Contexto

¿Está usted en Facebook? ¡Tenga Cuidado!
Fuente: Laudon y Laudon, pp. 291-292.

Lee el caso “¿Está usted en Facebook? ¡Tenga Cuidado!” de las páginas 291 y 292 del libro de texto y analiza la siguiente discusión.

Facebook es la red social más grande del mundo. Es un excelente lugar para enviar mensajes y compartir fotos, pero también es un sitio muy bueno para perder la identidad o ser atacado por software malicioso.

Facebook es fácil de usar y crea una comunidad de usuarios vinculados. Es más probable que sus miembros confíen en los mensajes y notas que reciban que parezcan venir de sus amigos. Tal vez por eso es que la firma de seguridad Kaspersky Labs muestra que el software malicioso de sitios de redes sociales como Facebook tiene 10 veces más éxito al infectar un equipo que el proveniente de mensajes de correo electrónico.

El caso describe varias formas diferentes en las que los sistemas informáticos de usuarios de Facebook se vuelven vulnerables a software malicioso. Esto incluye las computadoras de usuarios individuales, las computadoras de sus amigos y los equipos de las empresas de personas que estén en la red social. Debido a su enorme base de usuarios, al ser un sitio web fácil de usar y contar con una comunidad de usuarios fácilmente vinculados a decenas o cientos de otros usuarios, Facebook se ha convertido en un gran riesgo de seguridad para personas y empresas.

El proceso para recuperarse de estos ataques puede ser lento y costoso, especialmente para las firmas de negocios. Este caso también muestra que ningún enfoque para asegurar los sistemas de información es suficiente. Las empresas deben actualizar continuamente su software de seguridad y tratar de mantenerse un paso adelante de los hackers y delincuentes informáticos. Asegurar los sistemas de información del acceso no autorizado, el abuso, la destrucción o alteración de los activos requiere una combinación de entrenamiento, procedimientos y tecnologías. El costo y la dificultad de utilizar estos elementos deben ser equilibrados con los beneficios netos que proporcionan al negocio en forma de una mayor confianza de los clientes, operaciones ininterrumpidas, el cumplimiento de las regulaciones del gobierno y la protección de los activos financieros.

Reflexiona sobre lo siguiente:

  • ¿Debe una empresa prohibir el uso de Facebook a sus usuarios?
  • ¿Tendría valor en ofrecer a los usuarios un curso de capacitación para entender los riesgos informáticos?
  • ¿Deben las organizaciones tener políticas para el manejo de software antivirus?
  • ¿Qué tan importante es la seguridad informática para una organización?

Explicación

Lee las lecturas obligatorias del tema y enseguida revisa la siguiente discusión.

10.1 Vulnerabilidad y abuso de los sistemas de información

A medida que la sociedad y el mundo que te rodea han llegado a depender de las computadoras y los sistemas de información cada vez más, las empresas deben trabajar en hacer sus sistemas menos vulnerables a ataques y más confiables. El tema se enfoca en las tecnologías y proceso necesarios para hacer los sistemas más seguros al procesar transacciones y mantener sus datos. Las amenazas son reales, pero también lo son las soluciones.

La seguridad se refiere a las políticas, procedimientos y medidas técnicas utilizadas para evitar el acceso no autorizado, alteración, robo o daño físico a los sistemas de información.

Los controles consisten en todos los métodos, las políticas y los procedimientos de organización que garanticen la seguridad de los activos de la empresa, la exactitud y la confiabilidad de los registros contables, así como la adhesión a las normas de gestión operacional.

Los sistemas de información son vulnerables a las amenazas técnicas, organizacionales y ambientales de fuentes internas y externas. El eslabón más débil de la cadena es la mala administración del sistema. Si los directivos de todos los niveles no hacen de la seguridad y confiabilidad su prioridad número uno, entonces las amenazas a un sistema de información pueden fácilmente convertirse en realidad. La siguiente figura presenta algunas de las amenazas más comunes para cada componente de una red típica.

Figura 1. Desafíos y vulnerabilidades de seguridad contemporáneos
(Laudon y Laudon, 2012: 293)

Con el uso tan amplio que tiene la computación distribuida, se tienen más puntos de entrada a una red, y por lo tanto, más vulnerabilidad a ataques al sistema. Entre más gente usa un sistema, habrá más posibilidades de fraude y abuso de información, es por eso que protegerlo es un trabajo de todos.

Los programas de software malicioso se conocen como malware e incluyen una variedad de amenazas como virus de computadora, gusanos, caballos de Troya y key loggers.

Haz clic en cada botón para ver el detalle.


