DN-0102: Aplicaciones Ofimáticas para la Toma de Decisiones
Agenda • Vulnerabilidades de los SI – Software malicioso – Ciber crímenes – Amenazas internas • Marcos de seguridad y control • Protección de recursos Vulnerabilidades de los SI • Una amenaza puede definirse como toda ocurrencia potencial, sea maliciosa o no, que pueda tener un efecto indeseable en el individuo amenazado. • Toda amenaza está relacionada con una o varias vulnerabilidades, que son las que potencian que el ataque se concrete. “Hacia la Sociedad de la Información y el Conocimiento”, Roberto Lemaítre, 2012. Vulnerabilidades de los SI • Se entiende como seguridad de TI al conjunto de políticas, procedimientos y medidas técnicas que se utilizan para evitar el acceso sin autorización, la alteración, el robo o daño físico a los sistemas de información. • Los controles de seguridad son los métodos, políticas y procedimientos organizacionales que garantizan la seguridad de los activos, la precisión y confiabilidad de la información así como la integración operacional a los estándares gerenciales. Vulnerabilidades de los SI • Cada componente de una arquitectura tecnológica presenta diversos desafíos y vulnerabilidades: Vulnerabilidades de los SI • Software malicioso o malware: – Virus: segmentos de código ejecutable que se unen a otros programas o archivos de datos para poder ejecutarse y que tienen la capacidad de reproducirse ya que son códigos residentes en la memoria. – Gusanos: programas independientes que se copian a sí mismos de una computadora a otra a través de una red. – Caballos de Troya: programas que entran en una computadora disfrazados de un programa legítimo pero que realizan actividades adicionales a las previstas por el usuario. Vulnerabilidades de los SI • Software malicioso o malware (cont.): – Ataques por inyección de SQL: usan las vulnerabilidades en el software de aplicación Web para introducir código malicioso en los sistemas y redes organizacionales. – Ransomware: programas que permiten al atacante tomar el control de las computadoras o sistemas, con lo que se extorsiona a los usuarios. – Spyware: se autoinstalan en forma furtiva y monitorean las actividades del usuario para luego enviarlas al atacante. Se usa mucho para recopilar perfiles de clientes. Vulnerabilidades de los SI • Cibercrímenes o crímenes informáticos: – Son acciones delictivas realizadas mediante el uso de medios informáticos. Hay dos criterios para clasificarlos: • Como instrumento o medio: cuando las conductas criminales se valen de las computadoras como método, medio o símbolo en la realización del ilícito. • Como fin u objetivo: enmarca las conductas criminales dirigidas contra equipo informático o software siendo que el autor obtiene un beneficio perjudicando a un tercero. Vulnerabilidades de los SI • Cibercrímenes o crímenes informáticos (cont): – Participan dos actores: • Sujeto activo: es el perpetrador del crimen llamado comúnmente cracker o hacker (el hacker solo intenta obtener acceso sin autorización a un sistema computacional; el cracker tiene intenciones criminales). • Sujeto pasivo: persona o entidad sobre la que recae la conducta realizada por el sujeto activo. – Se conoce como cibervandalismo a la interrupción, desfiguración o destrucción intencional de un sitio Web o sistema de información corporativo. Vulnerabilidades de los SI • Cibercrímenes o crímenes informáticos (cont): – Spoofing: los hackers ocultan sus identidades mediante direcciones o redireccionamientos falsos. – Sniffing: programas que monitorean la información que viaja a través de la red; su uso legítimo es para identificar puntos problemáticos en las redes. – Ataques de negación de servicio (DoS): inundación de los servidores con comunicaciones o solicitudes de servicio falsas que provocan fallas en la red. También existe un enfoque distribuido (DDoS). Vulnerabilidades de los SI • Cibercrímenes o crímenes informáticos (cont): – Robo de identidad: mediante tácticas como phishing, gemelos malvados o pharming, los hackers obtienen ciertas claves de información personal que les permite hacerse pasar por otra persona. – Fraude del clic: cuando un individuo o programa hace clic de manera fraudulenta en un anuncio en línea, sin intención de aprender más sobre el anunciante sino