GRUPO NO 6.

PROTECCION DE REDES INALAMBRICAS

A
pesar
de

sus
defectos,
WEP
proporciona
un
pequefio margen
de
seguridad
si

los
usuarios

de

Wi-Fi

recuerdan

activarlo.

Las
corporaclones pueden mejorar
ailn

mas
la
seguridad
de

Wi-Fi

utUizandola

en
conjunto
con
tecnologia
de

red
privada
virtual
(P!"
cuando

accedan

a

los

datos

internos

de

la
corporacion.
En
junio
de
#$$%,
el
grupo
comercial

Wi-Fi

Alliance

finalize

la
especificacion
&$#.'i, que inclu(e
medidas

de
seguridad
mas

estrictas

en

los
productos para
LA!s

inalam)ricas.
*eemplaza
las

claves

de
encriptacion
estaticas
que
se

utilizan
en

WEP

con

claves

mas
grandes que
cam)ian
continiiamente,
lo

cual

las

)ace

mas
dificiles

de

descifrar.

Un

servidor

de

autenticacion

central
comprue)a
a

cada

usua-
rio

de

la

red.

El

estandar

&$#.'i
emplea
autenticacion

mut ua
para
evitar
que
un
usuario

del

servicio

inalam)rico

sea

atraido

a

una

red

falsa
que podria
ro)ar

las

cre-
denciales

de

red

del

usuario.

+e

revisan

los
paquetes
de

datos
para asegurar que
for-
man
parte
de

una

sesion

actual

de

la

red
( que
los

,ac-ers

no

los
repitan para enga-
nar a los usuarios.
Para

ser
efectiva,
la
tecnologia
de
seguridad
inalam)rica

de)e

ir
acompafiada
de
politicas ( procedimien
tos
apropiados para
el

uso
seguro
de

los
dispositivos
inalam-
)ricos.

La

+esion

.nteractiva

so)re

Administracion

muestra

la

forma

en
que
Unile/
ver

PL0
manejo
este
aspecto.
INFRAESTRUCTURA DE ENCRIPTACION
Y CLAVE PUbliBUCA
1uc,as
empresas
utilizan
encriptacion para proteger
la

informacion
digital que
al-
macenan,
transfieren

fisicamente

o

envian

a

traves

de

2nternet.

La
encriptci!n
es

el
proceso
de

transl)rmar

te3to

o

datos

comunes

en

te3to

cifrado
que
no
puede
ser

leido
por
nadie

mas
que por
el

emisor
(
el
receptor
al
que
va

destinado.

Los

da/
tos

se
encriptan por
medio

de

un
codigo
numerico
secreto,
conocido

como

clave

de
encriptacion, que
transforma

los

datos

comunes

en

te3to

cifrado.

El
receptor
tiene
que desencriptar
el
mensaje.
++L
(
+-'..F
constitu(en
dos

metodos
para encriptar
el

tr1co

de

red

en

la

We).
El
pr!t!c!l!
"e
Cp
"e

C!nc#$i!n
Se%r &SSL' (
su

sucesor
Se%(ri""
"e

l

C)
p
"e
Tten#p!rte &TLS' permiten
a

las
computadoias
cliente
(
servidor
manejar
las
actividades

de
encriptacion ( desencriptacion
a

medida
que
se

comunican

entre

si
durante

una

sesion
segura
en

la

We).

El

Pi!t!c!l!

"e

Tin#*erenci

"e
+lperte$)
t!
Se%(r! &S)+TTP'
es

otro
protocolo que
se

utiliza
para encriptar
los

datos
que
flu-
(en
a

traves

de
2nternet, pero
esta

limitado

a
mensajes individuales,
en

tanto
que
++L
(
.L+

estan

diseiiados
para
esta)lecer

una

cone3ion
segura
entre

dos
computadoras.
La
capacidad
de
generar
sesiones
seguras
esta
integrada
en

el

soft4are

de

nave-
gacion
cliente
(
en

los

servidores

de

2nternet.

El

cliente
(
el

servidor
negocian que
clave
(
cual

nivel

de
seguridad
utilizaran.

Una

vez
que
se

esta)lece

una

sesion
segu/
ra

entre

el

cliente
(
el
servidor,
se
encriptan
todos

los
mensajes
de

esa

sesion.
E3isten

dos

metodos

de
encriptacion
alternativos5
encriptacion
de

dave

simetri-
ca
( encriptacion
de

clave
pu)lica.
En

la
encriptacion
de

clave
simfitrica,
el

emisor
(
el
receptor
esta)lecen

una

sesion
segura
en

2nternet
por
medio

de

la

creacion

de
una

sola

clave

de
encriptacion, que
se

envia

al
receptor
de

tal

manera
que
tanto

el
emisor

como

el
receptor compartan
la

misma

clave.

La
potencia
de

la

clave

de

en/
criptacion
se

mide
por
su
longitud
de

)its.

