SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN, VULNERABILIDADES Y CONTROLES.
INTRODUCCIÓN
Los controles en sistemas de información, comúnmente
se ve como una función técnica encomendada a expertos en tecnologías de la
información, ingenieros de software o programadores de sistemas de información.
No obstante, esta labor requiere una perspectiva más amplia que aporte al
aprendizaje de su sentido y a la apropiación de los procesos de cambio
organizacional que ella requiere.
Los sistemas de información concentran los datos en
archivos de computadoras, por ello, los daros automatizados son más
susceptibles a destrucción, fraude, error y abuso. Cuando los sistemas de
computación fallan o no funcionan como es debido, las compañías que dependen
mucho de ellos experimentan la perdida grave de su capacidad para operar.
SEGURIDAD
Y CONTROL DE SISTEMAS DE INFORMACIÓN
Los sistemas de computación desempeñan un rol tan crucial en los negocios, el gobierno y la vida diaria, que las organizaciones deben tomar medidas especiales para proteger sus sistemas de información y asegurarse de que sean exactos y confiables. Esta unidad describe la forma en que es posible controlar los sistemas de información y hacerlos seguros, a fin de que puedan cumplir con el cometido para el cual fueron creados.
VULNERABILIDAD Y ABUSO DE LOS SISTEMAS
Los sistemas de computación desempeñan un rol tan crucial en los negocios, el gobierno y la vida diaria, que las organizaciones deben tomar medidas especiales para proteger sus sistemas de información y asegurarse de que sean exactos y confiables. Esta unidad describe la forma en que es posible controlar los sistemas de información y hacerlos seguros, a fin de que puedan cumplir con el cometido para el cual fueron creados.
VULNERABILIDAD Y ABUSO DE LOS SISTEMAS
Antes de la automatización con computadoras, los datos acerca de individuos y
organizaciones se mantenían y protegían en forma de expedientes en papel
dispersos en distintas unidades de negocios o de organización. Los sistemas de
información concentran los datos en archivos de computadoras a los que podría
tener fácil acceso un gran número de personas y grupos externos a la
organización. Por ello, los datos automatizados son más susceptibles a
destrucción, fraude, error y abuso.
Cuando los sistemas de computación fallan o no funcionan como es debido, las compañías que dependen mucho de ellos experimentan una pérdida grave de su capacidad para operar. Cuanto más tiempo permanezcan inactivos los sistemas de computación, más graves serán las consecuencias para la compañía.
¿POR QUÉ SON VULNERABLES LOS SITEMAS?
Cuando los sistemas de computación fallan o no funcionan como es debido, las compañías que dependen mucho de ellos experimentan una pérdida grave de su capacidad para operar. Cuanto más tiempo permanezcan inactivos los sistemas de computación, más graves serán las consecuencias para la compañía.
¿POR QUÉ SON VULNERABLES LOS SITEMAS?
Cuando se almacenan grandes cantidades de datos en
forma electrónica, estos son vulnerable a muchos tipos de amenazas. Su origen
puede estar en factores técnicos, de organización y del entorno, combinados con
las malas decisiones gerenciales.
CONTROLES
DE SEGURIDAD DE LA INFORMACIÓN PARA LA PREVENCIÓN DE EXFILTRACIÓN DE DATOS.
El valor considerable que la información corporativa
y personal ha patentado en el mercado negro hace que cada empresa sea un
objetivo potencial.
Sin embargo, algunas organizaciones
cometen muchos errores comunes, no apreciar que tienen datos que los atacantes
codician. La información personal identificable (PII), los registros de
clientes, datos de tarjetas de pago y direcciones de correo electrónico de los
clientes son valiosos para todos los objetivos de un cibercriminal. Incluso los
datos que parecen como si nadie fuera de una organización determinada valoraría
a menudo se pueden vender para obtener una ganancia significativa en mercados
bien establecidos negros.
En un incidente reciente, el año pasado el Servicio
Secreto de los EE.UU. llamó Lin Mun Poo con aproximadamente 413.000 números de
cuenta de tarjetas de crédito robadas en su poder. Los datos de la tarjeta
tenían un valor combinado estimado de $ 206 millones. No todos los datos valen
mucho, pero el considerable valor que la información corporativa y personal ha
patentado en el mercado negro hace que cada empresa sea un objetivo potencial.
Por ejemplo, el robo de direcciones de correo electrónico puede ser utilizado
en campañas de phishing o ataques de phishing dirigidos.