Si utilizas una PC independiente o estás conectado a una red y no tienes software antivirus, entonces estás en problemas. Este tipo de software comprueba cada archivo entrante en busca de virus. Cuando recibes un archivo infectado, el software alerta de su presencia. Puedes optar por eliminar el archivo o "limpiarlo". Los creadores de virus los actualizan para pasar desapercibidos por los antivirus, que se deben actualizar continuamente para estar preparados para lo último en posibles ataques.

Los hackers son personas que intencionalmente tratan de crear caos o hacer daño a un sistema informático, han existido desde hace mucho tiempo. Muchas empresas no reportan ataques de hackers, ya que no quieren que la gente se dé cuenta que sus sistemas son vulnerables. Eso hace que la recopilación de estadísticas reales sobre los intentos de hacking y éxitos sea complicado. Sin embargo, el acceso no autorizado se reconoce como un gran problema.

Algunos hackers utilizan sistemas informáticos especiales que buscan continuamente archivos de contraseñas que se pueden copiar. Otros buscan áreas del sistema que se han "dejado abiertas", por así decirlo, en donde puedan entrar. A veces no hacen ningún daño, pero con demasiada frecuencia destruyen archivos, borran o roban datos para su uso a través de software de caballo de Troya. Cracker es el término que se utiliza normalmente para describir un hacker que penetra sistemas con una intención criminal.

Ciberbandalismo es la interrupción intencional, desfiguración o incluso la destrucción de un sitio web o sistema de información corporativo. Ni siquiera la NASA ha estado exenta de la obra de ciberbándalos.

Hay otros dos métodos que los hackers y delincuentes normalmente usan para obtener acceso indebido o ilegal a sistemas informáticos:

El delito informático es una creciente amenaza nacional e internacional para el desarrollo continuo de e-business y e-commerce. El delito de mayor crecimiento fuera y dentro de Internet es el robo de identidad. A pesar de que es más probable que ocurra en un entorno fuera de línea, una vez que su información personal ha sido robada puede ser fácil usarla en un entorno en línea. El mayor riesgo de fraude de identidad es el tradicional robo de billetera o de papeles que se tiran a la basura sin ser destruidos.

Otro posible riesgo, en especial para grandes corporaciones y gobiernos, es el terrorismo cibernético, donde fuerzas externas atacan los sistemas de cómputo de un objetivo para causar un daño real a sus operaciones. Los gobiernos están conscientes de este tipo de amenazas y hay esfuerzos por prevenir y proteger a los sistemas de este tipo de ataques.

La seguridad de los sistemas es cosa de todos. Utiliza software antivirus en tu equipo y actualízalo a menudo. La actitud de "eso no me va a pasar a mí" es un problema. Instituir medidas para disminuir los errores y defectos de software y entrada de datos puede resolver muchos problemas de calidad del sistema, pero también es importante la capacitación de los usuarios y minimización de exposición a riesgos.

10.2 Establecimiento de un marco de trabajo para la seguridad y control

Transacciones por valor de miles de millones y billones de dólares se llevan a cabo en las redes de todos los días. Piensa en el impacto en el mundo si las redes dejaran de funcionar aunque fuera por unos minutos.

Debido a que gran parte de tu información personal y financiera se mantiene ahora por vía electrónica, el gobierno estadounidense está empezando a instituir leyes para proteger los datos de un uso no autorizado o ilegal. Las empresas se enfrentan a nuevas obligaciones legales para la administración de documentos electrónicos y la retención de documentos, así como para la protección de la privacidad.

La administración electrónica registros (ERM) se compone de las políticas, procedimientos y herramientas para la administración de la retención, destrucción, y el almacenamiento de los documentos electrónicos.

El Congreso de los Estados Unidos ha aprobado una serie de medidas que describen los requisitos para el manejo de documentos electrónicos:


Ley de responsabilidad y portabilidad del seguro médico (HIPAA): protege los datos médicos y de cuidado de la salud.


Gramm-Leach-Bliley Act: protege los datos financieros.


Ley Sarbanes-Oxley: protege a los inversionistas de las prácticas empresariales fraudulentas.

Varias cosas suceden en el mundo empresarial que están cambiando los requisitos de cómo las compañías manejan sus documentos electrónicos, por ejemplo, las empresas se comunican cada vez más mediante correo electrónico y otras formas de transmisión electrónica y los tribunales están permitiendo el uso de todas las formas de comunicación como evidencia. Por lo tanto, las empresas deben desarrollar métodos de captura, almacenamiento y presentación de cualquiera y todas las comunicaciones electrónicas, incluyendo correo electrónico, mensajería instantánea y las transacciones de comercio electrónico. Informática forense es la colección científica, la exploración, la autenticación, la preservación y el análisis de los datos contenidos recuperados de los soportes informáticos.

