Sistema de Información Gerencial

Fecha: _______________
Tema: ______________________________________________________________________________________________________________

Objetivos:
1.___________________________________________________________________________________________________________________

2.___________________________________________________________________________________________________________________

3.___________________________________________________________________________________________________________________

4.___________________________________________________________________________________________________________________

5.___________________________________________________________________________________________________________________

Análisis de los Temas

No. de Tema Principal Sub-temas Elementos claves

1 ¿Porque son tan Por que son tan vulnerables los sistemas Si usted maneja un negocio actualmente, la seguridad
vulnerables los y el control tienen que ser una de sus prioridades más
sistemas de importantes. La seguridad se refiere a las políticas,
información a la
destrucción, el error y procedimientos y medidas técnicas que se utilizan
el abuso? para evitar el acceso sin autorización, la alteración, el
robo o el daño físico, a los sistemas de información.
Los controles son métodos, políticas y procedimientos
organizacionales que garantizan la seguridad de los
activos de la organización; la precisión y confiabilidad
de sus registros y la integración operacional a los
estándares gerenciales.
Los sistemas de información se interconectan en
distintas ubicaciones a través de las redes de
comunicaciones. El potencial de acceso sin
autorización, abuso o fraude no se limita a una sola
ubicación, sino que puede ocurrir en cualquier punto
de acceso en la red. La figura 8.1 ilustra las amenazas
 más comunes contra los sistemas de información
contemporáneos. Se pueden derivar de factores
técnicos, organizacionales y ambientales compuestos
por malas decisiones gerenciales.
Vulnerabilidades de Internet: Las redes públicas
grandes, como Internet, son más vulnerables que las
redes internas, ya que están abiertas prácticamente
para cualquier persona. Internet es tan grande que
cuando ocurren abusos pueden tener un impacto
mucho muy amplio.