para debilitar a la competencia debido a los costos que debe asumir la empresa por el redireccionamiento a sus productos. Vulnerabilidades de los SI • Cibercrímenes o crímenes informáticos (cont): – Ciberterrorismo: consiste en realizar ataques cibernéticos con motivos políticos o para realizar sabotaje y espionaje: • Incluye la guerra informática, patrocinada por estados para paralizar y vencer a otros estados o naciones; • Muchas organizaciones internacionales han diseñado documentos para apoyar los marcos legislativos globales aunando esfuerzos contra el ciberterrorismo, tales como la UIT con el “ITU Toolkit for Cybercrime Legislation” y la OEA con la “Estrategia Comprehensiva Interamericana para la Ciberseguridad”. Vulnerabilidades de los SI • Amenazas internas: – Trabajadores internos: • Su falta de conocimiento en cuanto a vulnerabilidad y seguridad es la principal causa de fugas de información; • A veces son engañados mediante técnicas de ingeniería social para que revelen sus contraseñas. – Vulnerabilidad del software: • Los bugs ocultos afectan la seguridad de los sistemas, pero es muy costoso lograr programas con cero defectos; • Se procuran solventar los errores mediante parches o actualizaciones del software. Marcos de Seguridad y Control Controles de los SI: • Controles generales: gobiernan aspectos como diseño, seguridad y uso de programas y archivos de datos. Marcos de Seguridad y Control Controles de los SI: • Controles de aplicación: son específicos y únicos para cada aplicación computarizada. Se pueden clasificar en: – Controles de entrada: verifican la precisión e integridad de los datos de ingreso; – Controles de procesamiento: establecen la precisión y la completitud durante la actualización de datos; y – Controles de salida: aseguran que los resultados del procesamiento sean precisos y completos así como distribuidos apropiadamente. Marcos de Seguridad y Control Evaluación de riesgos: • Determina el nivel de riesgo para la empresa en caso de que no se controle adecuadamente una actividad o proceso específico. • Para toda organización es importante determinar: – El valor de los activos de información; – Los puntos de vulnerabilidad; – La frecuencia probable de un problema; y – El daño potencial. Marcos de Seguridad y Control Política de seguridad: • Consta de enunciados que clasifican los riesgos de información, identifican los objetivos de seguridad aceptables y los mecanismos para lograrlos. • La política de uso aceptable (AUP) define los usos admisibles de recursos y equipos y clarifica aspectos de privacidad y responsabilidad de los usuarios. • La administración de la identidad es un conjunto de procesos y herramientas para identificar a usuarios válidos y controlar su acceso a los recursos. Marcos de Seguridad y Control Recuperación ante desastres y continuidad: • El plan de recuperación ante desastres (DRP) permite restaurar los servicios de cómputo y de comunicaciones, enfocándose en aspectos técnicos involucrados en mantener los sistemas funcionando. • El plan de continuidad de negocio (BCP) se enfoca en la forma en que la compañía puede restaurar sus operaciones de negocios después de que ocurre un desastre. Identifica los procesos de negocio críticos y determina los planes de acción. Protección de Recursos Autenticación: • Se refiere a la habilidad de saber que una persona es quien dice ser. Las formas más comunes son: – Contraseñas; – Tókens; – Tarjetas inteligentes; – Autenticación biométrica; y – Autenticación de dos factores. Protección de Recursos Equipos y software de prevención/detección: • Los firewalls son una combinación de hardware y software que controla el flujo de tráfico de red, tanto entrante como saliente. • Usualmente se colocan entre las redes internas privadas de la organización y las redes externas. Protección de Recursos Equipos y software de prevención/detección: • Los sistemas de detección de intrusos contienen herramientas de monitoreo de tiempo completo que se colocan en puntos vulnerables para detectar y evadir continuamente a los intrusos. Permiten: – Generar alarmas ante eventos sospechosos o anormales; – Buscar patrones que indiquen métodos de ataque ya conocidos; y – Examinar eventos a medida que ocurren para descubrir ataques en progreso. Protección