Independientemente de dónde o cómo fueron generadas o recibidas las transmisiones electrónicas, las empresas ahora tienen la responsabilidad de asegurarse de que sean monitoreadas, almacenadas y que estén disponibles para el escrutinio. Estos nuevos requisitos cambian significativamente la forma en las empresas ven a sus recursos de información.

10.3 Tecnologías para proteger los recursos informáticos

¿Cómo se puede ayudar a prevenir algunos de los problemas que hemos discutido? Una de las mejores maneras de hacerlo es estableciendo controles en su sistema de información de la misma manera que en cualquier otro sistema; a través de los métodos, políticas y procedimientos.

ISO 17799 es un conjunto internacional de normas de seguridad y control que ofrece guías útiles. Especifica las mejores prácticas de seguridad y control de sistemas de información, incluyendo la política de seguridad, la planeación de la continuidad del negocio, seguridad física, control de acceso, el cumplimiento y la creación de una función de seguridad dentro de una organización.

Las empresas y oficinas gubernamentales constantemente usan la evaluación de riesgos para determinar los puntos débiles en la seguridad física de sus edificios. Se puede usar la misma metodología para evaluar el riesgo en su sistema de información. Utiliza la evaluación de riesgos para establecer comparaciones de costos para el desarrollo y mantenimiento de la seguridad contra la pérdida potencial. Se hace todo el tiempo en otros sistemas, ¿por qué no hacerlo también con los sistemas de información?

Las empresas gastan mucho dinero en la seguridad física en cosas como cerraduras de puertas o cercas alrededor de los edificios. Tienen que hacer lo mismo para sus sistemas de información. Debido a la creciente responsabilidad por las violaciones de seguridad, muchas empresas están estableciendo un puesto de oficial jefe de seguridad (CSO) para maximizar la protección de los recursos de información. Algunas herramientas disponibles para el CSO son las siguientes:

Haz clic en cada apartado para ver el detalle.

Documento que determina los objetivos de seguridad y cómo se alcanzarán dichos objetivos.

Describe los usos que se puede, y no se puede, dar a equipos de hardware y telecomunicaciones.

Determina qué usuarios pueden tener acceso a los recursos de información.

Administra el acceso a cada parte del sistema de información.

Las empresas auditan sus datos financieros mediante compañías externas para asegurarse de que no haya discrepancias en sus procesos de contabilidad. Tal vez auditen sus sistemas de suministro de forma periódica para asegurarse de que todo está funcionando. Así también deben auditar sus sistemas de información. Después de todo, la información es un recurso tan importante como cualquier otro en la organización. Las auditorías de sistemas verifican estos hayan sido desarrollado de acuerdo a las especificaciones, que los procesos de entrada, procesamiento y salida están operando de acuerdo con sus especificaciones, y que los datos están protegidos contra el robo, el abuso y mal uso. En esencia, una auditoría de sistemas verifica que existan y funcionen todos los controles que hemos discutido en este tema.

Los controles y la seguridad se deben diseñar en el sistema desde el principio, no como una idea de último momento. Los controles generales están relacionados con el software del sistema y los procedimientos manuales. Los controles de aplicación protegen la entrada de datos, el procesamiento de datos y la salida de información. Las herramientas para asegurar la continuidad del negocio incluyen sistemas de alta disponibilidad y alta disponibilidad informática. La continuidad del negocio y la planeación de recuperación de desastres son hoy más importantes que nunca para las empresas.

Práctica

La seguridad de los datos y la seguridad de la red son retos empresariales importantes, y muchas organizaciones han tomado medidas para proteger sus equipos y el acceso a sus datos. Algunas de estas empresas han optado por externalizar (outsource) esa función en lugar de formar a su propio personal o contratar a especialistas de fuera de su empresa. Encontrar servicios de outsourcing de seguridad puede ser difícil, aunque la búsqueda de fuentes que le ayuden a decidir si desea o no externalizar es mucho más fácil.

En ambos casos utiliza varios motores de búsqueda para encontrar las fuentes que pueden ayudarte a decidir si debes subcontratar y localizar las empresas que ofrecen la externalización de la seguridad informática.

Como experto en sistemas de información de su empresa se te han asignado las siguientes tareas.

  1. Presentar un breve resumen de los argumentos a favor y en contra del outsourcing de la seguridad de sistemas en su empresa.
  2. Seleccionar dos compañías que ofrecen servicios de outsourcing de seguridad de sistemas y comparar sus servicios.
  3. Preparar un resumen de sus hallazgos.