Software malicioso: virus, gusanos, caballos de Los programas de software malicioso se conocen
troya y spyware como malware e incluyen diversas amenazas, como
virus de computadora, gusanos y caballos de Troya.
Un virus de computadora es un programa de
software malintencionado que se une a otros
programas de software o archivos de datos para
poder ejecutarse, por lo general sin el conocimiento o
permiso del usuario.
Los hackers y lReos crímenes por computadoras Un hacker es un individuo que intenta obtener
acceso sin autorización a un sistema computacional.
Cracker se utiliza con frecuencia para denotar a un
hacker con intenciones criminales, aunque en la
prensa pública los términos hacker y cracker se
utilizan sin distinción. Los hackers y los crackers
obtienen acceso sin autorización al encontrar
debilidades en las protecciones de seguridad
empleadas por los sitios Web y los sistemas
computacionales; a menudo aprovechan las diversas
características de Internet que los convierten en
sistemas abiertos fáciles de usar. El spoofing también
puede implicar el hecho de redirigir un vínculo Web a
una dirección distinta de la propuesta, donde el sitio
se hace pasar por el destino esperado. Husmeador
(sniffer) es un tipo de programa espía que monitorea
la información que viaja a través de una red. Cuando
se utilizan de manera legítima, los husmeadores
ayudan a identificar los potenciales puntos
problemáticos en las redes o la actividad criminal en
 las mismas, pero cuando se usan para fines criminales
pueden ser dañinos y muy difíciles de detectar.
Ataques de negación de servicio: los hackers inundan
un servidor de red o de Web con muchos miles de
comunicaciones o solicitudes de servicios falsas para
hacer que la red falle. La red recibe tantas solicitudes
que no puede mantener el ritmo y, por lo tanto, no
está disponible para dar servicio a las solicitudes
legítimas. Crimen por computadora: El delito por
computadora se define en el Departamento de
justicia de Estados Unidos como “cualquier violación
a la ley criminal que involucra el conocimiento de una
tecnología de computadora para su perpetración,
investigación o acusación”
Robo de identidad: es un crimen en el que un
impostor obtiene piezas clave de información
personal, como números de identificación del seguro
social, números de licencia de conducir o números de
tarjetas de crédito, para hacerse pasar por alguien
más.
Vulnerabilidad del software Los errores de software representan una constante
amenaza para los sistemas de información, ya que
provocan pérdidas incontables en cuanto a la
productividad y algunas veces ponen en peligro a las
personas que usan o dependen de los sistemas. Un
problema importante con el software es la presencia
de bugs ocultos, o defectos de código del programa.
Estudios han demostrado que es casi imposible
eliminar todos los bugs de programas grandes. La
principal fuente de los bugs es la complejidad del
código de toma de decisiones. Un programa
relativamente pequeño de varios cientos de líneas
contiene decenas de decisiones que conducen a
cientos, o hasta miles de rutas.
2 Valor de negocios de Requerimientos legales y regulatorios para la Las recientes regulaciones gubernamentales de
la seguridad y el administración de registros electrónicos Estados Unidos están obligando a las compañías a
control considerar la seguridad y el control con más seriedad,
al exigir que se protejan los datos contra el abuso, la
exposición y el acceso sin autorización. Las empresas
se enfrentan a nuevas obligaciones legales en cuanto
 a la retención, el almacenaje de registros
electrónicos, y la protección de la privacidad.
La HIPA A describe las reglas de seguridad y
privacidad médica, además de los procedimientos
para simplificar la administración de la facturación de
servicios médicos y para automatizar la transferencia
de datos sobre servicios médicos entre los
proveedores de los servicios médicos, los
contribuyentes y los planes. Ley Gramm-Leach-Bliley:
esta ley requiere que las instituciones financieras
garanticen la seguridad y confidencialidad de los
datos de los clientes, los cuales se deben almacenar
en un medio seguro y se deben implementar medidas
de seguridad especiales para proteger dichos datos
en los medios de almacenamiento y durante la
transmisión. Ley Sarbanes-Oxley: se diseñó para
proteger a los inversionistas después de los
escándalos financieros en Enron, WorldCom y otras
compañías que cotizan en la bolsa.
Evidencias electrónicas y análisis forenses de Gran parte de la evidencia actual para el fraude en la
sistemas bolsa de valores, la malversación de fondos, el robo
de secretos comerciales de la compañía, los crímenes
por computadora y muchos casos civiles se encuentra
en formato digital. Análisis forense de sistemas, es
el proceso de recolectar, examinar, autenticar,
preservar y analizar científicamente los datos
retenidos o recuperados de medios de
almacenamiento de computadora, de tal forma que
la información se pueda utilizar como evidencia en un
juzgado. Se encarga de los siguientes problemas:
• Recuperar datos de las computadoras y preservar al
mismo tiempo la integridad evidencial.
• Almacenar y manejar con seguridad los datos
electrónicos recuperados.
• Encontrar información importante en un gran
volumen de datos electrónicos.
• Presentar la información a un juzgado.
3. Componente de un Controles de los sistemas de informacion Pueden ser manuales y automatizados; consisten
marco de trabajo tanto en controles generales como de aplicación. Los
controles generales gobiernan el diseño, la seguridad
organizacional para la y el uso de los programas de computadora, además
seguridad y control de la seguridad de los archivos de datos en general, a
lo largo de toda la infraestructura de tecnología de la
información de la organización. Los controles de
aplicación: Son controles específicos únicos para
cada aplicación computarizada, como nómina o
procesamiento de pedidos. Implican procedimientos
tanto automatizados como manuales, los cuales
aseguran que la aplicación procese de una forma
completa y precisa únicamente los datos autorizados.
Evaluación del riesgo Determina el nivel de riesgo para la empresa si no se
controla adecuadamente una actividad o proceso
específico. No todos los riesgos se pueden anticipar o
medir, pero la mayoría de las empresas podrán
adquirir cierta comprensión de los riesgos a los que
se enfrentan
Arquitectura y gobernanza de Internet Consta de enunciados que clasifican los riesgos de
Políticas de seguridad información, identifican los objetivos de seguridad
aceptables e incluso los mecanismos para lograr
estos objetivos. La política de seguridad controla las
políticas que determinan el uso aceptable de los
recursos de información de la empresa y qué
miembros de la compañía tienen acceso a sus activos
de información. Política de uso aceptable (AUP)
define los usos admisibles de los recursos de
información y el equipo de cómputo de la empresa,
que incluye las computadoras laptop y de escritorio,
dispositivos inalámbricos, teléfonos e Internet.
Administrar la identidad: consiste en los procesos de
negocios y las herramientas de software para
identificar a los usuarios válidos de un sistema, y para
