación de desastres y planificación de la continuidad de negocios
  • Planificación de recuperación de datos: idea planes para restaurar los servicios de cómputo y comunicaciones después de haberse interrumpido.
  • Planificación de continuidad de negocios: se enfoca en la forma en la que la compañía puede restaurar las operaciones de negocios después de que ocurre un desastre.


La función de la auditoria
Una auditoria de MIS examina el entorno de seguridad general de la firma, además de controlar el gobierno de los sistemas de información individuales.

8.4 Tecnologías y herramientas para proteger los recursos de información

Administración de la identidad y la autenticación
  • Autenticación: se refiere a la habilidad de saber que una persona es quien dice ser.
  • Token: es un dispositivo físico, similar a una tarjeta de identificación, que está diseñada para demostrar la identidad de un solo usuario.
  • Tarjeta inteligente: es un dispositivo de tamaño aproximado al de una tarjeta de crédito, que contiene un chip formateado con permisos de acceso y otros datos.
  • Autenticación biométrica: usa sistemas que leen e interpretan rasgos humanos individuales, como huellas digitales, el iris de los ojos y las voces, para poder otorgar o negar el acceso.


Firewalls, sistemas de detección de intrusos y software antivirus
  • Firewalls: evitan que los usuarios sin autorización accedan a redes privadas.
  • Sistema de detección de intrusos: contiene herramientas de monitoreo de tiempo completo que se colocan en los puntos más vulnerables de las redes corporativos, para detectar y evadir a los intrusos de manera continua.
  • Antivirus: está diseñado para revisar los sistemas computacionales y las unidades en busca de la presencia de virus de computadora.


Cifrado e infraestructura de clave publica
  • Cifrado: es el proceso de transformar texto o datos simples en texto cifrado que no pueda leer nadie más que el emisor y el receptor deseado.
  • Certificados digitales: son archivos de datos que se utilizan para establecer la identidad de los usuarios y los activos electrónicos para proteger las transacciones en línea.


Aspectos de seguridad para la computación en la nube y la plataforma digital móvil
  • Seguridad en la nube: cuando un procesamiento se lleva a cabo en la nube, la rendicion de cuentas y la responsabilidad de proteger los datos confidenciales aun recae en la compañia que posee esos datos. Los usuarios tambien deberian de preguntar si los proveedores estarian dispuestos a someterse a auditorias y certificaciones de seguridad externas. Estos tipos de controles se pueden escribir en el acuerdo de nivel de servicio (SLA) antes de firmar con un proveedor en la nube.
  • Seguridad en las plataformas móviles: Los dispositivos moviles que acceden a los sistemas y datos corporativos requieren proteccion especial.
  • Aseguramiento de la calidad del software: ademas de implementar ana seguridad y controles efectivos, las organizaciones pueden mejorar la calidad y confiabilidad del sistema al emplear metrica de software y un proceso riguroso de prueba de software. La metrica de software consiste en las evaluaciones de los objetivos del sistema en forma de medidas cuantificadas.
Mapa Concepttual



Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)