Sistemas de informacin Gerencial GLBA (Gramm-Leach-Bliley Act)

La ley Gramm-Leach-Bliley de 1999 y el proyecto de ley del Senado de California de 1386 tienen serias consecuencias para las entidades que recopilan informacin de sus clientes. En lneas generales los datos personales consisten en cualquier combinacin del nombre (o inicial) y los apellidos con algn nmero de identificacin, ya sea de la seguridad social, de tarjetas de crdito o relacionado con cuentas bancarias. Las instituciones financieras y educativas son las que se enfrentan a una labor ms compleja a la hora de cumplir con estas normativas. Desglose de la ley La Ley de Modernizacin de Servicios Financieros de 1999, mejor conocida como Gramm-LeachBliley (GLBA), incluye estipulaciones para proteger la informacin financiera personal de los consumidores que poseen las instituciones financieras. Aunque esta ley pretenda especficamente retirar las restricciones que regan a las instituciones financieras en relacin a fusiones e intercambio de informacin, el artculo 501 de esta Ley establece los estndares de seguridad necesarios. La intencin de la Ley es asegurar que las instituciones financieras protejan la informacin sensible de los clientes a la que puedan llegar a acceder piratas informticos a travs de entornos interconectados, incluyendo conexiones a Internet y acuerdos de hosting. Al mismo tiempo que esta ley moderniza el panorama financiero estadounidense, tambin contiene elementos de privacidad y seguridad significativos para los individuos, que incluyen:

Notificacin de uso entre instituciones de datos obtenidos en nombre de los consumidores. Esta norma de privacidad incluye que tipo de informacin las instituciones obtienen acerca de sus clientes, con quin la comparten y como protegen o aseguran la informacin. La adopcin de una poltica de seguridad especfica que identifica y evala los riesgos que pueden perjudicar la informacin del consumidor. Esta poltica de seguridad deber especificar los procedimientos de la empresa y las pautas implementadas e integradas por la organizacin en forma completa. Los derechos a optar por no compartir informacin personal con empresas terceras no afiliadas. Implementacin de medidas preventivas significativas de seguridad.

Gestin de seguridad de IT

Proporciona un aviso de privacidad a todos los puntos de aplicacin en lnea Adopta en la organizacin polticas y procedimientos adecuados para proteger los datos del cliente segn lo especificado en la ley GLBA (Ley de Gramm-leachBliley) Se ocupa de evaluaciones de riesgo regulares de terceras partes para la ingeniera social, los sistemas y las garantas lgicas en la organizacin Asegura que todos los socios y otras terceras partes estn adecuadamente seguros y adhieran a los estndares de seguridad convalidados.

Sistemas de informacin Gerencial

Protege contra cualquier amenaza o peligro anticipado que afecte a la seguridad o integridad de los expedientes del cliente. Protege contra el acceso no autorizado o el uso de estos expedientes o la informacin que pudiere ocasionar un dao o inconveniente substancial a un cliente."

FRENTE A LOS FRAUDES CONTABLES (LEY SARBANES-OXLEY Julio 30, 2002) La Ley Sarbanes-Oxley, es una ley de Estados Unidos tambin conocida como el Acta de Reforma de la Contabilidad Pblica de Empresas y de Proteccin al Inversionista. Tambin es llamada SOx, SarOx SOA (por sus siglas en ingls Sarbanes Oxley Act), es la ley que regula las funciones financieras contables y de auditoria y penaliza en una forma severa, el crimen corporativo y de cuello blanco. Debido a los mltiples fraudes, la corrupcin administrativa, los conflictos de inters, la negligencia y la mala prctica de algunos profesionales y ejecutivos que conociendo los cdigos de tica, sucumbieron ante el atractivo de ganar dinero fcil y a travs de empresas y corporaciones engaando a socios, empleados y grupos de inters, entre ellos sus clientes y proveedores. La aplicacin e interpretacin de esta ley, ha generado mltiples controversias, una de ellas es la extraterritorialidad y jurisdiccin internacional, que ha creado pnico en el sistema financiero mundial, especialmente en bancos con corresponsala en Estados Unidos y empresas multinacionales que cotizan en la bolsa de valores de Nueva York.

