Capitulo-8 Actualizado

Management Information Systems
MANAGING THE DIGITAL FIRM, 12TH EDITION
Capítulo 8
SEGURIDAD EN LOS SISTEMAS DE
INFORMACIÓN
CASOS DE VIDEO
Caso 1: IBM Canal Zone Trusted Information (ZTIC)
Caso 2: Open ID y Seguridad Web
Instructional Video 1: La Búsqueda de la Identidad 2,0
Instructional Video 2: Identidad 2,0
CAPÍTULO 8: ASEGURAR LOS SISTEMAS DE INFORMACIÓN
Objetivos de Aprendizaje
• ¿Por qué son los sistemas de información

vulnerable a la destrucción, error, y el abuso?
• ¿Cuál es el valor de negocio de la seguridad y el
control?
• ¿Cuáles son los componentes de un marco
organizativo para la seguridad y el control?
• ¿Cuáles son las herramientas más importantes y
tecnologías para la protección de los recursos de
información?
2 © Prentice Hall 2011

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS
• Seguridad:
– Las políticas, los procedimientos y las medidas
técnicas utilizadas para impedir el acceso no
autorizado, alteración, robo o daño físico a los
sistemas de información
• Controles:
– Los métodos, políticas y procedimientos
organizativos que garanticen la seguridad de los
activos de la organización, la precisión y la fiabilidad
de sus registros contables, y la adhesión a las normas
de gestión operativa

• ¿Por qué sistemas son vulnerables
– Accesibilidad de las redes
– Problemas de hardware (averías, errores de
configuración, el daño por el uso inadecuado o la
delincuencia)
– Problemas de software (errores de programación, errores
de instalación, los cambios no autorizados)
– Desastres
– El uso de redes / ordenadores fuera del control de firma
– La pérdida y robo de los dispositivos portátiles


• Vulnerabilidades de Internet
– Red abierta a cualquier persona
– Tamaño de los abusos de los medios de Internet
pueden tener un impacto amplio
– El uso de direcciones de Internet fijas con módems
de cable o DSL crea hackers blancos fijos
– Sin cifrar VOIP
– E-mail, mensajería instantánea P2P,
• Interceptación
• Los datos adjuntos con software malicioso
• La transmisión de los secretos comerciales
• Malware (software malicioso)

– Virus
• Software que se adjunta a otros programas de software
o archivos de datos con el fin de ser ejecutado
– Gusanos
• Programas informáticos independientes que se copian
de un ordenador a otros ordenadores a través de una
red.
– Caballos de Troya
• Programa de software que parece ser benigno, pero
luego hace algo distinto de lo esperado.

• Malware (cont.)
– Ataques de inyección SQL
• Los hackers enviar datos a los formularios web que
explota software desprotegido sitio mediantes consulta
SQL a la base de datos
– Spyware
• Pequeños programas se instalan subrepticiamente en
las computadoras para monitorear la actividad del
usuario al navegar por Internet.
– Registradores de claves (keyloggers)
• Registra cada golpe de teclado en el ordenador para
robar números de serie, contraseñas, lanzar ataques de
Internet
• Los Hackers informáticos y los delitos

informáticos
– Hackers contra crackers
– Las actividades incluyen
• Sistema de intrusión
• Sistema de daños
• Cybervandalismo
–Interrupción intencional, deformación,
destrucción de sitio web o sistema de
12
información corporativo © Prentice Hall 2011

• Spoofing
– Uso de falsas direcciones de correo electrónico o
haciéndose pasar por otra persona
– Redirigir enlace Web para abordar diferentes a
pretendidas uno, con sitio disfrazado de destino
previsto
• Sniffer
– Espionaje programa que supervisa la información
que viaja por la red
– Permite a los hackers para robar información
privada, como los archivos de correo electrónico de
empresa, etc
• De denegación de servicio ataques (DoS)

– Inundaciones servidor con miles de solicitudes falsas
para que colapse la red.
• Distribuidos de denegación de servicio (DDoS)
– El uso de numerosas computadoras para lanzar un
ataque DoS
– Las redes de bots
• Las redes de ordenadores "zombis" infiltrada por el
malware bot
• En todo el mundo, 6 - 24 millones de computadoras
sirven como ordenadores zombi en miles de botnets

• Delitos Informáticos
– Se define como "cualquier violaciónes de la ley penal que
implican un conocimiento de la tecnología informática
para su perpetración, investigación o enjuiciamiento"
– Informáticas pueden ser blanco de la delincuencia, por
ejemplo:
• Violar la confidencialidad de los datos informáticos
protegidos
• Acceso a un sistema informático sin autorización
– Ordenador puede ser instrumento de la delincuencia, por
ejemplo:
• El robo de secretos comerciales
• El uso del correo electrónico en busca de amenazas o
15
acoso © Prentice Hall 2011

