SISTEMAS DE INFORMACIÓN GERENCIAL

Objetivos:

• Comprender el significado del concepto de seguridad informática.

• Comprender el concepto de seguridad debe ser un objetivo global para una organización.

• Reconocer la importancia de la legislación, con relación a la formulación de la visión de seguridad en una organización.

• Reconocer la relación existente entre seguridad y riesgos.

SEGURIDAD INFORMÁTICA

Concepto de Seguridad – Principios y Perspectivas

Seguridad: Principios y Perspectivas

Para la Organización Para la Dirección Para el Director del Dpto. de TI

Para el Administrador de Sistemas

Para el Dpto.Jurídico

Se constituye como todas aquellas Medidas que garanticen laseguridad de sus trabajadores (Recursos Humanos) y el entorno (ambiental, social, perimetral) en donde se encuentra la Organización.

Proteger todo lo que contiene la organización,Garantizando la seguridad en los procesos Productivos, los procesos internos y los diferentesDepartamentos o unidades organizacionales,

cumpliendo con la normativa legal.

• Integridad de sus trabajadores.

• Que los trabajadores

no roben el conocimiento de su empresa.

Se trata de un proceso global,Debiendo por ello cumplirCon la normativa que establezcaLa organización y los aspectosLegales vigentes.

En dicho proceso definiríaTambién, las políticas deFuncionamiento y seguridad deLas SI/TI.

Significa que los SI/TI debenEstar libres de riesgos yDaños (físicos y/o lógicos).

Debe garantizarse que los Usuarios puedan acceder a losRecursos del sistema, conLas credenciales autorizadasPara tal fin.

Los bienes y derechosDe la organización y De los trabajadores enSu relación con laEmpresa, deben serProtegidos y preservados,Tanto del uso ilícito comoEl mal uso involuntario.

Seguridad informática

Seguridad Informática

Qué queremos asegurar ?

El concepto de seguridad debeestar asociado a uno que le daSentido: VALOR.

Hardware

Software

Datos

Seguridad informática

Seguridad Informática

Qué queremos asegurar ?

LA INFORMACIÓN

Seguridad Informática - Concepto

Concepto

Conjunto constituido por las diversas metodologías, documentos,

Software y Hardware, que determinan que el acceso a los recursos

De un sistema informático, sea realizado exclusivamente por los

Elementos autorizados a hacerlo.

INVIOLABILIDAD ABSOLUTA VS. FIABILIDAD

Los SI/TI actuales, no pueden garantizar la inviolabilidad absoluta de los sistemas, por

Lo cual se define a la Fiabilidad como el concepto que la empresa debe perseguir.

Seguridad Informática - Fiabilidad

Confidencialidad Integridad Disponibilidad

Los recursos que integran el

sistema (información,

dispositivos de hardware,

software), sólo pueden ser

accedidos por los elementos

autorizados a hacerlo.

Los recursos del sistema sólo

pueden ser modificados o

alterados (borrado, copiado,

creado) por los elementos

autorizados a hacerlo.

Los recursos del sistema,

deben permanecer accesibles

a los elementos autorizados.

Seguridad Informática – De qué nos queremos proteger ?

Cómo pueden atacar un Sistema Informático

Resulta muy importante, el conocer las posibles maneras, sobre cómo puede atacarse un sistema para saber como debe protegerse.

Como consecuencia, debe analizarse las diversas "entidades" que pueden poner en peligro un sistema, así como sus métodos.

Pueden ser de índole muy diversa: desde personas como desastres naturales por ejemplo.

La protección de un sistema debe dirigirse al:

• Hardware

• Software

• Datos

Seguridad Informática – Tipos de Ataques

Interrupción Intercepetación Modificación Fabricación

Ataque contra la disponibilidad en el que se destruye o queda no disponible un recurso del sistema (por ejemplo, cortar una línea de comunicación o deshabilitar el sistema de archivos del servidor).

característico de ataque de interrupción son los ataques de denegación de servicio.

Ataque contra la confidencialidad en el que un elemento no autorizado consigue el acceso a un recurso.

En este tipo de ataque no se refiere únicamente a posibles usuarios que actúen como espías en la comunicación entre emisor y receptor.

Por ejemplo, un proceso que se ejecuta de forma oculta en un computador y que almacena en archivo las teclas que pulsa el usuario que utiliza el terminal, también constituiría un ataque de interceptación.

Ataque contra la integridad y la confidencialidad en el que, además de obtener el acceso no autorizado a un recurso, también se consigue su eliminación o modificación.

