1

CAPITULO 8

SEGURIDAD Y CONTROL DE SISTEMAS DE INFORMACIN

Vulnerabilidad y abuso de los sistemas
Los sistemas de informacin concentran los datos en archivos de computadoras a los que
podran tener fcil acceso un gran nmero de personas y grupos externos a la organizacin. Por
ello, los datos automatizados son ms susceptibles a destruccin, fraude, error y abuso. Cuando
los sistemas de computacin fallan o no funciona como es debido, las compaas que dependen
mucho de ellos experimentan una prdida grave de su capacidad para operar.
Si usted opera un negocio, necesita hacer de la seguridad y el control sus principales
prioridades. La seguridad se refiere a las polticas, procedimientos y medidas tcnicas utilizadas
para impedir el acceso no autorizado, la alteracin, el robo o el dao fsico a los sistemas de
informacin.
Por qu son vulnerables los sistemas?
Cuando se almacenan grandes cantidades de datos en forma electrnica, estos son vulnerables a
muchos tipos de amenazas a los que no estn expuestos los datos asentados en papel. Los
adelantos en telecomunicaciones software de computadora han intensificado esta vulnerabilidad.
Gracias a las redes de telecomunicacin es posible que haya acceso no autorizado, abuso o
fraude, no estando limitado a un solo lugar, sino que puede darse en cualquier punto de acceso a
la red. Las redes inalmbricas son an ms vulnerables a la penetracin, porque es fcil explorar
las bandas de radiofrecuencia.
Las amenazas pueden derivarse de factores tcnicos, organizacionales y del entorno combinados
con decisiones administrativas deficientes. En el entorno de computacin cliente/servidor
multicapa existen vulnerabilidades en cada capa y en las comunicaciones que tienen lugar entre
las capas. Los usuarios en la capa del cliente pueden causar dao al introducir errores, acceder al
sistema sin autorizacin, o descargar spyware y virus sin darse cuenta.
Los hackers pueden, acceder a los datos valiosos durante su transmisin o alterar mensajes sin
autorizacin. Internet y otras redes son altamente vulnerables a alteraciones por la radiacin.

Los sistemas tienen un mal funcionamiento si el hardware de cmputo se descompone, si no
est configurado apropiadamente o si est daado por un uso inadecuado o por actos delictivos.
Las fallas de energa, los incendios u otros desastres naturales pueden alterar los sistemas de
cmputo.
Sin fuertes medidas de seguridad, los datos valiosos se pueden perder o destruir, o caer en
manos equivocadas y revelar secretos comerciales importantes o informacin que viole la
privacidad personal.

Vulnerabilidades de internet

Es ms vulnerable que las redes internas porque estn abiertas a todo el mundo. Cuando las
redes corporativas se enlazan a internet, los sistemas de informacin son vulnerables a ataques
de extraos.
Las computadoras conectadas constantemente a internet estn ms abiertas a la intrusin de
extraos que las que permanecen menos tiempo. En las conecciones de banda ancha estn
conectadas ms tiempo, los ataques se pueden realizar con ms rapidez, y en las lneas DSL que
ofrecen direcciones IP fijas a los clientes, es ms fcil establecer la identidad de una
computadora local.
La mayor parte del trfico de voz sobre IP en internet no est encriptado, por lo que los hackers
pueden escuchar potencialmente las conversaciones en un gran nmero de puntos desde el
mdem de la red de rea local (LAN) hasta los servidores vecinos.
El correo electrnico podran contener archivos adjuntos que sirven como trampoln para el
software malicioso o acceso no autorizado a los sistemas corporativos internos.
2

Las aplicaciones de mensajera instantnea no utilizan una capa de seguridad para los mensajes
de texto, por lo que stos pueden ser interceptados y ledos por extraos durante la trasmisin
sobre Internet. En algunos casos, las actividades de mensajera instantnea sobre internet se
puede utilizar como puerta trasera a una red que de otra manera sera segura.

