Tema 2: Introducción a las TI en el

ámbito empresarial

Seguridad de la Información

DN-0102: Aplicaciones Ofimáticas para la Toma de Decisiones

Agenda
• Vulnerabilidades de los SI
– Software malicioso
– Ciber crímenes
– Amenazas internas
• Marcos de seguridad y control
• Protección de recursos
Vulnerabilidades de los SI
• Una amenaza puede
definirse como toda
ocurrencia potencial, sea
maliciosa o no, que pueda
tener un efecto indeseable
en el individuo amenazado.
• Toda amenaza está
relacionada con una o
varias vulnerabilidades, que
son las que potencian que
el ataque se concrete.
“Hacia la Sociedad de la Información y el Conocimiento”,
Roberto Lemaítre, 2012.
Vulnerabilidades de los SI
• Se entiende como seguridad de TI al conjunto
de políticas, procedimientos y medidas
técnicas que se utilizan para evitar el acceso
sin autorización, la alteración, el robo o daño
físico a los sistemas de información.
• Los controles de seguridad son los métodos,
políticas y procedimientos organizacionales
que garantizan la seguridad de los activos, la
precisión y confiabilidad de la información así
como la integración operacional a los
estándares gerenciales.
Vulnerabilidades de los SI
• Cada componente de una arquitectura
tecnológica presenta diversos desafíos y
vulnerabilidades:
Vulnerabilidades de los SI
• Software malicioso o malware:
– Virus: segmentos de código ejecutable que se unen a
otros programas o archivos de datos para poder
ejecutarse y que tienen la capacidad de reproducirse ya
que son códigos residentes en la memoria.
– Gusanos: programas independientes que se copian a sí
mismos de una computadora a otra a través de una red.
– Caballos de Troya: programas que entran en una
computadora disfrazados de un programa legítimo pero
que realizan actividades adicionales a las previstas por el
usuario.
Vulnerabilidades de los SI
• Software malicioso o malware (cont.):
– Ataques por inyección de SQL: usan las vulnerabilidades
en el software de aplicación Web para introducir código
malicioso en los sistemas y redes organizacionales.
– Ransomware: programas que permiten al atacante
tomar el control de las computadoras o sistemas, con lo
que se extorsiona a los usuarios.
– Spyware: se autoinstalan en forma furtiva y monitorean
las actividades del usuario para luego enviarlas al
atacante. Se usa mucho para recopilar perfiles de
clientes.
Vulnerabilidades de los SI
• Cibercrímenes o crímenes informáticos:
– Son acciones delictivas realizadas mediante el uso de
medios informáticos. Hay dos criterios para clasificarlos:
• Como instrumento o medio: cuando las conductas
criminales se valen de las computadoras como método,
medio o símbolo en la realización del ilícito.
• Como fin u objetivo: enmarca las conductas criminales
dirigidas contra equipo informático o software siendo que
el autor obtiene un beneficio perjudicando a un tercero.
Vulnerabilidades de los SI
• Cibercrímenes o crímenes informáticos (cont):
– Participan dos actores:
• Sujeto activo: es el perpetrador del crimen llamado
comúnmente cracker o hacker (el hacker solo intenta
obtener acceso sin autorización a un sistema
computacional; el cracker tiene intenciones criminales).
• Sujeto pasivo: persona o entidad sobre la que recae la
conducta realizada por el sujeto activo.
– Se conoce como cibervandalismo a la interrupción,
desfiguración o destrucción intencional de un sitio Web o
sistema de información corporativo.
Vulnerabilidades de los SI
• Cibercrímenes o crímenes informáticos (cont):
– Spoofing: los hackers ocultan sus identidades mediante
direcciones o redireccionamientos falsos.
– Sniffing: programas que monitorean la información que
viaja a través de la red; su uso legítimo es para identificar
puntos problemáticos en las redes.
– Ataques de negación de servicio (DoS): inundación de
los servidores con comunicaciones o solicitudes de
servicio falsas que provocan fallas en la red. También
existe un enfoque distribuido (DDoS).
Vulnerabilidades de los SI
• Cibercrímenes o crímenes informáticos (cont):
– Robo de identidad: mediante tácticas como phishing,
gemelos malvados o pharming, los hackers obtienen
ciertas claves de información personal que les permite
hacerse pasar por otra persona.
