SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN, VULNERABILIDADES Y CONTROLES.

INTRODUCCIÓN

Los controles en sistemas de información, comúnmente se ve como una función técnica encomendada a expertos en tecnologías de la información, ingenieros de software o programadores de sistemas de información. No obstante, esta labor requiere una perspectiva más amplia que aporte al aprendizaje de su sentido y a la apropiación de los procesos de cambio organizacional que ella requiere.

Los sistemas de información concentran los datos en archivos de computadoras, por ello, los daros automatizados son más susceptibles a destrucción, fraude, error y abuso. Cuando los sistemas de computación fallan o no funcionan como es debido, las compañías que dependen mucho de ellos experimentan la perdida grave de su capacidad para operar. 

SEGURIDAD Y CONTROL DE SISTEMAS DE INFORMACIÓN

Los sistemas de computación desempeñan un rol tan crucial en los negocios, el gobierno y la vida diaria, que las organizaciones deben tomar medidas especiales para proteger sus sis­temas de información y asegurarse de que sean exactos y confiables. Esta unidad describe la forma en que es posible controlar los sistemas de información y hacerlos seguros, a fin de que puedan cumplir con el cometido para el cual fueron creados.
VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

Antes de la automatización con computadoras, los datos acerca de individuos y organizaciones se mantenían y protegían en forma de expedientes en papel dispersos en distintas unidades de negocios o de organización. Los sistemas de información concentran los datos en archivos de computadoras a los que podría tener fácil acceso un gran número de personas y grupos externos a la organización. Por ello, los datos automatizados son más susceptibles a destrucción, fraude, error y abuso.
Cuando los sistemas de computación fallan o no funcionan como es debido, las compañías que dependen mucho de ellos experimentan una pérdida grave de su capacidad para operar. Cuanto más tiempo permanezcan inactivos los sistemas de computación, más graves serán las consecuencias para la compañía.

¿POR QUÉ SON VULNERABLES LOS SITEMAS?

Cuando se almacenan grandes cantidades de datos en forma electrónica, estos son vulnerable a muchos tipos de amenazas. Su origen puede estar en factores técnicos, de organización y del entorno, combinados con las malas decisiones gerenciales.

CONTROLES DE SEGURIDAD DE LA INFORMACIÓN PARA LA PREVENCIÓN DE EXFILTRACIÓN DE DATOS.

El valor considerable que la información corporativa y personal ha patentado en el mercado negro hace que cada empresa sea un objetivo potencial.

Sin embargo, algunas organizaciones cometen muchos errores comunes, no apreciar que tienen datos que los atacantes codician. La información personal identificable (PII), los registros de clientes, datos de tarjetas de pago y direcciones de correo electrónico de los clientes son valiosos para todos los objetivos de un cibercriminal. Incluso los datos que parecen como si nadie fuera de una organización determinada valoraría a menudo se pueden vender para obtener una ganancia significativa en mercados bien establecidos negros.

En un incidente reciente, el año pasado el Servicio Secreto de los EE.UU. llamó Lin Mun Poo con aproximadamente 413.000 números de cuenta de tarjetas de crédito robadas en su poder. Los datos de la tarjeta tenían un valor combinado estimado de $ 206 millones. No todos los datos valen mucho, pero el considerable valor que la información corporativa y personal ha patentado en el mercado negro hace que cada empresa sea un objetivo potencial. Por ejemplo, el robo de direcciones de correo electrónico puede ser utilizado en campañas de phishing o ataques de phishing dirigidos. 

Los datos financieros, tales como números de cuentas legítimas de enrutamiento y los números de identificación de los comerciantes, se puede utilizar para configurar los sistemas de pago para las transacciones fraudulentas parecen provenir de un negocio legítimo. También pueden ser utilizados para el blanqueo de dinero a través de un comerciante confiado al hacer las compras y luego aplicar las devoluciones de cargos (alegando que nunca recibieron la compra y la compañía de tarjetas de crédito reembolsará el importe de la compra).

El crimen organizado ve la industria al por menor como un blanco fácil debido a las vulnerabilidades del sistema de tarjetas de pago. Muchos comercios minoristas son conscientes o no de mitigar estas vulnerabilidades. Los negocios franquiciados en particular, son atacados por los sistemas informáticos suelen ser normalizadas en todos los franquiciados. Una vez que la vulnerabilidad ha sido identificada en un solo lugar, a menudo puede ser explotado en todos los otros negocios dentro de la franquicia.