Retos de seguridad de los servicios inalmbricos
No es seguro conectarse a una red de puntos activos Wi-Fi, porque estas redes estn abiertas y
no aseguradas, lo que significa que cualquiera puede acceder a ellas, y la comunicacin entre su
computadora porttil y el servidor inalmbrico no est encriptada.
Con frecuencia, las redes inalmbricas de los hogares no estn aseguradas mediante
encriptacin, y los hackers que pasen por su casa pueden utilizar fcilmente su red y escuchar
sus comunicaciones con su ruteador inalmbrico. Incluso los dispositivos de comunicaciones
Bluetooth tienen evidentes fallas en la seguridad de sus comunicaciones.
Las LANs que emplean el estndar 802.11 pueden ser fcilmente penetradas por extraos
equipados con computadoras porttiles, tarjetas inalmbricas, antenas externas y software de
piratera informtica. Los hackers utilizan estas herramientas para detectar redes desprotegidas,
monitorear el trfico de red y, en algunos casos, obtener acceso a internet o a redes corporativas.
La tecnologa de trasmisin Wi-Fi fue diseada para facilitar que las estaciones se encontraran y
escucharan entre s. Los identificadores de conjuntos de servicios (SSIDs) que identifican los
puntos de acceso en una red Wi-Fi se difunden mltiples veces y pueden ser detectados con
mucha facilidad por los programas husmeadores de los intrusos. Guerra mvil es aquello donde
los espa conducen cerca de los edificios e intentan interceptar el trfico de una red inalmbrica.
Un hacker puede emplear una herramienta de anlisis 802.11 para identificar el SSID. Un
intruso que se ha asociado con un punto de acceso utilizando el SSID correcto puede acceder a
otros recursos de la red y emplear el Windows para determinar qu otros usuarios estn
conectados a la red, acceder a los discos duros de sus Pc y abrir o copiar sus archivos.
Los intrusos pueden utilizar la informacin para establecer puntos de acceso ilegales en un canal
de radio diferente en ubicaciones fsicas cercanas a los usuarios para obligar a la NIC de radio
de un usuario a asociarse con el punto de acceso ilegal. Una vez que se realice esta asociacin,
los hackers que utilicen el punto de acceso ilegal pueden captar los nombres y contraseas de
usuarios sin que stos lo sospechen.

WEP Privacidad Equivalente Almbrica bsica requiere que un punto de acceso y todos sus
usuarios compartan la misma contrasea encriptada de 40 bits, la cual puede ser fcilmente
descifrada por los hackers a partir de una pequea cantidad de trfico.

Software malicioso
Los programas de software malicioso se conocen como malware e incluyen una diversidad e
amenazas como virus de computacin, gusanos y troyanos.
Virus de computadora es un programa de software malintencionado al que se adjunta a s
mismo a otros programas de software o archivos de datos con el propsito de ejecutarse, sin
conocimiento o permiso del usuario. La mayora de los virus trasmiten una carga til, que
podra se benigna o sumamente destructiva. Por lo general, los virus se esparcen de pc a pc
cuando los usuarios realizan una accin.

Gusanos son programas de computadora independientes que se copian a s mismos de una
computadora a otras de una red. Funcionan por s mismos sin adjuntarse a otros archivos de
programas de computadora y dependen menos de los actos humanos para esparcirse. Estos
destruyen datos y programas, as como alteran o incluso detienen el funcionamiento de las redes
de computadoras.
Ahora los virus y los gusanos se estn esparciendo a los dispositivos de computacin
inalmbricos. El gusano Cabir busca continuamente otros dispositivos de bluetooth y con el
tiempo descarga la bateria de un dispositivo. Los virus de dispositivos mviles plantean serias
amenazas a la computacin empresarial porque en la actualidad hay muchos dispositivos
inalmbricos enlazados a sistemas de informacin corporativos.
3

Caballo de troya es un programa de software que aparenta ser benigno pero que hace algo
distinto a lo esperado. Constituye una manera para que los virus y otro cdigo malicioso sean
introducidos en un sistema de cmputo.

Algunos tipos de spyware actan como software malicioso. Estos programas se instalan
subrepticiamente a s mismos en las computadoras para vigilar las actividades de navegacin del
usuario en la web y presentar publicidad.
El spyware ofrece a los extraos la posibilidad de invadir su privacidad y robar su identidad
personal.
Registradores de claves registran cada tecleo ingresado en una computadora para robar nmeros
seriales de software, para lanzar ataques por internet. Otros programas de spyware cambian las
pginas de inicio del navegador web, redirigen las solicitudes de bsqueda o disminuyen el
desempeo de la computadora al apoderarse de mucha memoria.