– Fraude del clic: cuando un individuo o programa hace
clic de manera fraudulenta en un anuncio en línea, sin
intención de aprender más sobre el anunciante sino para
debilitar a la competencia debido a los costos que debe
asumir la empresa por el redireccionamiento a sus
productos.
Vulnerabilidades de los SI
• Cibercrímenes o crímenes informáticos (cont):
– Ciberterrorismo: consiste en realizar ataques
cibernéticos con motivos políticos o para realizar
sabotaje y espionaje:
• Incluye la guerra informática, patrocinada por estados
para paralizar y vencer a otros estados o naciones;
• Muchas organizaciones internacionales han diseñado
documentos para apoyar los marcos legislativos globales
aunando esfuerzos contra el ciberterrorismo, tales como la
UIT con el “ITU Toolkit for Cybercrime Legislation” y la OEA
con la “Estrategia Comprehensiva Interamericana para la
Ciberseguridad”.
Vulnerabilidades de los SI
• Amenazas internas:
– Trabajadores internos:
• Su falta de conocimiento en cuanto a vulnerabilidad y
seguridad es la principal causa de fugas de información;
• A veces son engañados mediante técnicas de ingeniería
social para que revelen sus contraseñas.
– Vulnerabilidad del software:
• Los bugs ocultos afectan la seguridad de los sistemas, pero
es muy costoso lograr programas con cero defectos;
• Se procuran solventar los errores mediante parches o
actualizaciones del software.
Marcos de Seguridad y Control
Controles de los SI:
• Controles generales: gobiernan aspectos
como diseño, seguridad y uso de programas y
archivos de datos.
Marcos de Seguridad y Control
Controles de los SI:
• Controles de aplicación: son específicos y
únicos para cada aplicación computarizada. Se
pueden clasificar en:
– Controles de entrada: verifican la precisión e integridad
de los datos de ingreso;
– Controles de procesamiento: establecen la precisión y la
completitud durante la actualización de datos; y
– Controles de salida: aseguran que los resultados del
procesamiento sean precisos y completos así como
distribuidos apropiadamente.
Marcos de Seguridad y Control
Evaluación de riesgos:
• Determina el nivel de riesgo para la empresa
en caso de que no se controle adecuadamente
una actividad o proceso específico.
• Para toda organización es importante
determinar:
– El valor de los activos de información;
– Los puntos de vulnerabilidad;
– La frecuencia probable de un problema; y
– El daño potencial.
Marcos de Seguridad y Control
Política de seguridad:
• Consta de enunciados que clasifican los riesgos
de información, identifican los objetivos de
seguridad aceptables y los mecanismos para
lograrlos.
• La política de uso aceptable (AUP) define los
usos admisibles de recursos y equipos y clarifica
aspectos de privacidad y responsabilidad de los
usuarios.
• La administración de la identidad es un conjunto
de procesos y herramientas para identificar a
usuarios válidos y controlar su acceso a los
recursos.
Marcos de Seguridad y Control
Recuperación ante desastres y continuidad:
• El plan de recuperación ante desastres (DRP)
permite restaurar los servicios de cómputo y de
comunicaciones, enfocándose en aspectos
técnicos involucrados en mantener los sistemas
funcionando.
• El plan de continuidad de negocio (BCP) se
enfoca en la forma en que la compañía puede
restaurar sus operaciones de negocios después
de que ocurre un desastre. Identifica los procesos
de negocio críticos y determina los planes de
acción.
Protección de Recursos
Autenticación:
• Se refiere a la habilidad de saber que una
persona es quien dice ser. Las formas más
comunes son:
– Contraseñas;
– Tókens;
– Tarjetas inteligentes;
– Autenticación biométrica; y
– Autenticación de dos factores.
Protección de Recursos
Equipos y software de prevención/detección:
• Los firewalls son una combinación de
hardware y software que controla el flujo de
tráfico de red, tanto entrante como saliente.
• Usualmente se
colocan entre las
redes internas
privadas de la
organización y
las redes
externas.
Protección de Recursos
Equipos y software de prevención/detección:
• Los sistemas de detección de intrusos
contienen herramientas de monitoreo de tiempo
completo que se colocan en puntos vulnerables
para detectar y evadir continuamente a los
intrusos. Permiten:
– Generar alarmas ante eventos sospechosos o anormales;
– Buscar patrones que indiquen métodos de ataque ya
conocidos; y
– Examinar eventos a medida que ocurren para descubrir
ataques en progreso.