En

la
actualidad,
una

clave
tipica
sera

de
6#&

)its

de
longitud 7una
cadena

de

6#&
digitos )inaries".
El
pro)lema
de

los
esquemas
de
encriptacion
simetrica

es
que
la

clave

misma
de)e

ser
compartida
de
alguna
manera

entre

los

emisores
(
los
receptores,
lo

cual
,-. Prte D!# In*re#tr(ctLtr "e tecn!l!%* "e in*!i/tnciiti
+E+28! 2!.E*A0.2A5 A912!2+.*A028!
U!2LEE* P*8.E:E +U+ 92+P8+2.28+ 182LE+
Unilever es un fa)ricante mundial con un valor de
;%,$$$
millones

de
dolares ( proveedor de productos
de c<8.isumo de rapido dcsplazamiento, inclu(cndo
marcas como =.-.ip>,
te
Lipton ( productos 9ove para
el
aseo personal. 8pera en ;? paises, con equipos re-
gionales para Euvopa,
America
(
Asia@Africa
(incla-
(ondo AustraliaA. Unilever tam)len tiene equipos para
siis
productos de las i reas Foods ( 'ome ( Personal
0are.
Este gigante mundial cs conocido por su capacidad
para apalancar productos ( marcas en todo el mundo,
ajustandolas a
las
condiciones locales ( por su compro-
miso con la adrriinistradon de alta calidad, Unilever
recluta sus gerentes en todas partes del mundo ( los
capacita con cuidado para que actuen como una fuerza
unificadora para
sus
operaciones,
En niarzo de #$$%, los dirsctivos de Unilever dispii-
sieron que los miles de ejecutivos de la empresa fue-
raa equipados con dispositivos portatiles movilcs para
incrementar su productBvldad, Los dispositivos lenian
que proporcionar transmisidn de voz ( de datos, ope-
rar

en

diferentes

redes
ina1m)ricas, contar con capa-
ddad de ver arc,ivos adjuntos al correo electronico,
como arc,ivos de Word, ( funcionar con )aterias por
mas de cuatro )oras,
La empresa selecciono los dispositivos >lac->err(
?6$$, ?#C$ ( &?$$ de *esearc, in 1otion porque eran
los lideres de su ramo ( funciona)an con diversos ser-
vidores de correo electronico ( multiples estandares
inaWm)ricos

de
red,
como
091A (
Wi-Fi.
La

seleccion

de

los
dispositivos para
Unilever

tiie

lo
mas sencillo< lo
dificil fue asegurarse de que estuvie-
ran protegidos. Es facil que los dispositivos inalam)ri-
08> se pierdan o sean ro)ados porque son sumamente
portatiles ( es mu( sencillo para los ,ac-ers ( otros
Ei3tranos
penetrar en ellos. Los P9As y los Leldfonos in-
teligentes, especialmente los que utiliza)an los ejecuti/
vos, a menudo almacena)an datos con*denciales de la
corporacion, como cifras de ventas, mimeros de seguro
social,
nom)res
de clientes, niimeros telefonicos ( di-
recciones de correo electronico. Usuaiios no autoriza-
dos podrian acceder a las redes internas de la corpora-
ciDn atrav+s de estos dispositivos. Al descargar datos o
mensajes no autorizados se podria introducir mal4are
que in,a)ilita.
El

director

de

soluciones
glo)ales de Unilever, .)n(
Fara,, ( su equipo esta)an a cargo de desarrollar la se-
guridad para estos dispositivos moviles ( de garantizar
que Unilever no sufriera ro)o de datos ni perdidas fi-
nancieras. El equipo decidid que los dispositivos movi/
les requerian el mismo nivel de seguridad que las
computadoras portatiles de Unilever.
9e acuerdo con la politica de seguridad corporativa
de
Unilever, todos
los
empleados que esten equipados
con una computadora portatil o un dispositive movil
de)en utilizar un dispositive especifico de la empresa,
Los usuarios que se conectan a la red corporativa
de)en identificarse a si mismos por medio de una con-
trasena
o

de
algiin otro
metodo

de

autenticacion.
Los dispositivos >lac->err( utilizan un sistema ope/
rative propietario que pcrmite a un gerente
de
tecnolo-
gia
de
informaci)n esta)lecer restricciones
automatiza-
das, como impedir a los usuarios que a)ran arc,ivos
de coneo electronico adjuntos enviados desde sus
computadoras de escritorio. Esto reduce
las
posi)ilida-
des de que un
virus
infecte la
red

de

la
empresa.
Las
medidas de seguridad tam)ien impiden
el
uso
de
co/
rreo electronico alternative o de servicios de navega-
cion en la We). .odo el trafico del correo elcctrdnico
o de navegacidn se canaliza a traves de >lac->err(
Enterprise +ervers, que utili1 una solida tecnologia
de encriptacidn de datos. Las ap'caciones que se eje-
cutan en el sistema operativo >lac->err( no pueden
a)rir cone3iones internas ( e3ternas
a
2nternet, lo
cual le permitiria a una aplicacion maliciosa
recopilar datos del interior del fire4all de la empresa
( transmitirlos al e3terior del fire4all sin ninguna
revision.
El fire4all tie Unilever vigila todo el trafico ( ras-
trea los intentos de los usuarios de reenviar sus co-
rreos electiEonlcos a cuentas no coiporativas. +i el fire/
4all detects a un emplcado en estos intentos, la
empjEesa ordena al empleado que deje de ,acerlo.
F6
correo electronico que se transmite
de

la
red
casera

de
una
persona
a

la

red
corporativa
de

Unilever

no

es
se/
guro.
Unilever configur) los >lac->err( de tal manera
que los usuarios no puedan instalar ninguna aplica/
cion de tcrceros. Los dispositivos portatiles se de)en
reconfigurar cada G$ dias para crear
una
nueva
clave
de seguridad.
Los
dispositivos
estan
programados para
apagarse despucs
de
permanecer
inactivos