Hackers y cibervandalismo
Hacker es la persona que accede sin autorizacin a una red de computadoras, para lucrar, causar
daos, o por placer personal.
Cracker es un hacker con intenciones criminales.
Las actividades de un hacker van ms all de una mera intrusin a los sistemas para incluir el
robo de bienes e informacin, as como el dao de los sistemas y el cibervandalismo.
Cibervandalismo es la alteracin intencional, destrozo o incluso la destruccin de un sitio Web
o un sistema de informacin corporativo.
Spoofing puede involucrar la redireccin de un enlace web a una direccin diferente de la que
se pretende, con el sitio camuflado como la direccin pretendida y as poder recopilar y procesar
pedidos, robando informacin empresarial as como informacin delicada de los clientes del
sitio verdadero.
Sniffing es un tipo de programa que vigila la informacin que viaja a travs de una red. Cuando
se utilizan de manera legal, los sniffer ayudan a identificar puntos potencialmente problemticos
en la red o actividades delictivas en las redes, pero cuando se emplean con propsitos
criminales, pueden ser perjudiciales y muy difciles de detectar.
Ataques de negacin de servicios (Denial of Service)los hacker inundan un servidor de red o de
Web con muchos miles de comunicaciones o solicitudes de servicios falsas para que la red deje
de funcionar. La red recibe tantas consultas que no pueden atenderlas todas y en consecuencia
queda fuera de servicio para atender las solicitudes legtimas. Ocasionan que sobresature un
sitio web imposibilitando a los usuarios legtimos el acceso.
Ataque distribuido de negacin del servicio (Distributed Denial of Service)se utilizan cientos
o incluso miles de Pcs para inundar o agobiar la red desde numerosos puntos de lanzamiento. Se
utilizan Pcs zombies infectadas con software malicioso y organizadas en una botnet. Al
infectarlas abre un acceso trasero a travs del cual un atacante puede dictar instrucciones, que la
pc infectada obedecer. Una vez que se infectan suficientes Pcs, pueden utilizar los recursos
acumulados de la botnet para iniciar ataques distribuidos de negacin del servicio, campaas de
correo electrnico no solicitado.

Delito informtico y ciberterrorismo
La mayor parte de las actividades de un hacker son delitos penales, y las vulnerabilidades de los
sistemas los convierten en objetivos de otros tipos de delitos informticos. Un delito informtico
es cualquier violacin al cdigo penal que involucre un conocimiento de tecnologa de cmputo
para su perpetracin, investigacin o prosecucin.
Los tipos de delitos ms perjudiciales desde el punto de vista econmico son los ataque Dos, la
introduccin de virus, el robo de servicios y la alteracin de los sistemas de cmputo.

Robo de identidad: es un delito en el cual el impostor obtiene fracciones de informacin
personal clave, como n de tarjetas de crdito, con el propsito de hacerse pasar por alguien
ms.
4

Los comercios electrnicos son fuentes estupendas de informacin personal de los clientes.
Provistos de esta informacin, los delincuentes pueden asumir nuevas identidades y obtener
nuevos crditos para sus propios fines.

Phishing implica el establecimiento de sitios web falso o el envo de mensajes de correo
electrnico semejantes a los de las empresas autnticas para solicitar a los usuarios datos
personales confidenciales. El mensaje de correo electrnico da instrucciones a los receptores
para que actualicen o confirmen registros suministrando n claves, ya sea respondiendo al
mensaje de correo electrnico , ingresando la informacin en un sitio web falso o llamando a un
n telefnico. Existen nuevas tcnicas de phishing difciles de detectar como:
Evil twins son redes inalmbricas que fingen ofrecer conexiones Wi-Fi confiables a internet.
Los defraudadores tratan de capturar contraseas o n de tarjetas de crdito de los usuarios
involuntarios que entran a la red.
Pharming redirige a los usuarios a una pgina web falsa, an cuando estos ingresen la
direccin correcta de la pgina web en su navegador. Esto es posible si los autores del pharming
obtienen acceso a la informacin de las direcciones de internet almacenadas por los proveedores
de servicios de internet con el fin de acelerar la navegacin y si los prestadores cuentan con
software deficiente en sus servidores que permiten a los defraudadores realizar actividades de
piratera y cambiar las direcciones.

