Seguridad en los sistemas de información

1. TECNOLOGÍAS Y HERRAMIENTAS PARA PROTEGER LOS RECURSOS DE INFORMACIÓN

1.1. Las nuevas tecnologías de autenticación

1.1.1. Token

1.1.1.1. Es un dispositivo físico, similar a una tarjeta de identificación, que está diseñado para demostrar la identidad de un solo usuario.

1.1.2. Tarjeta inteligente

1.1.2.1. Es un dispositivo con un tamaño aproximado al de una tarjeta de crédito, que contiene un chip formateado con permiso de acceso y otros dato

1.1.3. Autenticación biométrica

1.1.3.1. Usa sistemas que leen e interpretan rasgos humanos individuales, como las huellas digitales, el iris de los ojos y las voces, para poder otorgar o negar el acceso

1.2. Firewalls

1.2.1. Evitan que los usuarios sin autorización accedan a redes privadas. Un firewall es una combinación de hardware y software que controla el flujo de tráfico de red entrante y salient

1.2.1.1. El filtrado de paquetes

1.2.1.2. La traducción de direcciones de red (NAT)

1.2.1.3. El filtrado de proxy de aplicación

1.3. Software antivirus y antispyware

1.3.1. Está diseñado para revisar los sistemas computacionales y las unidades en busca de la presencia de virus de computadora

1.4. Cifrado e infraestructura de clave publica.

1.4.1. El cifrado es el proceso de transformar texto o datos simples en texto cifrado que no pueda leer nadie más que el emisor y el receptor deseado.

1.4.1.1. La capa de sockets seguros (SSL) y seguridad de la capa de transporte (TLS)

1.4.1.1.1. Permiten que las computadoras cliente y servidor manejen las actividades de cifrado y descifrado a medida que se comunican entre sí durante una sesión Web segura.

1.4.1.2. El protocolo de transferencia de hipertexto seguro (S-HTTP)

1.4.1.2.1. Es otro protocolo que se utiliza para cifrar los datos que fluyen a través de Internet, pero se limita a mensajes individuale

1.5. Seguridad en la nube

1.5.1. Cuando el procesamiento se lleva a cabo en la nube, la rendición de cuentas y la responsabilidad de proteger los datos confidenciales aún recae en la compañía que posee esos datos.

2. VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

2.1. POR QUÉ SON VULNERABLES LOS SISTEMAS

2.1.1. Cuando se almacenan grandes cantidades de datos en forma electrónica, son vulnerables a muchos más tipos de amenazas que cuando existían en forma manual. Los sistemas de información se interconectan en distintas ubicaciones a través de las redes de comunicaciones.

2.2. Vulnerabilidades de Internet

2.2.1. Las redes públicas grandes, como Internet, son más vulnerables que las internas, ya que están abiertas para casi cualquiera. Internet es tan grande que, cuando ocurren abusos, pueden tener un impacto mucho muy amplio.

2.3. SOFTWARE MALICIOSO

2.3.1. virus de computadora

2.3.1.1. Es un programa de software malintencionado que se une a otros programas de software o archivos de datos para poder ejecutarse, por lo general sin el conocimiento o permiso del usuario.

2.3.2. Gusanos

2.3.2.1. Programas de computadora independientes que se copian a sí mismos de una computadora a otras computadoras a través de una red

2.3.3. caballo de Troya

2.3.3.1. Es un programa de software que parece ser benigno, pero entonces hace algo distinto de lo esperado, como el virus troyano Zeus descrito en el caso de apertura del capítulo

2.4. LOS HACKERS

2.4.1. Es un individuo que intenta obtener acceso sin autorización a un sistema computacional.

2.4.1.1. El spoofing

2.4.1.1.1. también puede implicar el hecho de redirigir un vínculo Web a una dirección distinta de la que se tenía pensada, en donde el sitio se hace pasar por el destino esperado.

2.4.1.2. Sniffing

2.4.1.2.1. es un tipo de programa espía que monitorea la información que viaja a través de una red.

2.5. Ataques de negación de servicio

2.5.1. ataque de negación de servicio (DoS)

2.5.1.1. los hackers inundan un servidor de red o de Web con muchos miles de comunicaciones o solicitudes de servicios falsas para hacer que la red falle

2.5.2. ataque de negación de servicio distribuida (DDoS)

2.5.2.1. Utiliza varias computadoras para saturar la red desde muchos puntos de lanzamiento.

2.6. Robo de identidad

2.6.1. Es un crimen en el que un impostor obtiene piezas clave de información personal, como números de identificación del seguro social, números de licencias de conducir o números de tarjetas de crédito, para hacerse pasar por alguien más.

2.7. Fraude del clic

2.7.1. Ocurre cuando un individuo o programa de computadora hace clic de manera fraudulenta en un anuncio en línea, sin intención de aprender más sobre el anunciante o de realizar una compra. El fraude del clic se ha convertido en un grave problema en Google y otros sitios Web que cuentan con publicidad en línea del tipo “pago por clic”.

3. CONTROLES DE LOS SISTEMAS DE INFORMACIÓN

3.1. Controles generales

3.1.1. Gobiernan el diseño, la seguridad y el uso de los programas de computadora, además de la seguridad de los archivos de datos en general, a lo largo de toda la infraestructura de tecnología de la información de la organización.

3.1.1.1. Cuentan con controles de software, controles de hardware físicos, controles de operaciones de computadora, controles de seguridad de datos, controles sobre la implementación de procesos de sistemas y controles administrativos.

3.2. Controles de aplicación

3.2.1. son controles específicos únicos para cada aplicación computarizada, como nómina o procesamiento de pedidos

3.2.1.1. Los controles de aplicación se pueden clasificar como controles de entrada, controles de procesamiento y controles de salida.