• El robo de identidad
– El robo de información personal (social identificador
de seguridad, licencia de conducir o tarjeta de
crédito) para hacerse pasar por otra persona
• Phishing
– La creación de sitios web falsos o el envío de
mensajes de correo electrónico que se parecen a las
empresas legítimas para pedir a los usuarios de los
datos personales confidenciales.
• Gemelos malvados
– Las redes inalámbricas que pretenden ofrecer
confianza Wi-Fi a Internet
• Pharming
– Redirige a los usuarios a una página web falsa,
incluso cuando los tipos individuales dirección
correcta página web en su navegador
• El fraude del clic
– Se produce cuando el programa de computadora
individual o de manera fraudulenta hace clic en
anuncios en línea sin ninguna intención de aprender
más sobre el anunciante o hacer una compra
• Ciberterrorismo y guerra cibernética
• Las amenazas internas: empleados

– Ingeniería social:
• Engañar a los empleados para que revelen sus
contraseñas haciéndose pasar por miembros legítimos
de la empresa en la necesidad de información
• Software vulnerabilidad
– El software comercial contiene defectos que crean
vulnerabilidades de seguridad
– Parches

8.2 Valor de negocios de la seguridad y el control

• Fracaso de los sistemas informáticos pueden llevar
a una pérdida significativa o total de la función
empresarial
• Las empresas ahora más vulnerables que nunca
– Confidenciales los datos personales y financieros
– Los secretos comerciales, nuevos productos,
estrategias
• Un fallo de seguridad puede cortar en el valor de
mercado de la empresa de forma casi inmediata
• Seguridad inadecuada y controles también traer
cuestiones de responsabilidad
Business Value de Seguridad y Control

• La evidencia electrónica
– La evidencia de crímenes de cuello blanco a menudo en
forma digital
• De datos en las computadoras, correo electrónico, mensajes
instantáneos, transacciones de comercio electrónico
– El control adecuado de los datos puede ahorrar tiempo y
dinero cuando se responde a una petición de
descubrimiento legal
• Análisis forense de sistemas:
– Colección científica, la exploración, la autenticación, la
preservación y análisis de datos de los soportes
informáticos para su uso como prueba en los tribunales
de derecho
– Incluye la recuperación de los datos ambientales y oculto
8.3 Establecimiento de un marco de trabajo para la seguridad y control
• Controles de los sistemas de información

– Los controles manuales y automatizados
– Generales y controles de aplicación
• Los controles generales
– Gobierno diseño, la seguridad y el uso de programas
informáticos y de seguridad de los archivos de datos
en general toda la infraestructura de tecnología de
información de la organización.
– Aplicar a todas las aplicaciones informáticas
– La combinación de hardware, software y manual de
procedimientos para crear un ambiente general de
control
• Tipos de controles generales

– Los controles de software
– Controles de hardware
– Explotación del control
– Controles de seguridad de datos
– Controles de aplicación
– Los controles administrativos


• Los controles de aplicación
– Los controles específicos únicos para cada aplicación
informática, tales como la nómina o el
procesamiento de pedidos
– Incluya ambos procedimientos automatizados y
manuales
– Asegúrese de que los datos sólo están autorizados
completa y precisa procesado por que la aplicación
– Incluyen:
• Los controles de entrada
• Controles de proceso
• Control de las salidas

• Evaluación de riesgos: Determina el nivel de riesgo
para la empresa si la actividad o proceso específico
no se controla adecuadamente
• Los tipos de amenaza
• Probabilidad de ocurrencia durante el año
• Las pérdidas potenciales, valor de la amenaza
• La pérdida esperada anual
PROBABILIDA PÉRDIDA DE RANGO Pérdida anual
EXPOSICIÓN D (AVG) esperada
Falla de 30% $ 5K - $ 200 mil ($ $ 30.750
energía 102.500)
Malversación 5% $ 1K - $ 50 mil ($ $ 1.275
25.500)
Error de 98% $ 200 - $ 40K ($ $ 19.698
usuario 20.100)
• Política de seguridad
– Rangos riesgos de la información, identifica las
metas aceptables de seguridad, e identifica
mecanismos para el logro de estos objetivos
– Unidades de otras políticas
• Política de uso aceptable (AUP)
– Define los usos aceptables de los recursos de información de
la empresa y el equipo de computación
• Políticas de identidad
– Determinar los diferentes niveles de acceso de los usuarios a
los activos de información


• Planificación de recuperación de desastres: Diseña
planes para la restauración de los servicios
interrumpidos
• Planificación de la continuidad: Se centra en el
restablecimiento de las operaciones de negocio
después de un desastre
– Ambos tipos de planes necesarios para identificar los
sistemas más críticos de empresa
– Negocios análisis de impacto para determinar el
impacto de una interrupción
– La gerencia debe determinar qué sistemas
restaurado por primera vez

• La función de la auditoría
– Examina el entorno general de seguridad de la empresa,
así como los controles que rigen los sistemas de
información individuales
– Revisa las tecnologías, procedimientos, documentación,
formación y personal.
– Puede incluso simular desastre para probar la respuesta
de la tecnología, es el personal, los otros empleados.
– Enumera y clasifica a todas las debilidades de control y
las estimaciones de la probabilidad de su ocurrencia.
– Evalúa el impacto financiero y organizativo de cada
amenaza

