SISTEMAS DE INFORMACIÓN EMPRESARIAL

UNIDAD V

SEGURIDAD Y CONTROL

PIERRE SERGEI ZUPPA AZÚA

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

KEYWORD

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Entorno de control

Son para minimizar ataques al

sistema basado en políticas y
procedimientos especiales en el
diseño e implementación del SI.
El Control consiste en métodos,
políticas y procedimientos que
aseguran la protección de los
activos de la empresa, la
exactitud y confiabilidad de sus
registros y el apego de sus
operaciones a los estándares que Características de la seguridad de la
defina la administración. información

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Hackers y virus de computadora

Los Hackers pueden introducir

software malicioso provocando
pérdidas importantes para la
organización.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Tipos de control

Controles generales Controles de aplicaciones

Que establecen un marco de Únicos para cada aplicación
trabajo para controlar el diseño, computarizada.
la seguridad y el uso de
programas de computación a lo
largo de una organización.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Tipos de control

Falla del hardware Fuego

Falla del software Problemas eléctricos

Acciones del personal Errores del usuario

Penetración de acceso a Cambios de programa

terminales

Robo de datos, de servicios o de Problemas de telecomunicación

equipos

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Amenazas de seguridad informática

No solo las amenazas que surgen

de la programación y el
funcionamiento de un dispositivo
de almacenamiento, transmisión
o proceso deben ser
consideradas, también hay otras
circunstancias que deben ser
tenidas en cuenta, incluso «no
informáticas».

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Las amenazas pueden ser causadas por:

Usuarios: sus acciones causan
problemas de seguridad, si bien en la Un siniestro (robo, incendio,
mayoría de los casos es porque tienen inundación): una mala manipulación o
permisos sobre dimensionados. una mala intención derivan a la pérdida
del material o de los archivos.
Programas maliciosos: programas
destinados a perjudicar o a hacer un Personal técnico interno: disputas
uso ilícito de los recursos del sistema internas, problemas laborales,
despidos, fines lucrativos, espionaje,
Errores de programación: pueden ser etc.
usados como exploits por los crackers,
aunque se dan casos donde el mal Fallos electrónicos o lógicos de los
desarrollo es, en sí mismo, una sistemas informáticos en general.
amenaza.
Catástrofes: causas naturales: rayos,
Intrusos: consiguen acceder a los datos terremotos, inundaciones, rayos
o programas a los cuales no están cósmicos, etc.
autorizados (crackers,
defacers, hackers, script kiddie o script
boy, viruxers, etc.).

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Tipos de amenaza

• Origen
• Internas
• Externas
• Medio utilizado
• Efecto

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Amenazas por el efecto

Causan a quien recibe los ataques podría

clasificarse en:

• Robo de información.

• Destrucción de información.

• Anulación del funcionamiento de los

sistemas o efectos que tiendan a ello.

• Suplantación de la identidad, publicidad

de datos personales o confidenciales,
cambio de información, venta de datos
personales, etc.

• Robo de dinero, estafas

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

MALWARE

Es el acrónimo, en inglés, de las

palabras ‘MALicious’ y
‘softWARE’, por lo que se conoce
como software malicioso. En este
grupo se encuentran los virus y
otras nuevas amenazas que han
surgido con el tiempo.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Malware

Spam Virus

Es el correo electrónico no Programa informático creado

deseado o correo basura, que se para producir algún daño en el
envía sin ser solicitado, de computador.
manera masiva, por parte de un • Actúan por sí solos.
tercero. • Se reproducen (contagian).

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Malware

Spyware Phishing
Son programas espía para Consiste en el robo de
recopilar información del usuario información personal y financiera
sin su consentimiento. Su del usuario, a
objetivo más común es obtener través de la falsificación de un
datos sobre los hábitos de ente de confianza.
navegación o comportamiento en
la web del usuario atacado y
enviarlos a entes externos.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

MALWARE

Ingeniería social Adware

Es una acción o conducta social ADvertisement (anuncio) y

destinada a conseguir softWARE). Se trata de
información de
un programa malicioso que se
las personas cercanas a un
instala en el computador sin que
sistema por medio de
el usuario lo note, y cuya función
habilidades sociales. Con esto se
busca que el usuario es descargar y mostrar anuncios
comprometa al sistema y revele publicitarios en la pantalla de la
información valiosa por medio de víctima.
variados tipos de engaños, tretas
y artimañas.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