Los ataques realizados por los hackers (borrado de bases de datos, modificación de páginas web denominados web defacement, etc), son ejemplos típicos de esta modalidad de ataque.

Ataque contra la integridad en el que un elemento consigue crear o insertar objetos falsificados en el sistema.

Por ejemplo, añadir de forma no autorizada un nuevo usuario y su contraseña correspondiente en el archivo de contraseñas.

Seguridad Informática – Ataque cuyo origen pueden ser las personas

Ataques producidos por personas

La mayor parte de los ataques que puede sufrir un sistema informático provienen de las personas que, con distintos objetivos, intentan acceder a información confidencial, destruirla, o simplemente conseguir el control absoluto del sistema atacado.

Conocer los objetivos de los atacantes y sus motivaciones, resultará en consecuencia, esencial para la prevención y detección de sus acciones.

Los ataques producidos por las personas, se dividen en dos grandes clases:

• Pasivos

• Activos

Seguridad Informática – Ataques producidos por personas

Pasivos Activos

El atacante no modifica ni destruye ningún recurso del sistema informático, simplemente lo observa, normalmente con la finalidad de obtener alguna información confidencial.

A menudo, este ataque se produce sobre la información que circula a través de una red: El atacante no altera la comunicación, sino que sencillamente la escucha y obtiene la información que se transmite entre emisor y receptor.

Ya que la información que se transmite no resulta alterada, la detección de este tipo de ataque no es tarea sencilla porque la escucha no tiene ningún efecto sobre la información circulante.

Una solución muy eficaz que permite resolver este tipo de problema consiste en el uso de técnicas criptográficas para evitar que la información se transmita en claro y no pueda ser comprensible por los presuntos espías.

En una acción de este tipo, el atacante altera o destruye algún recurso del sistema. Por ejemplo, en el caso de un espía que monitoriza una red, podrían llegar a producirse graves problemas:

Suplantación de identidad: El espía puede suplantar la identidad de una persona y enviar mensajes en nombre suyo.

Reactuación: Uno o varios mensajes legítimos son interceptados y reenviados varias veces para producir un efecto no deseado (por ejemplo, intentar repetir varias veces un ingreso en una cuenta bancaria.)

Degradación fraudulenta del servicio: El espía evita el funcionamiento normal de los recursos del sistema informático. Por ejemplo, podría interceptar y eliminar todos los mensajes dirigidos a un usuario concreto.

Modificación de mensajes: Se modifica una parte del mensaje interceptado y se reenvía a la persona al cual se dirigía el mensaje originalmente.

Seguridad Informática – Perfiles de posibles atacantes

Perfiles

Personal de la propia organización: Aunque en principio el personal interno goza de la confianza de la organización, lo cierto es que algunos ataques pueden producirse desde el interior de la propia compañía.

A menudo, estos ataques no son intencionados (aunque cuando lo son, son los más devastadores que pueden producirse), y pueden tratarse de accidentes provocados por el desconocimiento del personal (por ejemplo, el formato accidental de un disco duro).

Antiguos trabajadores: Un porcentaje muy importante de los ataques a sistemas informáticos son los realizados por antiguos trabajadores que, antes de abandonar la organización, instalan programas destructivos, como por ejemplo, virus o bombas lógicas que se activan en ausencia del trabajador que, despedido o descontento por las condiciones de trabajo, ha cambiado de empresa.

La presencia de este tipo de software no es fácil de detectar, pero al menos sí es posible evitar los ataques que el ex trabajador pueda realizar desde el exterior, utilizando el nombre de usuario y contraseña que disponía cuando aún trabajaba en la organización.

Por lo tanto, como norma general, es necesario dar de baja todas las cuentas de los ex trabajadores y cambiar sus contraseñas de acceso al sistema lo antes posible

Seguridad Informática – Perfiles de posibles atacantes

Perfiles

Hackers (intrusos informáticos): Estas personas normalmente realizarán ataques pasivos orientados a la obtención de información confidencial (por ejemplo, un examen de un curso universitario), o simplemente su finalidad consistirá en ponerse a prueba para obtener el control del sistema atacado. Además, si el atacante es suficientemente hábil, incluso podría eliminar las huellas de sus acciones en los archivos que las registran (denominados genéricamente archivos log). Ya que este tipo de acciones no producen ningún efecto "visible", no son fácilmente detectables.

Cuando la finalidad de la intrusión es destructiva, la persona que realiza la acción recibe el nombre de cracker.

