Sistemas de

Información
Unidad 7
Seguridad y Auditoría de
Sistemas
Mag. Alan M. Lerner
alerner@uade.edu.ar

2015
 Auditoría, seguridad y delito
I informático
1. Aspectos críticos para la gestión
2. Delito informático

Contenido de la 3. Gestión de Riesgos

4. Controles y medidas mitigantes
sesión
II Síntesis

1. Resumen y preguntas de repaso

 I
Auditoría, seguridad y
delito informático
I – Auditoría, seguridad y delito informático
Aspectos críticos para la gestión

• El uso de las TI en los negocios

impacta en la sociedad, planteando
riesgos éticos:
– Salud (sedentarismo / escáneres)
– Empleo (elimina trabajos / crea
nuevas especialidades)
– Privacidad (expone información
privada / compartir información
privada en forma segura)
– Delitos (robo de dinero / verificación
de datos más rápida)
– Condiciones laborales (off shoring /
teletrabajo)
– Individualidad (números no personas
/ ofertas personalizadas)
2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 4
I – Auditoría, seguridad y delito informático (Cont.)
Aspectos críticos para la gestión (Cont.)

¿Por qué son necesarios los controles?

Al igual que otros activos empresariales vitales, los recursos de
hardware, software, redes y datos de los sistemas de información
necesitan protegerse mediante controles incorporados, con el fin
de garantizar su calidad y seguridad.

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 5

I – Auditoría, seguridad y delito informático (Cont.)
Aspectos críticos para la gestión (Cont.)

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 6

I – Auditoría, seguridad y delito informático (Cont.)
Aspectos críticos para la gestión (Cont.)

Seguridad
Todo aquello que permite defenderse de
cualquier tipo de amenaza real o latente.

Seguridad informática
El conjunto orgánico y coordinado de
acciones y recaudos específicos que
posibilitan eliminar o atenuar los efectos
adversos de las múltiples vulnerabilidades
que atentan contra todos los elementos
componentes de los sistemas de información
computarizados.

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 7

I – Auditoría, seguridad y delito informático (Cont.)
Delito informático

Concepto:
• Uso, acceso, modificación y
destrucción de recursos
• Comunicación no autorizada de
información
• Copia no autorizada de software
• Negar acceso a usuario final al
propio recurso
• Uso o conspiración para usar
recurso para obtener
información o propiedad tangible
de manera ilegal

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 8

I – Auditoría, seguridad y delito informático (Cont.)
Delito informático (Cont.)

1. Piratería informática (Hacking):

• Denegación de servicio: ataque a que lentifica o restringe el funcionamiento / acceso
a recursos por parte de usuarios legítimos.
• Escaneos: identificación de servicios y/o vulnerabilidades que una máquina ofrece a
partir de sus puertos abiertos (ej: Angry IP).
• Falsificación: creación de tramas TCP/IP utilizando una dirección IP falseada, a efectos
de acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza.
• Caballo de troya: software malicioso que se presenta al usuario como un programa
aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante
acceso remoto al equipo infectado.
• Decodificadores de contraseñas: herramientas para desencriptar contraseñas y
acceder a recursos en forma ilícita.
• Ingeniería social: práctica de obtener información confidencial a través de la
manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas,
tales como investigadores privados, criminales, o delincuentes informáticos, para
obtener información, acceso o privilegios en sistemas de información que les
permitan realizar algún acto que perjudique o exponga la persona u organismo
comprometido a riesgo o abusos.
• Otros para investigar: Applets maliciosos, puertas traseras, búsqueda en basureros
2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 9
I – Auditoría, seguridad y delito informático (Cont.)
Delito informático (Cont.)

2. Robo cibernético
– De información, de dinero, de recursos.
3. Uso no autorizado de recursos en el ámbito laboral
– Acceso a mail personal, pornografía, redes sociales.
4. Piratería de software y/o de propiedad intelectual
– Infracción de derechos de autor, de copyright o violación de
copyright. Incluye reproducción indebida de software o información
protegida bajo derechos de propiedad intelectual.
5. Virus y gusanos informáticos
– Virus: Malware que tiene por objeto alterar el normal
funcionamiento de la computadora, sin el permiso o el
conocimiento del usuario. Los virus, habitualmente, reemplazan
archivos ejecutables por otros infectados con el código de este
– Gusano: Malware que tiene la propiedad de duplicarse a sí mismo
sin la ayuda de un usuario.

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 10

I – Auditoría, seguridad y delito informático (Cont.)
Delito informático (Cont.)