durante

6;
minutos. Al e3pirar ese periodo, un usuario de)e rein-
gresar su contraseiia para acceder nueva mente al co/
rreo electrdnico o al telfifono, 8tra caracteristica de se/
guridad activa es un )loqueo ( limpieza completa del
dispositive despues de diez intentos fallidos de conec-
tarse o enviar una contrascfia,
A pesar de que una a)rumadora ma(oria de los eje/
cutivos de Unilever considera)an que los procedimien-
tos de seguridad del >lac->err( eran ra?.ona)les, no to-
dos esta)an conformes. Algunos ejecutivos se resistian
a

tener
que ingresar
una

contrasefia

al

utilizar

como
telef)no el >lac->err(. Aunque
en

un
principio
la

ad-
ministracion estipuld que los dispositivos >lac->err(
se i)an a utilizar tanto como telefonos como para
trans/
misidn de datos, Unilever permite a los ejecutivos rea-
cios utilizar sus >lac->err(s para datos ( un telefono
celular
o
tiii
telefono inteligente para la trarjsmiRion
de voz.
El programa de seguridad para los dispositivos ina-
lambricos de Uni lever caesta 70,000 dolares anuales
para dar soporte a ms de 450 ejecutivos. En 200 se
incorporaron 550 ejecutivoa. !un"ue se #an perdido o
PREGUNTAS DEL CASO DE ESTUDIO
1.
i$e "ufe ntanera
se
relacionan los dispositivos ina-
Umbricos de los ejeciUi%&' de Unilever con el de-
sempeno dc negocios de la einpresa(
2. $ebata el itnpacto potencial de una vulneradon de
seguridad en Unilever.
), ,*+ue factores de admlnistracion, organi,acion - tec-
nologicos se tuvieron "ue tomar en cuenta al desa-
rrollai. las politicas - los procedimientos de seguridad
para los dispositivos inal'mbricos de Unilever(
/api0tulo 1 2rateccion de los sistemas de informacion )43
robado unos cuantos dispositivos, Unilever no #a sufri-
do ninguna vul neradon cn su seguridad.
Fuentes: 4et# 5c6adden, .'ecurit- trom 'cratc#., Baseline, 35 de
ma-o de 2007 5ar - 8isbetii $0!mico, ./all 'ecurit-., The Wall
Street Journal, 3) de febrero de 2007 - 999.un:lever,com, a;7t*edido
el 25 de agosto de 200.
MIS EN ACCION
E<plore
el
sitio
=eb

de
4lac>4eri- - ponga especial
atencion en las caracteristicas de seguridad de 4lac>-
4err- Enterprise 'olution, $espues reaponda las pre-
guntas siguicntes7
1, i +ue seguridad ofrece 4lac>4err- para los datos ina-
lambricos - los datos a3macenados(
2. $e "ue manera a-udan las #erramientas de 4lac>-
4err- Enterprise 'olution a proteger los dispositivos
4lac>4err- contra el malvare(
4.
6ue una buena decision permi ti r a los ejecutivos de
Unilever "ue utilizaran 4lac>4err-s - tele?bnos celu-
lares( 2or "ue si o por "ue no(
la e<pone a e<trafios "ue podn0an interceptarla - desencriptarla. 8a encr i pt aci f i n
de

clave
piiblica constitu-e
una

manera
mas segura de encri ptadon puesto "ue
utiliza

dos

claves7

una
compartida ;o publica@ -
una

totalmente
privada, como se
muestra en la figura 1-7. 8as claves estan matemticamente reladonadas, de tal forA
ma
"ue
los

datos
encriptados
con

una
dave
solo
se pueden desencriptar con la otra
clave. 2ara enviar - recibi r mensajes, los comunicadores pri mero crean pares sepa-
rados de claves privadas - publicas. 8a clave publica se conserva en un directorio -
la

clave
privada debe
mantenerse

en
secreto.
El

emisor
encripta un mensaje con
la
clave
piibli ca
del
receptor.
!l

recibi r
el mensaje, el receptor utiliza su clave privada
para dcsencriptarlo.
6:BUR! 1-7 EC/R:2%!/:&C &E /8!DE 2U48:/!
Emisor
t
Encriptacton
con clave
publica
$esencriptar
con clave
privada
Un sistema de encriptacion de dave publica se puede considerar como una serie de claves piiblicas - privadas "ue blo"uean
los
datos

al
Uansmitirlos -
los
desblo"uean
cuandose

redben.

