CURSO:
SISTEMAS DE INFORMACION GERENCIAL
TEMA:
SEGURIDAD EN LOS SISTEMAS DE INFORMACION
ALUMNOS:
QUISPE REVOREDO JOSE
QUISPE ROBLES ELVIS
QUISPE SARAVIA EVELIN
YUCRA CASTILLO JULIA
2015
FACULTAD DE ADMINISTRACION DE EMPRESAS
2
INDICE
SEGURIDAD EN LOS SISTEMAS DE INFORMACION
1 - VULNERABILIDAD DE LOS SISTEMAS.
SEGURIDAD DE LOS SERVICIOS INALÁMBRICOS.
SOFTWARE MAUCIOSO: VIRUS, GUSANOS, CABALLOS DE TROYA
Y SPYWARE.
DELITO INFORMÁTICO.
DELITO INFORMATICO EN EL PERU.
VULNERABIUDAD DEL SOFTWARE.
2 - VALOR DEL NEGOCIO EN RELACIÓN CON LA SEGURIDAD Y EL
CONTROL.
GESTIÓN ELECTRÓNICA DE DOCUMENTOS.
EVIDENCIA ELECTRÓNICA Y CÓMPUTO FORENSE.
3 - ESTABLECIMIENTO DE UNA ESTRUCTURA DE SEGURIDAD Y
CONTROL.
EVALUACION DE RIESGO.
POLITICA DE SEGURIDAD.
ASEGURAMIENTO DE LA CONTINUIDAD DEL NEGOCIO.
RECUPERACIÓN DE LOS SITEMAS DE INFORMACIÓN ANTE
DESASTRES
Y PARA LA CONTINUIDAD DEL NEGOCIO.
4 - HERRAMIENTAS PARA LA SEGURIDAD DE LOS SISTEMAS DE
INFORMACIÓN GERENCIAL.
DEFENSAS DE SEGURIDAD DE LOS SITEMAS DE INFORMACION.
OTRAS MEDIDAS DE SEGURIDAD.
5 - CASO DE ANALISIS.
6 - CONCLUSIONES Y RECOMENDACIONES.
7 - BIBLIOGRAFIA
3
INTRODUCCION
Una de las responsabilidades más importantes de la administración de
una empresa es garantizar la seguridad y la calidad de sus actividades
de negocios operadas por medio de la Tecnología de la Información. Las
herramientas y políticas de la administración de la seguridad garantizan
la exactitud, integridad y protección de los sistemas y recursos de
información de una empresa y así minimizan los errores, fraudes y las
pérdidas de seguridad en sus actividades de negocios.
Como ejemplos mencionados en la presente monografía están el uso
de encriptación de información confidencial de negocios, firewalls,
control del correo electrónico, software antivirus, códigos de seguridad,
archivos de respaldo, monitores de seguridad, medidas de seguridad
biométrica, controles de fallas informáticas, sistemas tolerantes a fallas,
medidas de recuperación de desastres, controles de sistemas de
información y
auditorías de la seguridad de los sistemas de negocios.
4
SEGURIDAD EN LOS SISTEMAS DE INFORMACION
1 - VULNERABILIDAD DE LOS SISTEMAS.
Cuando se almacenan en forma electrónica grandes cantidades de datos, son
vulnerables a una gran variedad de tipos de amenazas que cuando existían en
forma manual.
Los sistemas de información ubicados en diferentes lugares se interconectan
por medio de redes de comunicaciones. La posibilidad de acceso no
autorizado, abuso o fraude no se limita a una sola ubicación, sino que puede
ocurrir en cualquier punto de acceso a la red.
Las amenazas más comunes en contra de los sistemas de información
contemporáneos. Éstas pueden derivarse de factores técnicos,
organizacionales
y del entorno combinados con decisiones administrativas deficientes. En el
entorno de computación cliente/servidor multicapa que se ilustra aquí, existen
vulnerabilidades en cada capa y en las comunicaciones que tienen lugar entre
las capas. Los usuarios en la capa del cliente pueden causar daño al introducir
errores, acceder al sistema sin autorización o descargar spyware y virus sin
darse cuenta.
Los hackers pueden, valiéndose de una diversidad de artimañas, acceder a los
datos que fluyen sobre las redes, robar datos valiosos durante su transmisión o
alterar mensajes sin autorización. No está de más aclarar que Internet y otras
redes son altamente vulnerables a alteraciones por la radiación. Los intrusos
pueden lanzar ataques de negación de servicios o software malicioso para
alterar el funcionamiento de los sitios Web. Quienes tienen la capacidad de
penetrar en los sistemas corporativos pueden destruir o alterar los datos
corporativos almacenados en bases de datos o en archivos.
Por lo general, la arquitectura de una aplicación basada en la Web incluye un
cliente Web, un servidor y sistemas de información corporativos enlazados a
bases de datos. Cada uno de estos componentes presenta retos y
vulnerabilidades de seguridad. Inundaciones, incendios, fallas de energía y
5
otros problemas eléctricos pueden ocasionar alteraciones en cualquier punto
de la red.