Fraude del clic ocurre cuando un individuo o un programa de computadora hace clic de
manera fraudulenta en un anuncio en lnea sin la intencin de conocer ms sobre el anunciante o
de realizar una compra.
Algunas empresas contratan a terceros para hacer clic de manera fraudulenta en los anuncios de
un competidor con el propsito de debilitarlo al provocar que se incrementen sus costos de
Marketing. El fraude del clic tambin se puede realizar con programas de software que hacen el
clic, y con frecuencia se utilizan las redes de robots con este propsito.

Ciberterrorismo y ciberarmamento Las vulnerabilidades de internet y de otras redes pueden
ser aprovechadas por terroristas, servicios de inteligencia extranjeros u otros grupos para crear
disturbios y daos generalizados. Se cree que algunos pases estn desarrollando capacidades de
ciberarmamento ofensivo y defensivo.

Amenazas internas
Los empleados de una empresa plantean serios problemas de seguridad, dado que tienen acceso
a informacin privilegiada, y si existen procedimientos de seguridad ineficientes, pueden tener
la oportunidad de escudriar en todos los sistemas de la organizacin sin dejar huellas
La falta de conocimiento de los usuarios es la principal causa individual de las brechas de
seguridad en las redes. Muchos olvidan las contraseas para acceder a los sistemas de cmputo
o permiten a sus colegas que las utilicen, lo cual pone en riesgo al sistema. Los intrusos que
buscan acceso al sistema en ocasiones engaan a los empleados para que les proporcionen sus
contraseas fingiendo que son miembros legtimos de la organizacin y requieren informacin.
Esta prctica se conoce como ingeniera social.
Los usuarios finales introducen errores al ingresar datos errneos o al no seguir las instrucciones
apropiadas para el procesamiento de datos y el uso del equipo de cmputo. Los especialistas en
sistemas de informacin podran crear errores de software a medida que disean y desarrollan
nuevo software o cuando dan mantenimiento a los programas existentes.

Por lo general, el software comercial contiene defectos que no slo producen vulnerabilidades
de desempeo sino de seguridad que dan acceso a las redes para los intrusos. Estas
vulnerabilidades dan al malware la oportunidad de superar las defensas de los antivirus.
Para corregir los defectos del software una vez que se han identificados, el fabricante del
software crea pequeas piezas de software conocidas como parches para reparar los defectos sin
alterar el funcionamiento adecuado del software.
5

A los usuarios les toca detectar estas vulnerabilidades, probarlas y aplicar todos los parches.
Este proceso se conoce como administracin de parches.
El malware es creado con tanta rapidez que las empresas tienen muy poco tiempo para
responder entre el momento en que se anuncia la existencia de una vulnerabilidad y de su parche
correspondiente, y el momento en que aparece software malicioso para explotar esa
vulnerabilidad.

Valor del negocio en relacin con la seguridad y el control

Las empresas tienen activos de informacin muy valiosos que deben proteger. Si estos se
perdieran, destruyeran o cayeran en manos equivocadas podran tener repercusiones
devastadoras.
La seguridad y control inadecuados tambin pueden dar lugar a serios problemas de
responsabilidad legal. Las empresas deben proteger no slo sus propios activos de informacin,
sino tambin los de sus clientes, empleados, socios de negocios. En caso contrario, la empresa
podra verse involucrada en costosos litigios por exposicin o robo de datos. En consecuencia,
una slida estructura de seguridad y control que proteja los activos de informacin del negocio
pueden generar un alto rendimiento de la inversin.