MALWARE

Botnets Gusanos
Es una red de equipos infectados Son un sub-conjunto de
(robot o zombi) por códigos malware. Su principal diferencia
maliciosos, los cuales son con los virus tradicionales es que
controlados no necesitan de un archivo

por un delincuente informático el anfitrión para seguir vivos, por lo

cual, que se reproducen utilizando

de manera remota, envía diferentes medios como las

órdenes a los equipos zombis redes locales o el correo

haciendo uso de sus recursos. electrónico.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

MALWARE

Troyanos
SCAM
Son archivos que simulan ser Son estafas a través de medios
normales e indefensos, como tecnológicos. Los medios
pueden ser juegos o programas, utilizados por el scam son
provocan al usuario para que los similares a los que utiliza el
ejecute y así logran instalarse en phishing, si bien su objetivo no
los sistemas. es obtener datos sino lucrar de
forma directa a través del
engaño.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

ROOTKIT
Son herramientas como
programas, archivos, procesos,
puertos o cualquier componente
lógico diseñadas para mantener
en forma encubierta el control de
un computador. No es un
software maligno en sí mismo,
sino que permite ocultar las
acciones malignas que se
desarrollan en un equipo.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

FIREWALL
Un firewall actúa como una
barrera entre la red y el exterior,
asegurando el perímetro y
evitando que los hackers
accedan a datos financieros de
importancia o información sobre
clientes, incluyendo los números
de cuentas bancarias o tarjetas
de crédito.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Consejos de seguridad
1. Aplicar los últimos parches al
software

2. Formación sobre seguridad

3. Creación de una política para

seguridad para tener bajo
control bienes informáticos

4. Desconectar y eliminar
servicios innecesarios

5. Bloquee documentos
adjuntos sospechosos

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Metodológicas y herramientas para garantizar

la calidad del software

Metodologías estructuradas: Se refiere al hecho de que las

técnicas se bosquejan cuidadosamente, paso a paso; cada paso
se construye con base en el anterior.

Análisis estructurado: Es un método para definir entradas,

procesos y salidas del sistema y para particionar los sistemas en
subsistemas o módulos que muestran un modelo grafico lógico
de flujo de información

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Metodológicas y herramientas para

garantizar la calidad del software

Diseño estructurado: Comprende un conjunto de reglas y

técnicas de diseño que promueven la claridad y sencillez del
programa, reduciendo así el tiempo y el esfuerzo requeridos
para codificación, depuración y mantenimiento. El principio
básico es que un sistema debe diseñarse en forma jerárquica
y refinarse a niveles mayores de detalle.

Programación estructurada: Extiende los principios que

gobiernan el diseño estructurado a la escritura de programas
para hacer que estos sean fáciles de entender y modificar.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Tipos de seguridad

Seguridad física Seguridad lógica

Consiste en la "aplicación de Involucra todas aquellas medidas
barreras físicas y procedimientos establecidas por la
de control, como medidas de administración -usuarios y
prevención y contramedidas ante administradores de recursos-
amenazas a los recursos e para minimizar los riesgos de
información confidencial. seguridad asociados con sus
operaciones cotidianas.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Medidas de seguridad

Física Lógica
• Acceso físico Es la aplicación de barreras y

• Desastres naturales procedimientos que resguarden

• Alteraciones del entorno el acceso a los datos y sólo se

permita acceder a ellos a las
personas autorizadas para
hacerlo.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Posible riesgo en los sistemas de información

Las personas: cuando se Criterios de acceso

menciona la seguridad del centro • ¿qué personas pueden
de datos, lo más probable es que acceder a qué áreas?
en primer lugar pensemos en • Identidad personal.
sabotaje, espionaje o robo de
• Motivo para estar allí.
datos.
• Necesidad de conocimiento.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Mecanismos de seguridad básicos

en un centro de datos

Sistema
Biométrico.

Cámaras

Credencialización

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Mecanismos de seguridad básicos

centro de datos
Sistemas de Detección de
Incendios.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Administración de los sistemas de

seguridad
Proporcionan:

A B C

Información Control de Emisión de

remota. dispositivos. alarmas.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Los dispositivos de control de acceso

RFID
Capacidad de reprogramación

Resistencia a la falsificación
Lector de
OFRECEN
DIVERSOS Proximidad
Fácil interacción con las lectoras de tarjetas
GRADOS DE
RENDIMIENTO
Conveniencia Lector Magnético
COMO:

Volumen de datos que incluye

Costo de tarjetas y lectoras

Lector
Biométrico

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Tabla comparativa de sistemas

biométricos
Geometrí
Ojo Ojo Huellas Escritura
a de la Voz Cara
(Iris) (Retina) dactilares y firma
mano