Elementos de la seguridad inalmbrica Para proteger una red inalmbrica, hay tres acciones que pueden ayudar:

Proteger los datos durante su transmisin mediante el cifrado: en su sentido bsico, el cifrado es como un cdigo secreto. Traduce los datos a un lenguaje indescifrable que slo el destinatario indicado comprende. El cifrado requiere que tanto el remitente como el destinatario tengan una clave para decodificar los datos transmitidos. El cifrado ms seguro utiliza claves muy complicadas, o algoritmos, que cambian con regularidad para proteger los datos. Desalentar a los usuarios no autorizados mediante autenticacin: los nombres de usuario y las contraseas son la base de la autenticacin, pero otras herramientas pueden hacer que la autenticacin sea ms segura y confiable. La mejor autenticacin es la que se realiza por usuario, por autenticacin mutua entre el usuario y la fuente de autenticacin. Impedir conexiones no oficiales mediante la eliminacin de puntos de acceso dudosos: un empleado bienintencionado que goza de conexin inalmbrica en su hogar podra comprar un punto de acceso barato y conectarlo al zcalo de red sin pedir permiso. A este punto de acceso se le denomina dudoso, y la mayora de estos puntos de acceso los instalan empleados, no intrusos maliciosos. Buscar la existencia de puntos de acceso dudosos no es difcil. Existen herramientas que pueden ayudar, y la comprobacin puede hacerse con una computadora porttil y con software en un pequeo edificio, o utilizando un equipo de administracin que recopila datos de los puntos de acceso.

Sistemas de informacin Gerencial Soluciones de seguridad inalmbrica Existen tres soluciones disponibles para proteger el cifrado y la autenticacin de LAN inalmbrica: Acceso protegido Wi-Fi (WPA), Acceso protegido Wi-Fi 2 (WPA2) y conexin de redes privadas virtuales (VPN). La solucin que elija es especfica del tipo de LAN inalmbrica a la que est accediendo y del nivel de cifrado de datos necesario:

WPA y WPA2: estas certificaciones de seguridad basadas en normas de la Wi-Fi Alliance para LAN de grandes empresas, empresas en crecimiento y para la pequea oficina u oficinas instaladas en el hogar proporcionan autenticacin mutua para verificar a usuarios individuales y cifrado avanzado. WPA proporciona cifrado de clase empresarial y WPA2, la siguiente generacin de seguridad Wi-Fi, admite el cifrado de clase gubernamental. "Recomendamos WPA o WPA2 para las implementaciones de LAN inalmbrica en grandes empresas y empresas en crecimiento", comenta Jeremy Stieglitz, gerente de productos de la unidad comercial de Conexin de Redes Inalmbricas de Cisco. "WPA y WPA2 ofrecen control de acceso seguro, cifrado de datos robusto y protegen la red de los ataques pasivos y activos". VPN: VPN brinda seguridad eficaz para los usuarios que acceden a la red por va inalmbrica mientras estn de viaje o alejados de sus oficinas. Con VPN, los usuarios crean un "tnel" seguro entre dos o ms puntos de una red mediante el cifrado, incluso si los datos cifrados se transmiten a travs de redes no seguras como la red de uso pblico Internet. Los empleados que trabajan desde casa con conexiones de acceso telefnico o de banda ancha tambin pueden usar VPN. Poltica de seguridad inalmbrica En algunos casos, puede haber parmetros de seguridad diferentes para usuarios o grupos de usuarios diferentes de la red. Estos parmetros de seguridad pueden establecerse utilizando una LAN virtual (VLAN) en el punto de acceso. Por ejemplo, puede configurar polticas de seguridad diferentes para grupos de usuarios diferenciados dentro de la compaa, como por ejemplo, los de finanzas, jurdico, manufactura o recursos humanos. Tambin puede configurar polticas de seguridad independientes para clientes, partners o visitantes que acceden a la LAN inalmbrica. Esto le permite utilizar un solo punto de acceso de forma econmica para ofrecer soporte a varios grupos de usuarios con parmetros y requisitos de seguridad diferentes, mientras la red se mantiene la segura y protegida. La seguridad de LAN inalmbrica, aun cuando est integrada en la administracin general de la red, slo es efectiva cuando est activada y se utiliza de forma uniforme en toda la LAN inalmbrica. Por este motivo, las polticas del usuario son tambin una parte importante de las buenas prcticas de seguridad. El desafo es elaborar una poltica de usuarios de LAN inalmbrica que sea lo suficientemente sencilla como para que la gente la cumpla, pero adems, lo suficientemente segura como para proteger la red. Actualmente, ese equilibrio es ms fcil de lograr porque WPA y WPA2 se incorporan a los puntos de acceso Wi-Fi y los dispositivos de cliente certificados. La poltica de seguridad de LAN inalmbrica debera tambin cubrir cundo y cmo pueden los empleados utilizar los puntos activos pblicos, el uso de dispositivos personales en la red inalmbrica de la compaa, la prohibicin de dispositivos de origen desconocido y una poltica de contraseas robusta.