El

emisor

localiza

la

dave
publica
del
receptor
en

ur

directorio
-
la
utiliza
para encriptar
un
mensaje,
Este

se

envia
encriptado
a
traves
de

:nternet

o

de

una

red
privada,
/uando

el
mensaje
encriptado llega,
el
receptor
utiliza

su

dave
privada para desencriptar
los

datos
-
leer

el
mensaje,
,-0 Prte D!#
2nfraestructura de tecnologia de info.nacion
Las
firmas digitales ( los cevtificados digitalea apo(an l autenticaciDn, Una +r)
1
"i%itl
es

un
mensaje encriptado 7como
el

nom)re

del
emisor" que
solo

el

emi-
sor
puede
crear

con

su

dave
privada.
Una

firma
digital se emplea para verificar el
origen (
el
contenido
de

un
mensaje. 8frece una manera de relacionar un mensaje
con

un
emisor, desempefiando
una
funcidn semejante a la de
una

firma
escrita.
Los ccrti*ic"!# "i%itle# son arc,ivos de datos utiUzados para esta)lecer
la
identidad

de
usuarios ( activos electrfinicos para la protecdon
de
las transacdones
en

linea
(vea
la
figura &-&",
Un

sistema

de

certificados
digitales
recurre

a

un

tercero
confia)le,
conoddo

como

autoridad

de

certificacion
(0A", para
validar

la

identidad
de un usuario. En Estados Unidos ( en todo el mundo e3isten muc,os 0As, como
erisign, :den%0ust ( Fe(Post, de Australia.
La 0A verifica fuera de linea la identidad del usuario de un certificado digital, Es-
ta

informacion
se coloca en
un
servidor de 0A, el cual genera
un
certificado digital
encriptado que contiene informacion so)re la identificadon del propictario ( una
copia de la clave pu)lioa de este. El certificado autentica que la clave pii)lica perte-
nece al propietario designado, La 0A pone a disposicion de cualquiera su propia cla/
ve pu)lica, (a
sea
por escrito
o

tal
vez en 2nternet,
El
receptor
de
un mensaje
en/
criptado utiliza la clave pu)lica de la 0A para decodificar el certificado digital ane3o
al mensaje, verifica que ,a(a sido emitido por la 0A ( a continuacion o)tiene la da/
ve pu)lica (
la

informaciDn

de
identificacion
del
emisor contenida
en

el
certificado.
0on *+ta informaciDn, el receptor puede enviar
una
respuesta encriptada. El sistema
de certificacion digital podria permitir, por ejemplo, que un usuario de tatjeta de cre-
dito
(
un
comerciante
validaran
que sus respectivos certificados digitales fueran
emitldos
por
un
tercero autorizado ( confia)le antes de intercam)iar datos.
La

in)
*re#tnict(r

"c

cl2e
piiblic &P3I'4
el

uso

de

la
criptografia
de

clave
pu)lica
que funciona con una autoridad de certificacion, actual mente se ut8iza de manera
generalizad a en el comercio electronico,
FI6URA )5 CERTIFICADOS DIGITALES
678
+ciAicllud tie carttfjcadu dlgilal (que ccrntegs
4 0tal8+ c!1! noi.")rH. direccion tie coiro elac-
I
lrDn(co, nomore de la empresa I 8ffice
G
E
0artifi0dtt8
E
cA+Ei02A
J
E !um
oro dc
4rte
J
Algo
rtlmodo l
lrma
J !ciitiltre c,d
K L!o CG v
nEcs daEE

8.+ vlldu
ddE tec<liu
M dot sujefo
N
0fdvtO p8)ilca ctet suo
*
Algarllf.i9
- mp
0ertificado
presentad$ como
medio ds
I
Certitic"! "i%itl
)
Veir#i6n
N !iimero de serie
M
Algoritmo de lirma
N
!om)re del emisor
N L!o es valido anlei deLL lec,a
N
L!o es v+lido ctespues deL fec,a
N
!om)re del sujelo
E
0lave pu)lica de" sujeto
N
Algoriirrio
N
E3tensiones
9 Fir1
Aut ori dad de
cert ifi caci on
i
+itio We)
U ot r o soci o
de la t ransacct )n
autenticacidn
L!# certi*ic"!# "i%itle# #!n (tile# pr e#tbiecer l i"enti"" "e per#cn# ! "e cti2!# eler!nic!#.
Pr!te%en l# trn#c"!ne# en line l pr!p!rci!nr c!1(nic"!ne# en 3ne #e%(r# :encript"#4
0apit ul o
&

Proteccion

de

los

sistemas

de

informacion G%G
MIS EN ACCION
Los
pro(ectos
de

esta

seccion

le

)rindan
e3periencla practica
con

el

desarrollo

de
un
plan para
la
recuperacion
de
desastres,
utilizando

soft4are

de
,oja
de

calculo
pa/
ra

el

analisis

de
riesgos (
lierramientas

de

la

We)
para investigar
serricios

de

su)-
contratacion

de

la
seguridad.
L!%r!
"e

l

e$celenci
!perti2;
"e#rr!ll!

"e

(n
pl n
pr

l

rec(perci!n

"e
"e##tre#<
0onocimientos

de

soft4are5

+oft4are
navegador
We)
(
soft4are

de
presentaciones.
0onocimiento

de
negocios5
Planeacioii
para
la
recuperacion
de

desastres.
>ste
pro(ecto requiere que
usted

desarrolle

un
plan para
la
recuperacidn
de

desas/
tres
para
una
empresa
del

mundo

real.
A

la

adminlstracion

de

9irt

>i-es

le
preocupa que
sus

sistemas

de
coniputo
sean
vulnera)les

a
interrapciones
de

la
eneia, vandalismo,
virus

de
computadoras,
de/
sastres

naturales

o

alteraciones

en

las

telecomunicaciones.