Intrusos remunerados: A pesar de no ser un tipo de ataque muy frecuente, también es pertinente tenerlo en cuenta: En este caso, los intrusos se encuentran perfectamente organizados (hasta pueden localizarse en distintas ubicaciones geográficas) y atacan conjuntamente el sistema de una organización determinada.

Disponen de muchos medios técnicos y reciben remuneraciones muy elevadas de la organización rival que dirige el ataque, a menudo con el objetivo de acceder a información confidencial (espionaje industrial), o bien con la intención de provocar un daño importante en la imagen de la organización atacada.

Seguridad Informática – Legales

Legislación

En la gran mayoría de países, debe encontrarse de marcos legislativos que permitan garantizar la seguridad de la información. Por ello, tanto la protección de los datos como la correcta gestión de la seguridad de los sistemas de TI, exigen conocimientos sobre la legislación vigente.

Los legisladores han establecido dicho marco legislativo con el propósito de garantizar la seguridad en relación con el tratamiento de datos y al mismo tiempo han velado para salvaguardar los intereses de los ciudadanos.

Seguridad Informática – Legales

Legislación en Colombia

En Colombia, el 5 de Enero de 2009 se promulgó la ley 1273 por medio de la cual se modificó el código penal.

Esta ley crea un nuevo bien jurídico tutelado, denominado: “ de la protección de la información y de los datos”, preservando integralmente los sistemas que utilicen TIC.

Se divide en dos capítulos: “de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y los sistemas informáticos” y “de los atentados informáticos y otras infracciones”.

Con esta ley se tipificaron como delitos una serie de conductas que están relacionadas con el manejo de los datos personales. Ello exigen como consecuencia, que las empresas conozcan con claridad dicha ley, para no incurrir en una acción que pueda ser tipificada como delito penal.

Seguridad Informática – Legales

Artículos ley 1273 – Capítulo I

Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes

Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Seguridad Informática – Legales

Artículos ley 1273 – Capítulo I

Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.   

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

Artículo 269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA: las penas imponible de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:

1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros.

2. Por servidor público en ejercicio de sus funciones.

3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este.

4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.

5. Obteniendo provecho para si o para un tercero.

6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.

7. Utilizando como instrumento a un tercero de buena fe.

8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales

Seguridad Informática – Legales

Artículos ley 1273 – Capítulo II

Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 [3] manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 del Código Penal [4] , es decir, penas de prisión de tres (3) a ocho (8) años.

Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.

La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa [5].

Seguridad Informática – El Valor de la información

INFORMACIÓN

Toda la información será Valiosa ? Qué información es valiosa y cuán valiosa es para la empresa ?

RECURSO DE LA INFORMACIÓN

Todo equipo, proceso o información que se asocia con la información y se considera, debe ser protegido por la organización.

VALOR DE LA INFORMACIÓN Consiste en el valor o costo asociado con:

• La creación de la información

• El almacenamiento de la información

• La retención y administración de la información

• El valor intrínseco de la información

Seguridad Informática – Protección de la Información

Protección de la información

Una vez se cuenta con el conocimiento del valor de la información, se deben evaluar que esfuerzos necesarios representa para la organización el protegerla.

La protección de la información, exige que la empresa realice inversiones progresivas, tanto en software como en hardware, así como personal especializado para su administración.

Factores a tenerse en cuenta

Si la pérdida de la información trae como consecuencia un costo (a nivel económico o de funcionamiento de la organización) para la creación de la misma menores que su protección, entonces no se protege.

Si la pérdida (temporal o permanente), divulgación o modificación de la información no afecta al funcionamiento de la organización, entonces ¿para qué se protege o almacena? Mejor borrarla. Ahorra costos.

Si la información no tiene valor, no la protegeremos.

Seguridad Informática – Protección de la Información

Protección de la información

El concepto de seguridad puede verse como la gestión del riesgo: Siempre y para cada caso, se debería realizar una evaluación de riesgos que incluya:

• un análisis del impacto de la organización por la pérdida (temporal o permanente), divulgación o modificación de la información para determinar el nivel de protección necesario.

Sin este análisis, no podría saberse qué información está adecuadamente protegida o no (subprotegida o sobreprotegida).

Metodologías para el análisis y la gestión de Riesgos - MAGERIT

Esta metodología fue desarrollada por el Consejo Superior de Administración Electrónica de España, como consecuencia del importante crecimiento en el uso de las TIC, tanto por empresas como personas naturales.

Esta metodología persigue los siguientes objetivos:

1. Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.

2. Ofrecer un método sistemático para analizar tales riesgos.

3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.

4. Preparar a la organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda a cada caso.

TOMADO DE: http://www.csae.map.es/csi/pg5m20.htm