de Recursos Equipos y software de prevención/detección: • El software antivirus y antispyware previene, detecta y elimina malware, pero requiere de continuas actualizaciones. • Los sistemas de administración unificada de amenazas combinan varias herramientas de seguridad en un solo paquete: – Firewalls; – Redes privadas virtuales; – Sistemas de detección de intrusos; y – Software de filtrado de contenido Web con antispam. Protección de Recursos Cifrado e infraestructura de clave pública: • El cifrado es el proceso de transformar texto o datos simples en texto codificado que no puede leer nadie más que el emisor y receptor deseado. • El cifrado de clave simétrica utiliza una sola clave para el emisor y el receptor: – Deben establecer una sesión segura en Internet; – La solidez de la clave se define por su tamaño (128 bits); – Problema: al ser compartida la clave, queda expuesta ante terceras partes. Protección de Recursos Cifrado e infraestructura de clave pública: • El cifrado de clave pública garantiza que, aunque un individuo conozca cómo cifrar, le resulta imposible descifrar: – La clave pública se utiliza para cifrar los mensajes y debe ser distribuida entre todos los usuarios que requieran enviar mensajes a un destino específico; – La clave privada es necesaria para descifrar los mensajes y sólo debe poseerla el interlocutor situado en la máquina destino del mensaje. Protección de Recursos Cifrado e infraestructura de clave pública: • Desafíos del cifrado de clave pública: 1. Garantizar que la clave pública que se está utilizando sea la clave adecuada para el interlocutor destino: • Deben asociarse las claves públicas con los interlocutores correctos; • Para esto se han establecido autoridades de certificación (CA) que mantienen actualizadas las listas de los interlocutores y sus claves; • Proporcionan la información fiable por medio de paquetes llamados certificados digitales, que contienen el nombre del interlocutor y su clave pública. Protección de Recursos Cifrado e infraestructura de clave pública: • Desafíos del cifrado de clave pública: 2. Garantizar que el autor del mensaje es quien dice ser: • Consiste en realizar un proceso de autenticación; • Se debe generar una firma digital, la cual es un patrón de bits que solo el interlocutor puede generar ya que es cifrado utilizando la clave privada que solo él conoce; • Al asociar la firma digital con un mensaje, el emisor lo marca como auténtico. Protección de Recursos Seguridad en la nube y en plataformas móviles: • La rendición de cuentas y la responsabilidad de proteger datos confidenciales siempre recae en la compañía que posee los datos, aunque el procesamiento se lleve a cabo en la nube. • La naturaleza dispersa de la computación en la nube dificulta el rastreo de la actividad no autorizada, por lo que se requiere asegurar que los datos almacenados se encuentran cifrados. Protección de Recursos Seguridad en la nube y en plataformas móviles: • Algunas consideraciones importantes: – Confirmar que el nivel de protección del proveedor coincide con los requerimientos corporativos; – Conocer las reglas de privacidad de la jurisdicción correspondiente; – Saber cómo responderá el proveedor en caso de desastres (nivel de completitud de los datos recuperados y tiempo estimado de recuperación); – Saber si el proveedor tiene la disposición de someterse a auditorías y certificaciones de seguridad. Revisión de Caso: • Ciberataque global – Junio 2017 – Visualización de ciberataques en tiempo real – Reseña • En 05/2017 hubo un ciberataque global denominado WannaCry que aprovechó una vulnerabilidad de Windows • El nuevo virus es de tipo ransomware que obliga al reinicio del sistema para aumentar el contagio – Nivel de afectación • Empresas privadas, de gobierno, transporte • Sistemas de monitoreo de radiación de Chernobyl Ejercicio Grupal • Analice el caso 2d y responda: – ¿Cuáles podrían ser las mayores vulnerabilidades o errores de la compañía? – ¿Cómo podrían evitarse los escenarios de ataque? – ¿Qué elementos deberían incluirse en las políticas de seguridad corporativa para minimizar ataques? Referencias Bibliográficas • K. Laudon, J.Laudon. Sistemas de Información Gerencial. Editorial Pearson, 14/E, 2016. – Capítulo #8: Seguridad en los sistemas de información.