Le

)an

solicitado
que
realice

un

analisis

de

las

vulnera)'idades

del

sistema
( que
desarrolle

un
plan para
la
recuperacion
de

desastres
para
la
empresa.
+u

informe

de)era
responder
las

si-
guientes preguntas5
N
/uales
son

las

amenazas

mis
pro)a)les para
la
operacion ininterrumpida
de
los sistemas de 9irt >i-esO
N
/uales
considera
que
son

los

sistemas

mas

criticos

de

9irt

>i-esO
/ual
es

el
impacto
en

la
empresa
si

estos

sistemas

no

fiincionanO
/uanto tiempo podria
sostenerse

la
empresa
si

estos

sistemas

se
ca(eranO KiPor
su
importancia,
cuales
sistemas

de)en
respaldarse (
restaurarse

en

case

de

un

desastreO
N

Acceda

a

la

We)
para
locallzar

dos
empresas
de
recuperacion
de

desastres
que
pudieran a(udar
a

una
pequeiia empresa
como

9irt

>i-es.
0omparelas
en

ter-
minos

de

los

servicios
que
ofrecen.
2or
cual

se

de)eria

inclinar

9irt

>i-esO
E<actamente
como
podrian
estos

servicios
a(udar
a

9irt

>i-es

a
recuperarse
de un desastreO
N
(8pcional"
+i

es
posi)le,
utflice

un

soft4are

de
presentaciones
electronicas
para
resumir

sus

conclusiones
para
la

administracion.
Me=!r
en

l

t!1

"e

"eci#i!ne#;

(#!

"e

#!*t>re

"e
?!=
"e

clc(l!
pr
reli@r

(n

e2l(cl!n

"e

l !#
rie#%!# "e #e%(ri""<
0onocimientos

de

soft4are5

Formulas
( graficos
de
,oja
de

calculo.
0onocimiento

de
negocios5
Evaluacion

de
riesgos.
Este
pro(ecto
utiliza

soft4are

de
,oja
de

calculo
para
estimar
perdidas
anuales

an-
ticipadas
a

causa

de

varias

amenazas

de
seguridad
identificadas
para
una
empresa
pequeiia.
1ercer

Paints

es

una
empresa
fa)ricante

de
pinturas pequeiia pero
sumamente
respetada,
u)icada

en

Ala)ama.

La
empresa
cuenta

con

una

red
que
enlaza

muc,as
de

sus
operaciones
de
negocios.
A
pesar
de
que
la
empresa
considera
que
su
seguri/
dad

es
adecuada,
la

reciente
incorporacion
de

un

sitio

We)

se

,a

convertido

en

una
invitacion

a)ierta

a

los

,ac-ers.

La

administracion

solicito

una

evaluacion

de
riesgos,
la

cual

identified

diversas
contingencias potenciales.
Estas
contingencias,
sus
pro)a-
)Uidades

asociadas
(
sus
perdidas promedio
se

resumen

en

la

ta)la
siguiente.
N

Ademas

de

las
contingencias potenciales enlistadas,
usted

de)e

identificar

al
menos

otras

tres

amenazas
potenciales para
1ercer
Paints, asignar
sus
pro)a-
)'idades
(
estimar

un
rango
de
perdida.
N

Utilice

soft4are

de
,oja
de

calculo
(
los

dates

de

la

evaluacion

de
riesgos pa/
ra

calcular

la
perdida
anual
esperada para
cada
contingencia.
G%% Parte 9os 2nfraestrucluiEa de tecnologia de infocinaclon
EALUA028! 9E *2 E+:8+ PA*A 1E*0E* PA2!.+
N

Presente
sus conclusiones
en
un diagrama. /uales puntos
de
control
son
los
mas vulnera)lesO recomendaciones ,aria a 1ercer PaintsO Prepare
un
informe escrito que resuma sus conclusiones ( recomendaciones,
1cjora en la toma de decisiones5 evaluacion
de los servicips de su)contfataciDn de la seaurldad
0onocimientos de soft4are< +oft4are navegador We) ( soft4are de presentaciones.
0onocimiento

de
negocios5
Evaluacion

de

servicios

de

su)contratacion

de
negocios.
En

la
actualidad,
las
empresas
tienen

la
opcion de
su)contratar

la

funcion

de
segu-
ridad

de

sistemas

de

inf)rmacion

o
de mant ener
su
propio personal
imerno
para
es-
te
prop
Dsito.
Este pro(ecto le a(udara a desarrollar sus conocimientos de 2nternet al utilizar la
We)
para investigar (
evaluar

servicios

de

su)contratacion

de

la
seguridad
de
siste/
mas de informacion.
0omo e3perto en sistemas de informacion de su empresa, a usted le )an pedido
que a(ude a la administracion a decidir entre su)contratar la seguridad o mantener
la
funcion de seguridad dentro de la empresa. >usque en la We) infoi.nacion que le
a(ude
a

decidir

la
conveniencia
de

su)contratar

la
seguridad (
localice

servicios

de
su)contratacion de seguridad,
N
Presente
un
)reve resunien de los argumentos a favor ( en contra de su)con/
tratar la seguridad de los sistemas de su empresa.
N

+eleccione

dos
empresas que
ofrezcan
servicios
de

su)contratacion

de
seguri/
dad de sistemas ( compare sus servicios.
N
Prepare
una
presentacion electronica para la administracion ( resuma sus
conclusiones. +u presentacidn de)e justificar si su empresa de)e o no su)/
08!.2!:E!02A P*8>A>2L29A9
9E
80U**E102A (PQ PE*929A