Podrás proporcionar varios pros y contras de la contratación externa. La mayoría concluirá que el principal pro sería un ahorro económico. Como en contra, se puede decir que encontrar un contratista confiable no siempre es una tarea fácil. Cuatro empresas que han demostrado ser los líderes en esto son Ansotech, Inc., Foundstone Enterprise, Counterpane Internet Security y Panurgy.

Cierre

En resumen, la seguridad se refiere a las políticas, procedimientos y medidas técnicas utilizadas para evitar el acceso no autorizado, alteración, robo o daño físico a los sistemas de información. Los controles consisten en todos los métodos, las políticas y los procedimientos de organización que garanticen la seguridad de los activos de la organización; la exactitud y la confiabilidad de los registros contables, así como la adhesión a las normas de gestión operacional.

Los sistemas de información son vulnerables a las amenazas técnicas, organizativas y ambientales de fuentes internas y externas. El eslabón más débil de la cadena es la mala administración del sistema.

Debido a que gran parte de tu información personal y financiera se mantiene ahora por vía electrónica, el gobierno estadounidense está empezando a instituir leyes para proteger los datos de un uso no autorizado o ilegal.

Una de las mejores maneras de reducir riesgos de problemas informáticos es establecer controles en su sistema de información de la misma manera que en cualquier otro sistema; a través de los métodos, políticas y procedimientos.

Revisa a continuación el Checkpoint:

  1. Asegúrate de contestar las preguntas que se enlistan a continuación.
    1. ¿Cuáles son las amenazas más comunes contra los sistemas de información actuales?
    2. ¿Qué es un hacker?, ¿cómo crean problemas de seguridad y daños a los sistemas?
    3. ¿Cómo ayudan las auditorías de sistemas a promover la seguridad y el control?
  2. Una vez que lo hayas hecho, da clic sobre las preguntas para comparar tus respuestas y averiguar si respondiste acertadamente.
  3. Haz clic aquí para acceder a ellas.

Los controles y la seguridad se deben diseñar en el sistema desde el principio, no como una idea de último momento. Los controles generales están relacionados con el software del sistema y los procedimientos manuales. Los controles de aplicación protegen la entrada de datos, el procesamiento de datos, y la salida de información. Las herramientas para asegurar la continuidad del negocio incluyen sistemas de alta disponibilidad y alta disponibilidad informática. La continuidad del negocio y la planeación de recuperación de desastres son hoy más importantes que nunca para las empresas.

A manera de reflexión, intenta responder por ti mismo las siguientes preguntas antes de dar clic para ver la respuesta.

Haz clic en cada pregunta para revisar su información.

1. ¿Por qué se dice que la seguridad no es simplemente una cuestión de tecnología, sino que es un asunto de negocios?

Como cualquier activo de una organización los sistemas de información requieren mantenerse seguros. La tecnología juega un papel vital en el manejo de las capacidades básicas de una empresa y los procesos de negocio. Para asegurar estos sistemas se requieren políticas, procedimientos y medidas técnicas para evitar el acceso no autorizado, alteración, robo o daño físico a los sistemas de información.

Por otro lado, la tecnología no es la cuestión clave en la seguridad y el control de los sistemas de información. Proporciona una base, pero en la ausencia de políticas de gestión inteligente, incluso la mejor tecnología puede ser derrotada fácilmente. La protección de los recursos de información requiere de una buena política de seguridad y un conjunto de controles. Una política de negocio especifica las mejores prácticas en seguridad y control de sistemas de información, incluida la política de seguridad, planeación de la continuidad del negocio, seguridad física, control de acceso, el cumplimiento y la creación de una función de seguridad dentro de la organización. Sin sistemas seguros, ninguna empresa va a funcionar por mucho tiempo.

2. ¿Cómo proporcionan valor a las empresas las actividades de seguridad y el control?

La seguridad se refiere a las políticas, procedimientos y medidas técnicas utilizadas para evitar el acceso no autorizado, alteración, robo o daño físico a los sistemas de información.

Los controles consisten en todos los métodos, las políticas y los procedimientos de organización que garanticen la seguridad de los activos de la organización; la exactitud y fiabilidad de sus registros de cuentas, así como la adhesión a las normas de gestión operacional.

El valor de negocio de la seguridad y el control:

  • Las empresas que dependen de los sistemas informáticos para sus funciones centrales del negocio pueden perder ventas y productividad.
  • Los activos de información, como los registros confidenciales de empleados, secretos comerciales, o planes de negocios, pierden gran parte de su valor si se revelan a externos e incluso exponen a la empresa a una responsabilidad legal.

Referencias

Laudon, K.C. y Laudon, J.P. (2012). Sistemas de Información Gerencial (12ª ed.). México: Pearson.