¿Cómo se protegen las organizaciones

contra los delitos informáticos?
– Antivirus: 96%
– Redes privadas virtuales (VPNs): 86%
– Sistemas de detección de intrusiones:
85%
– Filtrado y monitoreo de contenidos:
77%
– Infraestructura de clave pública: 45%
– Tarjetas inteligentes: 43%
– Biometría: 19%
2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 11
I – Auditoría, seguridad y delito informático (Cont.)
Gestión de Riesgos

Riesgos principales
• Sobre bienes intangibles:
– Información
– Software
– Telecomunicaciones
– Prestigio, imagen y confianza públicas
• Sobre bienes físicos:
– Equipamiento informático de todo tipo
– Instalaciones y redes
• Sobre la información:
– Pérdida, alteración, sustitución, manipulación
– Copia, destrucción y robo

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 12

I – Auditoría, seguridad y delito informático (Cont.)
Controles y medidas mitigantes

Fuente: O’Brien
2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 13
I – Auditoría, seguridad y delito informático (Cont.)
Controles y medidas mitigantes (Cont.)

Ejemplos:
• Antivirus.
• Política de back-up y copias de
seguridad.
• Criptografía
• Encriptación.
• Registros de auditoría.
• Equipamiento de reserva en procesos
críticos.
• Análisis de riesgos y Plan de
Contingencias.
• Pólizas de seguros.

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 14

I – Auditoría, seguridad y delito informático (Cont.)
Controles y medidas mitigantes (Cont.)

Encriptación simétrica
encriptación desencriptación

clave

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 15

I – Auditoría, seguridad y delito informático (Cont.)
Controles y medidas mitigantes (Cont.)

Encriptación simétrica
encriptación desencriptación

clave pública clave privada

Confidencialidad
2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 16
I – Auditoría, seguridad y delito informático (Cont.)
Controles y medidas mitigantes (Cont.)

Ejemplos (Cont.):
• Selección, capacitación y monitoreo de los RH.
• Asignación adecuada de permisos de acceso a programas,
directorios, procesos y archivos.
• Autenticación de usuarios.
• Passwords biométricos.
• Elección de claves seguras.
• Establecimiento de alarmas sobre eventos.
• Accesos restringidos.
• Firmas digitales.

Para el establecimiento de todos los controles debe tenerse en cuenta la

relación costo/beneficio. Es decir, el costo de instalar el control debe ser
inferior al daño eventual que puede generar la vulnerabilidad.
2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 17
I – Auditoría, seguridad y delito informático (Cont.)
Controles y medidas mitigantes (Cont.)

Ejemplos (Cont.):

Controles de protección física:

• Placas de identificación / Cerraduras electrónicas de puertas
• Alarmas contra robo / Policía de seguridad
• Televisión de circuito cerrado

Controles biométricos:
• Verificación de voz / Huellas digitales
• Geometría de la mano / Dinámica de la firma
• Análisis del golpe de tecla / Exploración de la retina
• Reconocimiento de la cara / Análisis de patrones genéticos

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 18

I – Auditoría, seguridad y delito informático (Cont.)
Controles y medidas mitigantes (Cont.)

Aspectos vinculados a la privacidad:

La tecnología puede afectar el derecho a la privacidad:
– Ingresar en conversaciones privadas por email o registros
informáticos personales;
– Ubicar siempre a una persona (teléfono celular) o
vigilancia informática;
– Uso de información sobre clientes obtenida de muchas
para promover servicios comerciales;
– Recolectar números de teléfono y direcciones de email
para crear perfiles de clientes individuales (archivos
personales no autorizados).
2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 19
I – Auditoría, seguridad y delito informático (Cont.)
Controles y medidas mitigantes (Cont.)

Videos:
• Proteja sus Datos
– http://www.youtube.com/watch?v=EQmkBHTcsbw
• ¿Nos conocemos?
– http://www.youtube.com/watch?v=DKmCmYBmKs4
• Seguridad Informática en internet
– http://www.youtube.com/watch?v=QVymjGfoHjY

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 20

Síntesis
II
II – Síntesis
Resumen y preguntas de repaso

 Explicamos el concepto de Seguridad Informática y la relevancia de

gestionarla en el ámbito de las organizaciones.
 Definimos el concepto de delito informático, tipificando diversas
alternativas en las que puede materializarse.
 Enumeramos diversos riesgos que pueden afectar a una
organización desde el punto de vista de la tecnología.
 Explicitamos diversos mecanismos de control para mitigar el riesgo
tecnológico.

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 22

II – Síntesis
Preguntas de repaso

 ¿Qué es la Seguridad Informática? ¿Por qué resulta crítica su

gestión en las organizaciones?
 Explique 5 formas en las que puede materializarse un delito
informático (incluyendo variantes de Hacking).
 ¿De qué manera pueden las organizaciones protegerse contra el
delito informático?
 Enumere 5 riesgos en los que una organización puede incurrir en
términos de bienes tangibles, intangibles.
 Explique 5 iniciativas de control que pueden emplearse para
gestionar y mitigar el riesgo tecnológico.
 ¿De qué manera la tecnología puede afectar la privacidad de sus
usuarios? Brinde ejemplos concretos basándose en experiencias y
material audiovisual.

2015 Universidad Argentina de la Empresa – Mag. Alan M. Lerner (alerner@uade.edu.ar) 23

¿Dudas?
¿Consultas?

¡Éxito en sus vidas

profesionales y
académicas! Ah, y
también en los
parciales… 