P*81E928
(R"
At aque
de

mal 4are D$P R?;, $$$
Perdi da de dat os 6#P R?$, $$$
9esfaico GP RG$, $$$
Error del usuari o C;P R#;, $$$
Amenazas de los ,ac-ers C;P RC$, $$$
Uso

j nadeci i ado

de

los
empl eados
;P R;, $$$
Falla

de
energi a
6;P RG$$, $$$
contratar la seguridad de los sistemas. +i usted considera que su empresa de-
)e su)contratar, la presentacion dc)e identificar cual scrvicio de su)contrata-
ciDn

de

la
seguridad
de)e
elegirse ( justificar
la

razon.
189UL8+ de +E:U212E!.8 9EL AP*E!92SAAE
Contfvles genemies y de aplicacidn para sistemas de informacion. +i usted desea sa)er
mas acerca de los diversos tipos de controles que se utilizan en sistemas de informa/
cion, en el sitio We) del li)ro para este capitulo encontrara un modulo de seguimien-
to

del
aprendizaje
so)re
controles generales ( de aplicacion.
Fetos de segundad y control para la administ}'aci6n. +i usted desea aprender mas so/
)re los retos de administracion ( las decisiones relacionadas con la seguridad ( el
control,
en

el

sitio

We)

del

li)ro
para
este
capitulo
encontrara

un

modulo

de
segui-
miento
del aprendizaje so)re este tema.
Cpit(l!
5
Pi)!tecci!n "e l!# #i#te1#
"e
in*!r1ci!n ,-A
Vulnembilidady co?ifiabihdad
del
sofhoare.
+i

usted

dcsea
aprender
mas

acerca

de

la

vulnera)ilidad

del

soft/
4are
(
dc

medidas
para garantizar
la

confia)ilidad

del
soft4are,
en

eB

sitio

We)

del

li)ro
para
este
capitulo
encont rara

un

modulo

de
seguimiento
del
aprendizaje
so)re

estos

temas,
Re#(1en
B. Analice
por qui
los

sistemas

de
iriformacion
necesitan
pvoteccion especial
contra

la
destruccion,
los

errores
y
el

ahuso.
0on

datos

concentrados

en

forma

electrnnica
(
rauc,os
procedimientos
invisi)les

a

traves

de

automatiza-
cion,
los

sistei.ias

de

inffinnacion
computarizados
son

vulne

ra)ies

a
destruccion,
mal
manejo, e=T!re#4
fraudes
(
fallas

del

,ard4are
(
el

soft4are.

Los

sistemas
coiporativos que
utilizan

2nternet

son
especialmente
vulnera)les
porque
la

2nternet

esta

diseiTada

como

un

sistema

a)icrto
(
,ace

a

los

sistemas
corporativos
internes

mas

vul/
nera)les

a

acciones

dc

e3trafios.

Los

,ac-ers
pueden
desatar
ataques
de
negacion
del

servicio
(9o+"
o
penetrar
en

las

redes
corporativas,
ocasionando

serias

alteracioncs

en

los

sistemas,

2ntrusos
que
ntilizan
programaa
sniffers
para
o)tener

direcciones
que
les
permitan
acceder

a

los

recursos

de

una

red
pueden penetrar
facilmen-
te

las

redes

Wi-Fi.

Los

vims
( gusanos
de
computadora
se
pueden esparcir
desenfiEenadamente

de

un

sistema

a
otra, congestionando
la

memoria

de

la
computadora
o
dcstru(endo programas (
datos.

El

soft4are
presenta pro-
)lemas
porque
es

casi
imposi)le
eliminar

los

enores

de
programacion ( porque
los

,ac-ers
(
el

soft4are

mali-
cioso
pueden e3plntar
las

vulnera)ilidades

del

soft4are,

Los

usuarios

finales
pueden
introducir

errores.
0. valAe

el

valor

de
negocios
de

la
segiiridad y
el

control.
La
seguridad (
el

control
constitu(en
areas
importantes pero
niuc,as

veces

descuidadas
para
la

inversion
en

sistemas

de

informacion.

Las
empresas que depcndcn
de

sistemas

de
computo para
realizar

sus

funciones
de
negocios
esenciales
pueden perder
ventas
( productividad,
Los

activos

de
infonnacion,
como
registros
confidenciales

de
empleadns,
secretos

comereiales

o
planes
de
negocios, picrden gran parte
de

su

valor

si

son
revelados

a

e3tranos

o

si
e3ponen
a

la
empresa
a
responsa)ilidad legal.
La

nueva
legislacidn,
como

la
'2PAA,
la
Le( +ar)anes-83le( (
la
Le( :ramm-Leac)->lile(, e3igen
a

las
empresas que practiquen
una
rigurosa
ad-
ministracion

de
registros
electronicos
( que
se
apeguen
a

estandares

cvstrictos

de
seguridad, privaeidad (
con/
trol.