controlar su acceso a los recursos del mismo.
Planificación de recuperación de desastres y la La planificación de recuperación de desastres idea
planificación de la continuidad de negocios planes para restaurar los servicios de cómputo y
comunicaciones después de haberse interrumpido. El
principal enfoque de los planes de recuperación de
desastres es en los aspectos técnicos involucrados en
mantener los sistemas en funcionamiento, tales
como qué archivos respaldar y el mantenimiento de
los sistemas de cómputo de respaldo o los servicios
 de recuperación de desastres. La planificación de
continuidad de negocios se enfoca en la forma en
que la compañía puede restaurar las operaciones de
negocios después de que ocurre un desastre.
La función de la auditoria Examina el entorno de seguridad general de la firma,
además de controlar el gobierno de los sistemas de
información individuales. El auditor debe rastrear el
flujo de transacciones de ejemplo a través del
sistema y realizar pruebas, utilizando (si es
apropiado) software de auditoría automatizado. La
auditoría de sistemas de información también puede
examinar la calidad de los datos. Las auditorías de
seguridad revisan las tecnologías, los procedimientos,
la documentación, la capacitación y el personal.
4. Herramientas y Administración de la identidad y la autenticación La autenticación se refiere a la habilidad de saber
tecnologías mas que una persona es quien dice ser. La forma más
importantes para común de establecer la autenticación es mediante el
salvaguardar los
recursos de uso de contraseñas que sólo conocen los usuarios
información autorizados. Un token es un dispositivo físico, similar
a una tarjeta de identificación, que está diseñado
para demostrar la identidad de un solo usuario.
tarjeta inteligente es un dispositivo con un tamaño
aproximado al de una tarjeta de crédito, que
contiene un chip formateado con permiso de acceso
y otros datos (las tarjetas inteligentes también se
utilizan en los sistemas de pago electrónico). La
autenticación biométrica usa sistemas que leen e
interpretan rasgos humanos individuales, como las
huellas digitales, el iris de los ojos y las voces, para
poder otorgar o negar el acceso. La autenticación de
dos factores incrementa la seguridad al validar
usuarios con un proceso de varias etapas.
Firewall, sistemas de detección de intrusos y Los firewalls evitan que los usuarios sin autorización
software antivirus accedan a redes privadas. Un firewall es una
combinación de hardware y software que controla el
flujo de tráfico de red entrante y saliente. Actúa
como un portero que examina las credenciales de
cada usuario antes de otorgar el acceso a una red.
Identifica nombres, direcciones IP, aplicaciones y
otras características del tráfico entrante. El software
 antivirus previene, detecta y elimina malware,
incluyendo virus y gusanos de computadora, caballos
de Troya, spyware y adware. Sin embargo, la mayoría
del software antivirus es efectivo sólo contra
malware que ya se conocía a la hora de escribir el
software. Sistemas de administración unificada de
amenazas Para ayudar a las empresas a reducir
costos y mejorar la capacidad de administración, los
distribuidores de seguridad han combinado varias
herramientas de seguridad en un solo paquete, que
ofrece firewalls, redes privadas virtuales, sistemas de
detección de intrusos y software de filtrado de
contenido Web con antispam. Estos productos de
administración de seguridad completos se conocen
como sistemas de administración unificada de
amenazas (UTM).
Seguridad en las redes inalámbricas El estándar de seguridad inicial desarrollado para Wi-
Fi, conocido como Privacidad equivalente a cableado
(WEP), no es muy efectivo debido a que es
relativamente fácil descifrar sus claves de cifrado. A
pesar de sus fallas, WEP ofrece algún margen de
seguridad si los usuarios de Wi-Fi recuerdan activarla.
Las corporaciones pueden mejorar aún más la
seguridad Wi-Fi si utilizan WEP junto con la
tecnología de redes privadas virtuales (VPN) para
acceder a los datos corporativos internos
Cifrado e infraestructura de clave publica El cifrado es el proceso de transformar texto o datos
simples en texto cifrado que no pueda leer nadie más
que el emisor y el receptor deseado. Para cifrar los
datos se utiliza un código numérico secreto, conocido
como clave de cifrado, que transforma los datos
simples en texto cifrado. El receptor debe descifrar el
mensaje. El Protocolo de Transferencia de
Hipertexto Seguro (S-HTTP) es otro protocolo que se
utiliza para cifrar los datos que fluyen a través de
Internet, pero se limita a mensajes individuales, en
tanto que SSL y TLS están diseñados para establecer
una conexión segura entre dos computadoras. Los
certificados digitales son archivos de datos que se
utilizan para establecer la identidad de los usuarios y
 los activos electrónicos para proteger las
transacciones en línea
Aseguramiento de la disponibilidad del sistema En el procesamiento de transacciones en línea, la
computadora procesa de inmediato las transacciones
que se realizan en línea. Los cambios multitudinarios
para bases de datos, informes y solicitudes de
información ocurren a cada instante. Los sistemas de
computadora tolerantes a fallas contienen
componentes redundantes de hardware, software y
suministro de energía que crean un entorno que
provee un servicio continuo sin interrupciones.
Control del tráfico de red: Inspección Profunda de
Paquetes (DPI): Las aplicaciones que consumen
ancho de banda, como los programas de
procesamiento de archivos, el servicio telefónico por
Internet y el video en línea, son capaces de obstruir y
reducir la velocidad de las redes corporativas, lo cual
degrada su desempeño. inspección profunda de
paquetes (DPI) ayuda a resolver este problema. DPI
examina los archivos de datos y ordena el material en
línea de baja prioridad mientras asigna mayor
prioridad a los archivos críticos para la empresa
Aspectos de seguridad para la computación en la Seguridad en la nube: La computación en la nube es
nube y la plataforma digital móvil altamente distribuida. Las aplicaciones en la nube
residen en grandes centros de datos remotos y
granjas de servidores que suministran servicios de
negocios y administración de datos para varios
clientes corporativos. Seguridad en las plataformas
móviles: Los dispositivos móviles que acceden a los
sistemas y datos corporativos requieren protección
especial. Las compañías se deben asegurar de que su
política de seguridad corporativa contenga los
dispositivos móviles, con detalles adicionales sobre
cómo hay que dar soporte, proteger y utilizar los
dispositivos móviles.
Aseguramiento de la calidad del software Además de implementar una seguridad y controles
efectivos, las organizaciones pueden mejorar la
calidad y confiabilidad del sistema al emplear métrica
de software y un proceso riguroso de prueba de
software. La métrica de software consiste en las
 evaluaciones de los objetivos del sistema en forma de
medidas cuantificadas. El uso continuo de la métrica
permite al departamento de sistemas de información
y a los usuarios finales medir en conjunto el
desempeño del sistema e identificar los problemas a
medida que ocurren.