Requerimientos legales y regulatorios para la administracin de registros electrnicos

La administracin de registros electrnicos consta de polticas, procedimientos y herramientas
para manejar la conservacin, destruccin y almacenamiento de registros electrnicos.
Puesto que los sistemas de informacin se utilizan para generar, almacenar y transportar este
tipo de datos, la legislacin obliga a las empresas a que consideren la seguridad de los sistemas
de informacin y otros controles necesarios para garantizar la integridad, confidencialidad y
exactitud de sus datos. Cada una de las aplicaciones de sistemas que maneje datos crticos para
la elaboracin de informes financieros requiere controles para proteger la red corporativa,
prevenir el acceso no autorizado a los sistemas y los datos, y garantizar la integridad y
disponibilidad de los datos en el caso de un desastre o de otra interrupcin del servicio.
Si trabaja en una empresa que cotiza en bolsa, deber apegarse a la ley Sarbanes-Oxley que
impone la responsabilidad a las empresas y sus administraciones de salvaguardar la exactitud e
integridad y disponibilidad de los datos en el caso de un desastre o de otra interrupcin del
servicio.

Evidencia electrnica y cmputo forense

La seguridad, el control y la administracin de registros electrnicos se han vuelto esenciales
para responder en situaciones legales. En la actualidad, los juicios se apoyan cada vez ms, en
informacin de pginas impresas o escritas a mquina, en pruebas en forma de datos digitales
almacenados en discos flexibles, CDs y discos duros de computadoras, as como en correo
electrnico, mensajes instantneos y transacciones de comercio electrnico a travs de Internet.
El correo electrnico es el tipo ms comn de evidencia electrnica.
En una situacin legal la empresa est obligada a responder una solicitud de revelacin para
acceder la informacin que pudiera ser utilizada como prueba, y por ley debe producir esos
datos.
Los cortes imponen ahora multas financieras severas e incluso penas judiciales por la
destruccin inapropiada de documentos electrnicos, anomalas en la generacin de registros y
fallas en el almacenamiento adecuado de registros.
Una poltica efectiva de conservacin de documentos electrnicos garantiza que los documentos
electrnicos, el correo electrnico y otros registros estn bien organizados, sean accesibles y
nunca se conserven demasiado tiempo ni se eliminen tan pronto.
El cmputo forense consiste en la recopilacin, examen, autenticacin, preservacin y anlisis
de los datos contenidos o recuperados de los medios de almacenamiento de una computadora en
forma tal que la informacin se pueda utilizar como prueba en un tribunal de justicia, como:
6

Recuperacin de datos de las computadoras, conservando la integridad de la prueba.
Almacenar y manejar de manera segura los datos electrnicos recuperados.
Encontrar informacin significativa en grandes volmenes de datos electrnicos
Presentar la informacin a un tribunal de justicia
La evidencia electrnica podra residir en el medio de almacenamiento de una computadora en
forma de archivos de computadora y como datos del ambiente, que no son visibles para el
usuario promedio.
Es necesario incluir una previsin sobre le cmputo forense en el proceso de planeacin de
contingencias de una empresa.

Establecimiento de una estructura para la seguridad y el control

La proteccin de los recursos de informacin requiere una slida poltica de seguridad y un
conjunto de controles. ISO 17799 proporciona lineamientos tiles. Especifica mejores prcticas
en seguridad y control de sistemas de informacin, incluyendo poltica de seguridad, planeacin
de continuidad del negocio, seguridad fsica, control de acceso, conformidad y creacin de una
funcin de seguridad dentro de la organizacin.

Evaluacin del riesgo
Determina el nivel de peligro para la empresa si una actividad o un proceso no estn
debidamente controlados. Se pueden determinar el valor de los activos de informacin, los
puntos de vulnerabilidad, la frecuencia probable de un problema y los daos potenciales.
Una vez que se han evaluado los riesgos, los desarrolladores de sistemas se concentrarn en los
puntos de control que tengan la mayor vulnerabilidad y potencial de prdidas. En este caso, los
controles deben enfocarse en buscar normas de minimizar el riesgo de fallas de energa y errores
del usuario (ej del libro tabla 8.3).