Las

acciones
legales que requieren
evidencia

electronica
(
el
computo
forense

tam)ien
e3igen
a

las

em/
presas que pongan
mas

atencidn

a

la
seguridad (
a

la

administraeion

de
registros
electrdnicos.
,. !isene

una

esryuctura
organi"ational para
la
seguridad y
el

control,
Las
empresas
necesitan

esta)leeer

una

estructura
organiaacional (
administrativa

adecuada
para
la
segu/
ridad
(
el
control,
con

el
proposito
de

utilizar

las
tecnojogias
de

manera

efectiva

en

la
proteccion
de

sus

re/
cursos

de

informacion,

Una

evaluacion

del
riesgo
valora

activos

de
informacion,
identifica
puntos
de

control
(
de)ilidades

de
control, (
determina

el
conjunto
de

eontroles

mas

reditua)le.
Las
empresas
tam)ien

de)en

desarrollar

una
politica
de
seguridad corporativa
co,erente
( planes para
continuar

las
operaciones
del
negocio
en

caso

dc

un

desastrc

o

una

alteracion

La
politica
de
seguridad
in-
clu(e politicas para
el

uso
acepta)le (
la

autorizacidn,

Un
plan para
la
recuperacion
dc

desastres
proporeio-
na
procedimientos
e

instalaciones
para
restaurar

los

servicios

de
computo (
coraunicacione.s
despues
de
que
se

)an
interrumpido,
en

tanto
que
un
plan para
la

continuidad

del
negocio
se

enfoca

en

la

manera

en
que
la
empresa puede
restaurar

las
operaciones
del
negocio.
La

auditoria
integral (
sistematica

de

un

12+
a(tida
a

las
organizaciones
a

determina

r

la

efectividad

de

la
seguridad (
los

eontroles
para
sus

sistemas

de

informacion.
-. miue

las

herr#rt$ientas
y tecnologtas
mcis
importantesara salvagitardar
los

recursos

de
infonnacion.
Las
empresas requieren
medidas
especial
es
para soportar
los
procesos
del

comercio

elsetrdnico
(
los

ne/
gocios digitales,
Pueden

utilizar

sistemas

de
computo
tolerantes

a

fallas

o

crear

entornos

de
cdmputo
de

alta
disponi)ilidad para garantizar que
sus

sistemas

de

informacion
siempre
estdn
disponi)les (
se
desempeficn
sin
interrupciones,
Los

fire4alls

se

colocan

entre

la

red
privada
de

una
organizacion (
las

redes
e3ternas,
co/
mo
2nternet, para impedii que
usuarios

no

autorizados

accedan

a

la

red
privada,
Los

sistemas

de

deteccidn
de

intrusiones
vigilan
las

redes
privadas
en

)usca

de

trafico

de

red
sospec,oso
e

intentos

de

aceeder

a

los
sistemas
corporativos.
Para

autenticar

a

los

usuarios

de

un

sistema

se

utilizan
eontrasefias, to-ens, taijetas
inteligcntes (
autenticacion

)iometrica.

El

soft4are

antivirus

revisa

los

sistemas

de
computo para
cerciorar-
se
que
esten

li)res

de

iniEecciones
por
virus
( gusanos, (
con

frecuencia

eliniinan

el

soft4are
malicioso,
en
tanto
que
el

soft4are
antisp(4are
com)ate

los
program
as

de
spjr4are
intrusivos
( perjudiciales.
La
encrip-
tacion,
la

codificaeidn
y
eifrado

dc
mensajes,
es

una
tecnologia ampliamente
utilizada
para proteger
las
transmisiones

eleetronicas

a

traves

de

2nternet
(
de

redes

Wi-Fi.

Los

certificados
digitales
com)inados

con
encriptacidn
de

clave
pu)lica proporcionan proteccion
adicional

a

las

transacciones

electronicas
por
medio
de la autenticacidn de la identidad de un usuario.
,-6 Prte D!#
2nfraestructura de tecnologiEa de irfofmacifin
Trminos cl2e
%idministracidn

de
registros electmnicos &'()*, +,-
Ataque
de
rtegacidn del servicia &!o.*, +,,
Ataque
distribuido

de
negacion
del

servido
&!!o.*, +,/
Auditoria de )0., ++1
Autenticacian biometrica, GGD
A1fenficitcuAn, GG;
'ottiet, +,,
Calrallo de 'lyoya, +,2
Certificados digitales, +1,
Ci3$ervandalism4$ +,5
Computacion orientada a h recuperacton, GGG
Cdmpiito de alta disponihilidad, +++
Cdmputo forense, +,6
Control de acceso, ++7
Controles, G6D
Crac8er, +,5
!irector

de
segnridad (CSO)
++5
ncriptacion de clave ptiblica, +15
9ncriptacion, ++6
miuacion de riesgos, GG$
vil t:ins, +,7
;iltrado de pcu$uetes, ++-
;iltrado pro#y de aplicaciort, GG&
;irma digital, +1,
;raude del die, +,6
<uerra mdm'l, +5-
<usanos, +56
=ac8er, GG6
=3;AA, +,-
0nfraestructura
de
clave pitblica &>?l*, +1,
0ngenierta social, +,@
0nspeccion completa del estado, ++-
0.4 5@@66, ++2
Pre%(nt#
"e
rep#!
6.
i Por que
son