Respuestas a las preguntas de las sesiones interactivas:

Sesión Interactiva: Administración

Target se convierte en el objetivo de un robo datos masivos

1. Liste y describa las debilidades de seguridad y control en Target que se analizan en este caso.

Después de analizar el escenario dado, se identifican las siguientes debilidades de seguridad y control en Target: '' Target '' tenía más
especialistas técnicos para mantener sus datos confidenciales; se había preparado para cualquier tipo de ataque.

 Equipo de seguridad de target conocía sobre la actividad hackers, pero no era suficiente para conseguir un seguimiento inmediato
 Equipo de seguridad de target podían observar muchas amenazas cada semana pero solo podían enfocarse en su número limitado de
ellas
 Los sistemas de target no estuvieron segmentados y aislados de otras partes de la red o internet abierto, presentaban paredes aislantes
con algunos orificios.
 Los sistemas de target no estaban diseñados en su totalidad para proteger la privacidad y vulnerabilidad de sus clientes al contrario
promovían con facilidad el robo.
2. ¿Qué factores de administración, organización y tecnología contribuyeron a estos problemas? ¿Qué tan responsable era la gerencia?

Según lo analizado las causas del robo de datos masivos de target, recaen mucho en la mala actuación de la gerencia. Pues según target, estaba
preparado para un ataque de este tipo, pues adicional equipo de seguridad instaló una plataforma de detección “Malware” llamada software
“FiveEye” de más de 1.6 millones, el cual tenía una opción de eliminar el malware automáticamente al detectarlo, pero el equipo de seguridad
de target detecto dicha función para poder tener la decisión final, encanto a lo que se debía hacer, es decir el equipo de target sabía sobre la
actividad de los hackers, pero no era suficiente para haber podido garantizado seguimiento inmediato.