Sistemas de informacin Gerencial Pasos prcticos que puede dar 1. Active las funciones de seguridad inherentes a los puntos de acceso y las tarjetas de interfaz. Esto se realiza normalmente ejecutando un programa de software suministrado con el equipo inalmbrico. 2. El mismo programa que activa las funciones de seguridad inalmbrica probablemente mostrar tambin la versin del firmware que utilizan los puntos de acceso. (El firmware es el software utilizado por dispositivos como los puntos de acceso o los routers.) Consulte el sitio web del fabricante del dispositivo para conocer la versin ms actualizada del firmware y actualizar el punto de acceso si no lo est. El firmware actualizado har que la red inalmbrica sea ms segura y confiable. 3. Compruebe qu recursos de seguridad ofrece su proveedor de hardware. Cisco, por ejemplo, ofrece un conjunto de productos de hardware y software diseados para mejorar la seguridad inalmbrica y simplificar la administracin de la red. 4. Si no es capaz de implementar y mantener una red LAN inalmbrica segura, o no est interesado en ello, piense en contratar a un revendedor de valor aadido, a un especialista en implementacin de redes u otro proveedor de equipos de redes inalmbricas para que le ayude a procurar la asistencia de un servicio subcontratado de seguridad administrada, muchos de los cuales cuentan con una oferta de seguridad inalmbrica. Independientemente de cmo proceda, hgalo de una forma organizada. "La seguridad es definitivamente un elemento que se debe planificar, igual que la administracin de la red, la disponibilidad de acceso y cobertura, etc.", afirma Ask, de Jupiter. "Pero sta no debe ser un obstculo para la implementacin de una LAN inalmbrica".

Infraestructura de clave pblica En criptografa, una infraestructura de clave pblica (o, en ingls, PKI, Public Key Infrastructure) es una combinacin de hardware y software, polticas y procedimientos de seguridad que permiten la ejecucin con garantas de operaciones criptogrficas como el cifrado, la firma digital o el no repudio de transacciones electrnicas. El trmino PKI se utiliza para referirse tanto a la autoridad de certificacin y al resto de componentes, como para referirse, de manera ms amplia y a veces confusa, al uso de algoritmos de clave pblica en comunicaciones electrnicas. Este ltimo significado es incorrecto, ya que no se requieren mtodos especficos de PKI para usar algoritmos de clave pblica. La tecnologa PKI permite a los usuarios autenticarse frente a otros usuarios y usar la informacin de los certificados de identidad (por ejemplo, las claves pblicas de otros usuarios) para cifrar y descifrar mensajes, firmar digitalmente informacin, garantizar el no repudio de un envo, y otros usos.