Protección de Recursos
Equipos y software de prevención/detección:
• El software antivirus y antispyware previene,
detecta y elimina malware, pero requiere de
continuas actualizaciones.
• Los sistemas de administración unificada de
amenazas combinan varias herramientas de
seguridad en un solo paquete:
– Firewalls;
– Redes privadas virtuales;
– Sistemas de detección de intrusos; y
– Software de filtrado de contenido Web con antispam.
Protección de Recursos
Cifrado e infraestructura de clave pública:
• El cifrado es el proceso de transformar texto
o datos simples en texto codificado que no
puede leer nadie más que el emisor y receptor
deseado.
• El cifrado de clave simétrica utiliza una sola
clave para el emisor y el receptor:
– Deben establecer una sesión segura en Internet;
– La solidez de la clave se define por su tamaño (128 bits);
– Problema: al ser compartida la clave, queda expuesta
ante terceras partes.
Protección de Recursos
Cifrado e infraestructura de clave pública:
• El cifrado de clave pública garantiza que,
aunque un individuo conozca cómo cifrar, le
resulta imposible descifrar:
– La clave pública se utiliza para cifrar los mensajes y
debe ser distribuida entre todos los usuarios que
requieran enviar mensajes a un destino específico;
– La clave privada es necesaria para descifrar los
mensajes y sólo debe poseerla el interlocutor situado
en la máquina destino del mensaje.
Protección de Recursos
Cifrado e infraestructura de clave pública:
• Desafíos del cifrado de clave pública:
1. Garantizar que la clave pública que se está utilizando
sea la clave adecuada para el interlocutor destino:
• Deben asociarse las claves públicas con los interlocutores
correctos;
• Para esto se han establecido autoridades de certificación
(CA) que mantienen actualizadas las listas de los
interlocutores y sus claves;
• Proporcionan la información fiable por medio de
paquetes llamados certificados digitales, que contienen el
nombre del interlocutor y su clave pública.
Protección de Recursos
Cifrado e infraestructura de clave pública:
• Desafíos del cifrado de clave pública:
2. Garantizar que el autor del mensaje es quien dice ser:
• Consiste en realizar un proceso de autenticación;
• Se debe generar una firma digital, la cual es un patrón de
bits que solo el interlocutor puede generar ya que es
cifrado utilizando la clave privada que solo él conoce;
• Al asociar la firma digital con un mensaje, el emisor lo
marca como auténtico.
Protección de Recursos
Seguridad en la nube y en plataformas móviles:
• La rendición de cuentas y la responsabilidad
de proteger datos confidenciales siempre
recae en la compañía que posee los datos,
aunque el procesamiento se lleve a cabo en la
nube.
• La naturaleza dispersa de la computación en
la nube dificulta el rastreo de la actividad no
autorizada, por lo que se requiere asegurar
que los datos almacenados se encuentran
cifrados.
Protección de Recursos
Seguridad en la nube y en plataformas móviles:
• Algunas consideraciones importantes:
– Confirmar que el nivel de protección del proveedor
coincide con los requerimientos corporativos;
– Conocer las reglas de privacidad de la jurisdicción
correspondiente;
– Saber cómo responderá el proveedor en caso de
desastres (nivel de completitud de los datos
recuperados y tiempo estimado de recuperación);
– Saber si el proveedor tiene la disposición de someterse
a auditorías y certificaciones de seguridad.
Revisión de Caso:
• Ciberataque global – Junio 2017
– Visualización de ciberataques en tiempo real
– Reseña
• En 05/2017 hubo un ciberataque global denominado
WannaCry que aprovechó una vulnerabilidad de Windows
• El nuevo virus es de tipo ransomware que obliga al reinicio
del sistema para aumentar el contagio
– Nivel de afectación
• Empresas privadas, de gobierno, transporte
• Sistemas de monitoreo de radiación de Chernobyl
Ejercicio Grupal
• Analice el caso 2d y responda:
– ¿Cuáles podrían ser las mayores vulnerabilidades o
errores de la compañía?
– ¿Cómo podrían evitarse los escenarios de ataque?
– ¿Qué elementos deberían incluirse en las políticas de
seguridad corporativa para minimizar ataques?
Referencias Bibliográficas
• K. Laudon, J.Laudon. Sistemas de
Información Gerencial. Editorial Pearson,
14/E, 2016.
– Capítulo #8: Seguridad en los sistemas de información.