En resumen, las oportunidades para los atacantes ex filtrar datos son muchos, y casi todas las empresas tienen datos de valor, si se dan cuenta o no. Para las empresas de cualquier tamaño, hay cinco controles importantes de seguridad informática para proteger contra ataques automatizados por ciber delincuentes que buscan una ganancia fácil.

Las contraseñas seguras - El uso de contraseñas simples sigue siendo una de las principales debilidades atacantes explotan. En particular, los atacantes buscan contraseñas por defecto del sistema que no se han cambiado, ya que pueden ser utilizados con efectos devastadores en toda la franquicia entera. Los sistemas que utilizan nombre de usuario compartida administrativa y combinaciones de contraseñas también permiten a los atacantes tener acceso administrativo a través de múltiples dispositivos. Nombres de usuario y contraseñas comunes también hacen que sea más difícil de auditar quién hizo qué en un sistema. Nombres de usuario y contraseñas son un control esencial para identificar y vincular cada acción iniciada por el usuario a un individuo.

Cifrado de datos - los datos cifrados están intrínsecamente protegidos porque es ilegible. Es por esto que se requiere en las directrices de cumplimiento tantos y normas de la industria. Además, el cifrado permite la separación de las funciones y de datos de control de acceso como claves de cifrado a los datos. La aplicación de cifrado cuando se están transfiriendo datos, ya sea a través de una red mediante SSL o IPSec o copiarse en un disco CD o el pulgar, evitará muchos problemas potenciales asociados con la pérdida de datos. Punto a punto productos de cifrado también puede disminuir el riesgo de que el punto de venta (POS) vulnerabilidades en el sistema de pago cuando los datos se envían entre los comerciantes y los bancos de procesamiento de pagos, o a través de los propios sistemas internos del comerciante.

Seguridad de los empleados - Los empleados y sus puestos de trabajo son los principales objetivos para los atacantes cuando phishing para credenciales de la cuenta de red. Es importante mantener al personal informado de las últimas técnicas de phishing que se están utilizando y hacer hincapié en la importancia de estar atentos a abrir el correo electrónico y siguiendo los enlaces. Los empleados deben ser instruidos para reportar cualquier correo electrónico sospechoso a las TI, ya que pueden ser una advertencia temprana de un ataque y una oportunidad para advertir a los demás empleados. Salvaguardias simples tales como la comprobación de que alguien en realidad ha enviado un correo electrónico con un archivo adjunto son inestimables.

 El robo de información propietaria - La información confidencial, como los planos de un nuevo avión, es claramente un valor para un atacante, pero también requiere un atacante sofisticado para robarla. Esta es la razón por robo de cuentas Información exclusiva para sólo una pequeña proporción de los datos robados.

 Filtros de firewall egreso - Cortafuegos debe estar en su lugar para asegurar que los datos salientes se envían a la ubicación correcta, sobre el puerto adecuado, utilizando un protocolo autorizado. Muchas organizaciones sólo configuran sus cortafuegos para controlar el tráfico que entra en la red. Sin embargo, para evitar que el malware que envía datos a su controlador, el tráfico de salida también debe ser monitoreado. Esta es un sensible, preventivo medida que erige una barrera adicional que un atacante debe superar con el fin de extraer con éxito los datos de una organización.

 Asegure los servicios de terceros - las investigaciones de incidentes han demostrado que, cuando un tercero es responsable del sistema de apoyo, el desarrollo o mantenimiento, es a menudo ese tercero que creó el agujero que el atacante explota. Es esencial para las organizaciones saber cuál de las partes es responsable de la configuración segura de cualquier equipo o servicios cuando un tercero les suministra. Descubre las mejores prácticas de seguridad para un determinado servicio, y asegurarse de que el proveedor pueda demostrar cómo aplican las mejores prácticas.

Conclusión

Los responsables de la protección de datos digitales dentro de una organización tienen que pensar como un criminal con el fin de hacer efectivo el valor de mercado negro de datos de su organización. Garantizar a todos los involucrados en el mantenimiento o el uso de la red de una organización conoce el valor de los datos, y por lo tanto lo importante que es para asegurar que los datos, ayudará a asegurarse de que la organización no es un objetivo fácil para los atacantes.

REALIZADO POR 

JOHANA PACHECO

Estudiante de Administración 

DOCENTE:

Ing. Julio Morquecho