tan
vul nera)i es los si st emas de
comput oO 9escri)a las amenazas mcis coni unes
contra los sistemas de infonnaciDn cont empora-
neos.
0.
2or que es tan dificil proteger a 2nternet y a las
redes Wi-FiO
,.
i =ue es el mal4areO 9escri)a la diferencia ent re
nil
virus,
un
gusano ( un ca)allo de .o(a,
-.
+ue es un ,ac-erO $e "u7 manera los ,ac-ers
crean pro)l emas de seguridad ( danan los siste/
masO
A.
$e que
manera
afecta el soft4are la confia)ili-
dad ( la seguridad de los sistemasO
6. (i=u+ es un delito informaticoO Proporcione dos
ejemplos en los cuales las comput adoras son o)je-
tivos del delito ( dos ejemplos en los cuales
son
i nst rument os para el delito,
C.
i En que consiste el ro)o de identidadO 2or que
es uno de los pri nci pal es pro)l emas actualesO
Aey <rammBAeachB'l9eyf +,-
Aey .arbane='4#ley, +,6
)etl:are, +56
>arches, +,@
>harming, +,7
>hishing, +,7
>loneacion para la continuidaA del negocio, GGG
>lc:eacion para la recuperacion de desistres, GGG
>o9tica de seguridad, GG6
>olttiea
de

uso
aceptable &A9>*,
++5
;oliticas de autori"acidn, ++5
>rocesaniiento de trartsacciones en linea, +++
>rotocolo
de
Capa
de
Cone#ion .egura &..A*, ++6
>rotocolo de 'lyansferencia de =iperte?to .eguro &.B=CC>*,
++6
>roveedores de servicios de seguridad administrados
C)..>s3, ++1
(egistradores de claves, +,5
(obo de identidad, +,7
.eguridad
de

la
Capa de CDansporte &CA.*,
++6
.egtiridad, +56
.isterncis de administracidn de autori"aciones, ++5
.istemas de cdmputo tolerantes a fallas, +++
.iste}nas de deteccion de intnisioties, ++-
.niffer, +,5
.oftiuare antivirus, ++-
.poofing, +,5
.py:are, +,5
Chr$eta inteligente, GGD
Ciempo de caida, GGG
Cb8en, GGD
lDaduccion

de

!irecciones

de

(ed
(E!A.A,
++-
Virus de computadora, +i6
$e quD
manera

fomenta

el
p,is,ing
el

ro)o

de
identidadO
5.
i0omo
se
pueden
utilizar

los

sistemas

de
compu/
to ( las redes
de
comput adoras para el
ci)erterro-
rismo
( el ci)erarmament oO
D.
+.ue pro)lemas
de
seguri dad propician los
em-
pleadosO
B..
9efina la seguridad ( el control. $e que manera
proporcionan valor de negociosO /dmo se rela-
donan
la
seguridad (
el
control
con

los
recientes
requerimient os regulatorios del go)ierno
de

Esta-
dos Unidos ( con el computo forenseO
66.
/u'l es la funcidn de la evaluacion
del
riesgoO
/dmo se realiza en los sistemas de informaci0inO
B0.
9efina (
descri)a

lo
siguiente5 politica
de
seguri/
dad, politica de uso acepta)le, politica
de

autori/
zacidn.
B,.
1encione la diferencia entre el computo toleran-
te
a

fallas
(
el

de

alta
disponi)ilidad, (
ent re

la
planeacifin para
la
recuperacion
de

desastres
(
la
planeacion para
la

continuidad

del
negocio.
B-.
$e que
manera
proinueve
la
seguridad (
el

con/
trol la auditoiia de 12+O
BA.

1encione
(
descri)a

tres

metodos

de

autentica-
ciDn.
B6. 9escri)a los roles de los fire4alls, los sistemas de
deteccion

de

intrusiones
(
el

soft4are

antivirus
para promover
la
seguridad.
BC.
i0omo
se
puede
utilizar

la
encriptacion para pro-
teger
la

informadonO

9escri)a

el

rol

de

la
encrip-
tacion
(
los

certificados
digitales
en

una

infraes-
tructura

de

clave
pu)lica.
C#! en 2i"e!
En el sitio We) del li)ro encontrar+ un caso en video
que
ilustra
algunos
de

los
conceptos
de

este
capim-
lo, junto
con
preguntas que le a(udaran
a

analizar
el
caso.
Cpi/t(l!
5

Pr!tecci!*i

"e

l!#

#i#te1#

"e

in*r1ci6n

,-C
Pre%(nt# pr
"ebtir
B.

La
seguridad
no

es

solo

un
pro)lema
de

la

tecno-
logia,
sino

de

los
negocios.
*ealice

un

de)ate.
0.

+i

usted

estuviera

desarrollando

un
plan
de

conti/
nuidad

del
negocio para
su
empresa, por
dDnde
empezanEaO i=.ue aspectos
del
negocio
de)eria
a)ordar

el
planO
Trb=!
en
eE(ip!;
e2l(ci"n

"e

l#
?err1ient#

"e

#!*t>re
pr
#e%(ri""
En

un
grupo
de

tres

o

cuatro
estudiantes,
utilicen

la
We)
para investigar (
evaluar
productos
de
seguridad
de

dos

fa)ricantes
diferentes,
como

soft4are

antivi/
rus,
fire4alls

o

sofl54are
antisp(4are,
9escri)a

las

ca-
pacidades
de

cada
producto, para que tipos
de
nego/
cios

son

mas
adecuados, (
el

costo

de
coniprarlos
e
instalarlos.
i0u+l
es

el
mejor productoO 2or queO
+i
es
posi)le,
utilice

soft4are

de
presentaciones
electrd-
nicas
para e3poner
sus

conclusiones

a

la

clase.