Entre los factores más relevantes que contribuyen a este gran problema fueron:

 No haber implementado desde sus inicios un sistema sofisticado para salvaguardar los sistemas de pagos de sus clientes.
  De las reuniones que realizaba el comité directivo solo se enfocaban en un número limitado de amenazas
3. ¿Cuál fue el impacto de las pérdidas de datos de Target sobre esta empresa y sus clientes?
 El mismo año 2013 que inició este robo de datos más grande de la historia, en el cuarto trimestre las ventas de target disminuyeron en
un 5,3% lo que provoco que su rentabilidad bajara en un 46%. Empeorando para inicios del 2014 a causa de la renuncia contínua de sus
clientes presentándose adicionalmente más de 70 demandas legales
 El impacto que provocó dichas situaciones afectó en gran relevancia la integridad de la empresa

4. ¿Qué soluciones sugeriría para evitar estos problemas?

De acuerdo a la naturaleza y funcionalidad de toda empresa tomando en cuenta el alcance y demanda de clientes dentro de un sector
económico, debe diseñarse e implementarse un SI que brinde y salvaguarde la seguridad de sus clientes, situación que siempre debe ser vista
como una inversión “bien hecha” mas no como un gasto, pues en este caso Target siendo una de las empresas más grande de los EEUU, tuvo
que perder a sus clientes para que su gerencia empezara actuar ante la mala administración y uso de sus sistemas de seguridad.

Sesión Interactiva: Tecnología

BYOD: no es tan seguro

1. Se dice que un teléfono inteligente es una computadora de mano. Analice las implicaciones de seguridad de esta afirmación.

Se cree que los smartphones y otros dispositivos móviles son una de las más grandes amenazas de seguridad para las organizaciones. Uno de los
problemas más grandes con estos dispositivos es que podrían llegar a perderse junto a la información de la organización. Lo que pone en riesgo
todos los datos personales y corporativo que estaban almacenados en el dispositivo, así como direcciones de servidores y datos. Estos
dispositivos no fueron diseñados para la seguridad y privacidad del usuario, y si lo hacen es de forma pobre e insuficiente, nos exponen a varios
factores como el rastreo de localización. La mayoría de los teléfonos móviles le dan al usuario mucho menos control de lo que podría una
computadora de escritorio personal o una laptop; es más difícil reinstalar el sistema operativo, más difícil de investigar los ataques maliciosos del
malware, difícil de remover o reemplazar paquetes indeseables de software, y difícil de prevenir que personas, como el operador del servicio
móvil, vigilen tu uso del dispositivo.

2. ¿Qué cuestiones de administración, organización y tecnología debe tratar la seguridad de los teléfonos inteligentes?

Algunos de los proveedores de la nube no cumplen con los requerimientos actuales de conformidad en relación con la seguridad y alguno de
estos proveedores como AMAZON, han asegurado que no tienen la intención de cumplir con esas reglas y no permitirán en su sitio de trabajo el
acceso a los auditores encargados de verificar la conformidad. El corte de suministro de energía, ya que en ese momento no hay acceso a datos
cruciales lo cual pone en riesgo la operatividad de los negocios.
3. ¿Qué problemas causan las debilidades en la seguridad de los teléfonos inteligentes para las empresas?

El crecimiento exponencial de los dispositivos Android, y a la vez que escasamente regulado, mercado de aplicaciones para Android, han
provocado un aumento acusado de programas maliciosos dirigidos a esta plataforma. Cuando pensamos en las tendencias de seguridad en
el campo de las tecnologías de la información, suelen venirnos al pensamiento los firewalls, los dispositivos de seguridad, políticas y
amenazas como malware, ransomware y troyanos. Pero eso era seguridad antes de la invasión móvil.

4. ¿Qué pasos pueden tomar los individuos y empresas para que sus teléfonos inteligentes sean más seguros?

Es necesario aclarar el control sobre los datos, la privacidad, la disponibilidad de la información, la capacidad de resistir incidentes y el
acceso general a la red.

Por tal razón las empresas deben saber el grado de confidencialidad de la información que manejan, conocer al proveedor y las condiciones
de servicio, además de considerar las implicaciones y riesgos al migrar a la nube.
Se debe regular el uso de los dispositivos móviles, capacitar a los usuarios que hacen uso de estos para prevenir cualquier perdida de la
información.