Poltica de seguridad
Consta de enunciados que clasifican los riesgos de seguridad, identifican los objetivos de
seguridad aceptables y determinan los mecanismos para alcanzar estos objetivos. La
administracin debe calcular cunto costar alcanzar este nivel de riesgo aceptable.
En empresas grandes el grupo de seguridad instruye y capacita a los usuarios, mantiene la
administracin al tanto de las amenazas y fallas de seguridad, y da mantenimiento a las
herramientas elegidas para implementar la seguridad. El director de seguridad es el responsable
de aplicar la poltica de seguridad.
Una poltica de uso aceptable define los usos aceptables de los recursos de la informacin y el
equipo de cmputo de la empresa, incluyendo las computadoras de escritorio y las porttiles, los
dispositivos inalmbricos, los telfonos e internet. La poltica debe dejar en claro la postura de
la empresa respecto de la privacidad, la responsabilidad del usuario y el uso personal del equipo
y las redes de la empresa. Una buena poltica de uso aceptable define los actos aceptables e
inaceptables para cada usuario y especifica las consecuencias del incumplimiento.
Las polticas de autorizacin determinan diferentes niveles de acceso a los activos de
informacin para los distintos niveles de usuarios.
Los sistemas de administracin de autorizaciones establecen dnde y cuando se le permite a un
usuario acceder a ciertas partes de un sitio Web o de una base de datos corporativa. Estos
sistemas permiten a cada usuario acceder solamente a aquellas partes de un sistema para las
cuales tiene autorizacin, con base en la informacin establecida por un conjunto de reglas de
acceso. El sistema de administracin de autorizaciones sabe exactamente a cul informacin
tiene permitido acceder cada usuario.

Aseguramiento de la continuidad del negocio
Las empresas necesitan emprender pasos adicionales para asegurar que sus sistemas estn
siempre disponibles.
7

En el proceso de transacciones en lnea, la computadora procesa inmediatamente las
transacciones que se ingresen en lnea. A cada instante se realizan enormes cantidades de
cambios a bases de datos, elaboracin de informes y solicitudes de informacin.

Los sistemas de cmputo tolerantes a fallas contienen hardware, software y componentes de
suministro de energa redundantes que forman un entorno de servicio continuo e ininterrumpido.
Las computadoras tolerantes a fallas utilizan rutinas de software especiales o lgica de
autoverificacin integrada en su sistema de circuitos para detectar fallas de hardware y cambiar
automticamente a un dispositivo de respaldo. Algunas partes de esas computadoras se pueden
quitar y reparar sin interrumpir el funcionamiento del sistema de cmputo.
Tanto la tolerancia a fallas como el cmputo de alta disponibilidad procuran reducir el tiempo
de cada, que es el perodo durante el cual el sistema no funciona. Sin embargo, el cmputo de
alta disponibilidad ayuda a las empresas a recuperarse rpidamente de una cada del sistema,
en tanto que la tolerancia a fallas promete una disponibilidad ininterrumpida junto con la
eliminacin del tiempo de recuperacin.
La computacin de alta disponibilidad requiere servidores de respaldo, distribucin del
procesamiento entre mltiples servidores, almacenamiento de alta capacidad y buenos planes
para la recuperacin de desastres y para la continuidad del negocio. La plataforma de cmputo
de la empresa debe ser sumamente robusta, con potencia de procesamiento, almacenamiento y
ancho de banda escalables.

La computacin orientada a la recuperacin incluye el diseo de sistemas que se recuperen
con rapidez, as como capacidades de implementacin y herramientas que ayuden a los
operadores a identificar las fuentes de fallas en los sistemas conformados por mltiples
componentes y a corregir fcilmente sus errores.

Planeacin para la recuperacin de desastres y la continuidad del negocio
Concibe planes para la restauracin de los servicios de cmputo y comunicaciones despus de
que han sido interrumpidos por algn suceso. Estos planes se enfocan en los aspectos tcnicos
involucrados en mantener los sistemas en funcionamiento, cmo cules archivos se deben
respaldar, y en el mantenimiento de los sistemas de cmputo de respaldo o los servicios de
recuperacin de desastres.
La planeacin para la continuidad del negocio se enfoca en establecer formas en que la empresa
puede restaurar las operaciones de negocios despus de que ocurre un desastre. El plan
identifica los procesos de negocios crticos y determina los planes de accin para manejar las
funciones de misin crtica si se caen los sistemas.
Subcontratacin de seguridad muchas empresas pueden subcontratar una variedad de
funciones de seguridad a proveedores de servicios de seguridad administrados que vigilan la
actividad de la red y realizan pruebas de vulnerabilidad y deteccin de intrusiones.