Fiabilidad Muy alta Muy alta Alta Alta Media Alta Alta

Facilidad de
Media Baja Alta Alta Alta Alta Alta
uso

Prevención
Muy alta Muy alta Alta Alta Media Media Media
de ataques

Aceptación Media Media Media Alta Muy alta Alta Muy alta

Estabilidad Alta Alta Alta Media Baja Media Media

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Seguridad lógica

Objetivos Aspectos a recalcar

1. Restringir el acceso
programas y archivos
2. Asegurar que los operadores
puedan trabajar sin una
supervisión minuciosa y no puedan
modificar los programas ni los
archivos que no correspondan.
3. Asegurar que se estén utilizando
los datos, archivos y programas
correctos en y por
procedimiento correcto.
a los
La importancia de la información
para la organización
La necesidad de la seguridad
La importancia de definir los activos
sensibles y críticos a proteger.
el
Las responsabilidades

4. Que la información transmitida

sea recibida por el destinatario al
cual ha sido enviada y no a otro.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Dimensiones seguridad lógica

Controles de acceso
para salvaguardar la
integridad de la
información
 La autenticación o almacenada.

acreditación de usuarios.

Identificar
individualmente a
 El secreto de archivos y cada usuario y sus
actividades en el
transmisiones. sistema.

Controlar y
salvaguardar la
información
generada.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Aspectos a evaluar respecto a las

contraseñas pueden ser
 Quien asigna la contraseña:
Inicial y sucesivas.
 Vigencia, incluso puede
haberlas de un solo uso o
dependientes de una función
tiempo.
 Numero de intentos que
permiten al usuario
 Protección o cambios de la
contraseña iníciales que
llegan a los sistemas

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Tipos de penetración
Penetración externa: Se verifican
los sistemas de forma que estén
protegidos frente a ataques desde
fuera de la organización.

Penetración interna: Consiste en el

mismo estudio de la penetración
externa, pero haciendo la
suposición que el ataque procederá
desde el interior de la empresa, es

decir, por usuarios del sistema.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Causas de estudio la seguridad lógica

• Virus

• Hackers

• Sistemas Operativos
Inestables

• Copias de Seguridad

• Programas mal diseñados.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Estandares de seguridad

 Identificacion y
Autentificacion

 Roles

 Transacciones

 Limitaciones a los servicios

 Modalidad de Acceso

 Ubicacion y Horario

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Recomendaciones
• Utilización de un sistema
operativo relativamente seguro
(NT, 2000, UNIX, Linux, etc.)

• Elección de buenos passwords

(es el principal).

• Activado del protector de

pantalla con password cuando
el equipo queda desatendido y
hacer logoff antes de retirarse
del mismo.

• Utilización de un buen firewall.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Administración de la privacidad

Se encuentra influenciada al
menos por tres elementos
claves:

• Fraude

• La economía

• Las regulaciones

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Shaw ciclo de vida para la privacidad y la

seguridad de la información
1. Identificar y revisar los estatutos y
regulaciones aplicables a la
organización

2. Identificar y analizar las fuentes

potenciales de responsabilidad

3. Aplicación de políticas y valoraciones

de riesgos

4. Diseño, aplicación y validación de los

controles de seguridad y privacidad
de la información

5. Asegurar el cumplimiento, los

procesos de auditoría y certificación

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Seguridad de los datos

de acuerdo con Shaw
• Las fases y entregables del
ciclo de vida de la privacidad
y la seguridad de la
información.
• Conocer los riesgos e
impactos relacionados con la
seguridad de la información y
la privacidad.
• Las razones fundamentales
referentes a la protección de
los datos.
• Los costos y otros impactos
de las brechas de seguridad y
la subsecuente pérdida y
revelación de información.
• La relación existente entre
seguridad de la información y
privacidad.

www.utel.edu.mx
 Sistemas de información empresarial
Seguridad y control

Profesionales de la seguridad de acurdo a

Shaw
• En la seguridad de la información para evaluar
los impactos relevantes de las amenazas y
vulnerabilidades de la información.

• En tecnologías de información, para

implementar las soluciones adecuadas en los
ambientes técnicos establecidos.

• En las ciencias jurídicas para analizar y

recomendar frente a las obligaciones legales y
contractuales, así como de los aspectos de
cumplimiento requeridos frente a
ordenamientos nacionales e internacionales.

www.utel.edu.mx
Sistemas de información empresarial
Seguridad y control

Frase

“La seguridad no es un producto, es un proceso

constante”

“La seguridad de la información ya no es solamente una buena

práctica de negocio, sino un requerimiento legal”.

www.utel.edu.mx