8.4 Tecnologías y herramientas para proteger los Recursos de Información
• Software de gestión de identidad

– Sistemas de contraseñas
– Fichas
– Las tarjetas inteligentes
– Autenticación biométrica
• Firewall:
– La combinación de hardware y software que evita
que los usuarios no autorizados accedan a redes
privadas

• Sistemas de detección de intrusos:

– Supervisar los puntos calientes en las redes corporativas
para detectar y disuadir a los intrusos
– Examina los acontecimientos a medida que ocurren para
descubrir ataques en progreso
• Antivirus y antispyware software:
– Comprueba las computadoras para detectar la presencia
de malware y, a menudo puede eliminar así
– Requiere actualización continua

• Asegurar las redes inalámbricas.

• Encriptación:
• Dos métodos de cifrado
– Cifrado de clave simétrica
• El remitente y el receptor utilizan clave única y compartida
– Cifrado de clave pública
• Utiliza dos claves de naturaleza matemática relacionadas: clave
pública y la clave privada
• Remitente cifra mensaje con la clave pública del destinatario
• Destinatario descifra con la clave privada

• Asegurar la disponibilidad del sistema

– Procesamiento de transacciones en línea requiere un 100% de disponibilidad,
sin tiempo de inactividad
• Sistemas tolerantes a fallos informáticos
– Para conocer la disponibilidad continua, por ejemplo, los mercados de valores
– Contener hardware redundante, software y componentes de suministro de
energía que crean un ambiente que ofrece un servicio continuo, sin
interrupciones
• Alta disponibilidad informática
– Ayuda a recuperarse rápidamente de accidente
– Reduce al mínimo, no elimina el tiempo de inactividad
• Computación orientada a la recuperación
– Diseñar sistemas que recuperan rápidamente con capacidades para ayudar a
los operadores detectar y corregir las fallas en sistemas multicomponentes


• Seguridad en la nube
– La responsabilidad de la seguridad recae en la empresa propietaria de
los datos
– Las empresas deben asegurarse de proveedores proporciona una
protección adecuada
– Acuerdos de nivel de servicio (SLA)
• Asegurando plataformas móviles
– Las políticas de seguridad deben incluir y cubrir cualquier requisito
especial para dispositivos móviles
• Por ejemplo actualización de los teléfonos inteligentes con los
parches de seguridad más recientes, etc

• Asegurar la calidad del software

– Métricas de software: evaluaciones objetivas de
sistema en forma de mediciones cuantificadas
• Número de transacciones
• Tiempo de respuesta en línea
• Cheques de nómina impreso por hora
• Bugs conocidos por cientos de líneas de código
– Las primeras pruebas y regular
– Tutorial: Revisión de especificación o documento de
diseño pequeño grupo de personas calificadas
– Depuración: Proceso mediante el cual se eliminan los
errores

Capitulo-8 Actualizado

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Capitulo-8 Actualizado

Enviado por

Direitos autorais:

Formatos disponíveis

Management Information Systems

MANAGING THE DIGITAL FIRM, 12TH EDITION

• ¿Por qué son los sistemas de información

2 © Prentice Hall 2011

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

5 © Prentice Hall 2011

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

• Malware (software malicioso)

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

• Los Hackers informáticos y los delitos

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

• De denegación de servicio ataques (DoS)

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

• Las amenazas internas: empleados

18 © Prentice Hall 2011

8.2 Valor de negocios de la seguridad y el control

Business Value de Seguridad y Control

8.3 Establecimiento de un marco de trabajo para la seguridad y control

• Controles de los sistemas de información

8.3 Establecimiento de un marco de trabajo para la seguridad y control

• Tipos de controles generales

25 © Prentice Hall 2011

8.3 Establecimiento de un marco de trabajo para la seguridad y control

8.3 Establecimiento de un marco de trabajo para la seguridad y control

8.3 Establecimiento de un marco de trabajo para la seguridad y control

28 © Prentice Hall 2011

8.3 Establecimiento de un marco de trabajo para la seguridad y control

8.3 Establecimiento de un marco de trabajo para la seguridad y control

32 © Prentice Hall 2011

8.4 Tecnologías y herramientas para proteger los Recursos de Información

• Software de gestión de identidad

34 © Prentice Hall 2011

8.4 Tecnologías y herramientas para proteger los Recursos de Información

• Sistemas de detección de intrusos:

37 © Prentice Hall 2011

8.4 Tecnologías y herramientas para proteger los Recursos de Información

• Asegurar las redes inalámbricas.

38 © Prentice Hall 2011

8.4 Tecnologías y herramientas para proteger los Recursos de Información

• Asegurar la disponibilidad del sistema

44 © Prentice Hall 2011

8.4 Tecnologías y herramientas para proteger los Recursos de Información

46 © Prentice Hall 2011

8.4 Tecnologías y herramientas para proteger los Recursos de Información

• Asegurar la calidad del software

Você também pode gostar