El rol de la auditora

Una auditora de MIS examina el entorno de seguridad general de la empresa as como los
controles que rigen los sistemas de informacin individuales. El auditor debe rastrear el flujo de
transacciones de muestra a travs del sistema y realizar pruebas, utilizando, si es necesario,
software de auditora automatizado.
Las auditorias de seguridad revisan tecnologas, procedimientos, documentacin, capacitacin y
personal. Una auditora completa simular incluso un ataque o un desastre para probar la
respuesta de la tecnologa, el personal de sistemas de informacin y los empleados de la
empresa.
La auditora enlista y clasifica todas las debilidades de control y calcula la probabilidad de que
sucedan, luego evala el impacto financiero y organizacional de cada amenaza. Para finalizar,
notificando tales debilidades a la administracin para que esta d una respuesta, a travs de un
plan para contrarrestar las debilidades significativas de los controles.

8

Tecnologas y herramientas para la seguridad

Control de acceso consiste en todas las polticas y procedimientos de que se vale una empresa
para prevenir el acceso inapropiado a los sistemas por parte de los usuarios internos y externos
no autorizados. Para tener acceso un usuario debe estar autorizado y autenticado. La
autenticacin se refiere a la capacidad de saber que una persona es quien afirma ser.
Con frecuencia la autenticacin se establece por medio de contraseas que slo los usuarios
conocen. Tenemos nuevas tecnologas de autenticacin como:
Token es un dispositivo fsico, semejante a una tarjeta de identificacin, diseado para
comprobar la identidad de un solo usuario
Tarjeta inteligente es un dispositivo del tamao de una tarjeta de crdito que contiene un chip
programado con permisos de acceso y otros datos. Un dispositivo lector interpreta los datos de
la tarjeta y permite o niega el acceso.
Autenticacin biomtrica utiliza sistemas que leen e interpretan rasgos humanos individuales,
como las huellas digitales, la voz, para otorgar o denegar el acceso. Esta tcnica compara las
caractersticas nicas de una persona contra un perfil almacenado de estas caractersticas para
determinar si existen diferencias entre estas y el perfil almacenado. Si coinciden se le otorga el
acceso.

Firewalls, sistemas de deteccin de intrusiones y software antivirus

Un firewalls es una combinacin de hardware y software que controla el flujo del trfico que
entra y sale de una red. Por lo general, se coloca entre las redes internas privadas de una
organizacin y las redes externas poco confiables, como internet, aunque los firewalls se pueden
utilizar para proteger una parte de la red de una empresa del resto de la red
El firewalls identifica nombres, direcciones IP, aplicaciones y otras caractersticas del trfico
que entra. Comprueba esta informacin contra las reglas de acceso que el administrador de la
red ha programado en el sistema. El firewall evita las comunicaciones no autorizadas, tanto al
interior como al exterior de la red.
Filtrado de paquetes examina campos seleccionados en los encabezados de los paquetes de
datos que fluyen entre la red confiable e internet, y analiza los paquetes individuales de manera
aislada. La inspeccin complete del estado proporciona seguridad adicional al determinar si los
paquetes son parte de un dilogo continuo entre el emisor y un receptor. Establece tablas de
estado para rastrear la informacin a travs de mltiples paquetes. stos son aceptados o
rechazados al evaluar si son parte de una conversacin aprobada o si estn tratando de
establecer una conexin legtima.
Traduccin de direcciones de red (NAT): NAT oculta las direcciones IP de las computadoras
de host internas de la organizacin para evitar que los programas sniffers que se encuentran
fuera del firewall las detecten y las utilicen para penetrar en los sistemas internos.
Filtrado proxy de aplicacin examina el contenido de aplicacin de los paquetes. Un servidor
proxy detiene los paquetes de datos que se originan fuera de la organizacin, los inspecciona y
los pasa a un proxy al otro lado del firewall.
Para crear un buen firewall, un administrador debe mantener reglas internas detalladas que
identifiquen a los usuarios, las aplicaciones o direcciones que tienen permiso o que se rechazan.
Los firewalls no impiden completamente la penetracin de la red por parte de los usuarios
externos y se deben considerar como un elemento de un plan de seguridad global.
Sistema de deteccin de intrusiones contienen herramientas de vigilancia de tiempo completo
que se colocan en los puntos ms vulnerables de las redes corporativas para detectar y disuadir a
los intrusos. El sistema genera una alarma si encuentra un suceso sospechoso o anmalo.
Tambin se puede personalizar para que apague una parte delicada de una red si recibe trfico
no autorizado.
El software antivirus est especialmente diseado para revisar los sistemas de computacin y
discos en bsqueda de diversos virus de computadora. Este tipo de software slo es eficaz
contra virus que ya se conocan cuando se escribi el programa. Para proteger sus sistemas, la
gerencia debe actualizar continuamente su software antivirus.
9