Los datos financieros, tales como números de cuentas
legítimas de enrutamiento y los números de identificación de los comerciantes,
se puede utilizar para configurar los sistemas de pago para las transacciones
fraudulentas parecen provenir de un negocio legítimo. También pueden ser
utilizados para el blanqueo de dinero a través de un comerciante confiado al
hacer las compras y luego aplicar las devoluciones de cargos (alegando que
nunca recibieron la compra y la compañía de tarjetas de crédito reembolsará el
importe de la compra).
El crimen organizado ve la industria al por menor
como un blanco fácil debido a las vulnerabilidades del sistema de tarjetas de
pago. Muchos comercios minoristas son conscientes o no de mitigar estas
vulnerabilidades. Los negocios franquiciados en particular, son atacados por
los sistemas informáticos suelen ser normalizadas en todos los franquiciados.
Una vez que la vulnerabilidad ha sido identificada en un solo lugar, a menudo
puede ser explotado en todos los otros negocios dentro de la franquicia.
En resumen, las oportunidades para
los atacantes ex filtrar datos son muchos, y casi todas las empresas tienen
datos de valor, si se dan cuenta o no. Para las empresas de cualquier tamaño,
hay cinco controles importantes de seguridad informática para proteger contra
ataques automatizados por ciber delincuentes que buscan una ganancia fácil.
Cifrado
de datos - los datos cifrados están
intrínsecamente protegidos porque es ilegible. Es por esto que se requiere en
las directrices de cumplimiento tantos y normas de la industria. Además, el
cifrado permite la separación de las funciones y de datos de control de acceso
como claves de cifrado a los datos. La aplicación de cifrado cuando se están
transfiriendo datos, ya sea a través de una red mediante SSL o IPSec o copiarse
en un disco CD o el pulgar, evitará muchos problemas potenciales asociados con
la pérdida de datos. Punto a punto productos de cifrado también puede disminuir
el riesgo de que el punto de venta (POS) vulnerabilidades en el sistema de pago
cuando los datos se envían entre los comerciantes y los bancos de procesamiento
de pagos, o a través de los propios sistemas internos del comerciante.
Seguridad
de los empleados - Los empleados y sus puestos de
trabajo son los principales objetivos para los atacantes cuando phishing para
credenciales de la cuenta de red. Es importante mantener al personal informado
de las últimas técnicas de phishing que se están utilizando y hacer hincapié en
la importancia de estar atentos a abrir el correo electrónico y siguiendo los
enlaces. Los empleados deben ser instruidos para reportar cualquier correo
electrónico sospechoso a las TI, ya que pueden ser una advertencia temprana de
un ataque y una oportunidad para advertir a los demás empleados. Salvaguardias
simples tales como la comprobación de que alguien en realidad ha enviado un
correo electrónico con un archivo adjunto son inestimables.
El
robo de información propietaria - La información
confidencial, como los planos de un nuevo avión, es claramente un valor para un
atacante, pero también requiere un atacante sofisticado para robarla. Esta es
la razón por robo de cuentas Información exclusiva para sólo una pequeña
proporción de los datos robados.
Filtros
de firewall egreso - Cortafuegos debe estar en su lugar para asegurar
que los datos salientes se envían a la ubicación correcta, sobre el puerto
adecuado, utilizando un protocolo autorizado. Muchas organizaciones sólo
configuran sus cortafuegos para controlar el tráfico que entra en la red. Sin
embargo, para evitar que el malware que envía datos a su controlador, el
tráfico de salida también debe ser monitoreado. Esta es un sensible, preventivo
medida que erige una barrera adicional que un atacante debe superar con el fin
de extraer con éxito los datos de una organización.
Asegure
los servicios de terceros - las investigaciones de incidentes han
demostrado que, cuando un tercero es responsable del sistema de apoyo, el
desarrollo o mantenimiento, es a menudo ese tercero que creó el agujero que el
atacante explota. Es esencial para las organizaciones saber cuál de las partes
es responsable de la configuración segura de cualquier equipo o servicios
cuando un tercero les suministra. Descubre las mejores prácticas de seguridad
para un determinado servicio, y asegurarse de que el proveedor pueda demostrar
cómo aplican las mejores prácticas.
Conclusión
Los responsables de la protección de datos digitales
dentro de una organización tienen que pensar como un criminal con el fin de
hacer efectivo el valor de mercado negro de datos de su organización.
Garantizar a todos los involucrados en el mantenimiento o el uso de la red de
una organización conoce el valor de los datos, y por lo tanto lo importante que
es para asegurar que los datos, ayudará a asegurarse de que la organización no
es un objetivo fácil para los atacantes.
REALIZADO POR
JOHANA PACHECO
Estudiante de Administración
DOCENTE:
Ing. Julio Morquecho
Comentarios
Publicar un comentario