Poteccin de redes inalmbricas

WEP proporciona un pequeo margen de seguridad si los usuarios de Wi-Fi recuerdan activarlo.
Las corporaciones pueden mejorar an ms la seguridad de Wi-Fi utilizndola en conjunto con
tecnologa de red privada virtual (VNP) cuando accedan a los datos internos de la corporacin.
El estndar 802.11i emplea autenticacin mutua para evitar que un usuario del servicio
inalmbrico sea atrado a una red falsa que podra robar las credenciales de red del usuario. Se
revisan los paquetes de datos para asegurar que forman parte de una sesin actual de la red y
que los hackers no los repitan para engaar a los usuarios.
Para ser efectiva, la tecnologa de seguridad inalmbrica debe ir acompaada de polticas y
procedimientos apropiados para el uso seguro de los dispositivos inalmbricos.

Infraestructura de encriptacin y clave pblica

La encriptacin es el proceso de transformar textos o datos comunes en texto cifrado que no
puede ser ledo por nadie ms que por el emisor y el receptor al que va destinado.
El Protocolo de Capa de Conexin Segura (SSL) y Seguridad de la Capa de Transporte (TLS)
permiten a las computadoras cliente y servidor manejar las actividades de encriptacin y
desencriptacin a medida que se comunican entre s durante una sesin segura en la Web.
El Protocolo de Transferencia de Hipertexto (S-HTTP) es un protocolo que se utiliza para
encriptar los datos que fluyen a travs de internet, pero est limitado a mensajes individuales, en
tanto que SSL y TLS estn diseados para establecer una conexin segura entre dos
computadoras.
Existen dos modos de encriptacin alternativos: la encriptacin de clave simtrica, donde el
emisor y el receptor establecen una sesin segura en internet por medio de la creacin de una
sola clave de encriptacin, que se enva al receptor de tal manera que tanto el emisor como el
receptor compartan la misma clave. El problema es que la clave misma debe ser compartida de
alguna manera entre los emisores y los receptores, lo cual la expone a extraos que podran
interceptarla y desencriptarla.
La encriptacin de clave pblica utiliza dos claves: una compartida y otra privada. Las claves
estn matemticamente relacionadas, de tal forma que los datos encriptados con una clave slo
se pueden desencriptar con la otra clave. Para enviar y recibir mensajes, los comunicadores
primero crean pares separados de claves privadas y pblicas. La clave pblica se conserva en un
directorio y la clave privada debe mantenerse en secreto. El emisor encripta un mensaje con la
clave pblica del receptor. Al recibir el mensaje, el receptor utiliza su clave privada para
desncriptarlo.

Las firmas digitales y los certificados apoyan la autenticacin. Una firma digital es un mensaje
encriptado que slo el emisor puede crear con su clave privada. Se emplea para verificar el
origen y el contenido de un mensaje.
Los certificados digitales son archivos de datos utilizados para establecer la identidad de los
usuarios y archivos electrnicos para la proteccin de las transacciones en lnea. Un sistema de
certificados digitales recurre a un tercero confiable, conocido como autoridad de certificacin,
para validar la identidad de un usuario.
El sistema de certificacin digital podra permitir, que un usuario de tarjeta de crdito y un
comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero
autorizado y confiable antes de intercambiar datos.
La infraestructura de clave pblica, el uso de la criptografa de clave pblica que funciona con
una autoridad de certificacin, se utiliza de manera generalizada en el comercio electrnico.