Los sistemas tienen un mal funcionamiento si el hardware de cómputo se
descompone, si no está configurado apropiadamente o si está dañado por un
uso inadecuado o por actos delictivos. Los errores de programación, una
instalación inadecuada o cambios sin autorización ocasionan que el software
de cómputo falle. Las fallas de energia, inundaciones, incendios u otros
desastres naturales también puedencalterar los sistemas de cómputo.
La asociación con empresas locales o extranjeras contribuye a la vulnerabilidad
de los sistemas si información valiosa reside en redes y computadoras fuera
del
control de la organización. Sin fuertes medidas de seguridad, los datos valiosos
se pueden perder o destruir, o caer en manos equivocadas y revelar secretos
comerciales importantes o información que viole la privacidad personal.
6
SEGURIDAD DE LOS SERVICIOS INALÁMBRICOS
Aunque el alcance de las redes Wi-Fi es de apenas algunos metros, puede
extenderse hasta poco más de un cuarto de kilómetro utilizando antenas
externas. Las LANs que emplean el estándar 802.11 pueden ser fácilmente
penetradas por extraños equipados con computadoras portátiles, tarjetas
inalámbricas, antenas externas y software de piratería informática. Los hackers
utilizan estas herramientas para detectar redes desprotegidas, monitorear el
tráfico de red y, en algunos casos, obtener acceso a Internet o a redes
corporativas.
La tecnología de transmisión Wi-Fi fue diseñada para facilitar que las
estaciones se encontraran y escucharan entre sí. Los identificadores de
conjuntos de servicios (SSIDs) que identifican los puntos de acceso en una red
Wi-Fi se difunden múltiples veces y pueden ser detectados con mucha facilidad
por los programas husmeadores de los intrusos. Las redes inalámbricas de
muchos lugares no tienen protecciones básicas contra la guerra móvil, en la
cual los espías conducen cerca de los edificios o se estacionan afuera de ellos
e intentan interceptar el tráfico de una red inalámbrica.
7
SOFTWARE MAUCIOSO: VIRUS, GUSANOS, CABALLOS DE TROYA Y SPYWARE. Los programas de software malicioso se conocen como malware e incluyen
una diversidad de amenazas, como virus de computadora, gusanos y
caballos de Troya.
Un VIRUS de computadora es un programa de software malintencionado al que
se adjunta a sí mismo a otros programas de software o archivos de datos con
el propósito de ejecutarse, por lo general, sin conocimiento o permiso del
usuario. La mayoría de los virus de computadora transmiten una carga útil".
Esta podría ser relativamente benigna, como las instrucciones para desplegar
un mensaje o una imagen, o podría ser sumamente destructiva -destruir
programas o datos, congestionar la memoria de la computadora, reformatear el
disco duro de una computadora u ocasionar que los programas funcionen de
manera errática.
La mayor parte de los ataques recientes han provenido de GUSANOS, que son
programas de computadora independientes que se copian a sí mismos de una
computadora a otras en una red. A diferencia de los virus, los gusanos
funcionan por sí mismos sin adjuntarse a otros archivos de programas de
computadora y dependen menos de los actos humanos para esparcirse de una
computadora a otra. Esto explica por qué los gusanos de computadora se
esparcen con mucha mayor rapidez que los virus de computadora. Los
gusanos destruyen datos y programas, así como alteran o incluso detienen el
funcionamiento de las redes de computadoras.
Un CABALLO DE TROYA es un programa de software que aparenta ser
benigno pero que hace algo distinto a lo esperado. El caballo de 'Itoya no es en
sí mismo un virus porque no se replica pero con frecuencia constituye una
manera para 'que los virus y otro código malicioso sean introducidos en un
sistema de cómputo. El término caballo de Troya se deriva del enorme caballo
de madera que utilizaron los griegos para engañar a los troyanos con el fin de
que abrieran las puertas de su ciudad fortificada durante la guerra de 'troya.
8
Una vez que estuvieron dentro de las murallas de la ciudad los soldados
griegos ocultos en el caballo salieron de éste y capturaron la ciudad.
Los SPYWARE también actúan como software malicioso. Estos pequeños
programas se instalan subrepticiamente a sí mismos en las computadoras para
vigilar las actividades de navegación del usuario en la Web y presentar
publicidad. Se han documentado miles de formas de spyware.
El spyware no sólo es molesto. Ofrece a los extraños la posibilidad de invadir
su
privacidad y robar su identidad persona], incluyendo códigos PIN, inicios de
sesión e información de su cuenta. Los registradores de claves registran cada
tecleo ingresado en una computadora para robar números seriales de software,
para lanzar ataques por Internet obtener acceso a cuentas de correo, obtener
contraseñas a sistemas de cómputo protegidos o para recopilar información
personal como números de tarjetas de crédito. Otros programas de spyware
cambian las páginas de inicio del navegador Web, redirigen solicitudes de
búsqueda o disminuyen el desempeño de la computadora al apoderarse de
mucha memoria.
DELITO INFORMÁTICO
Un HACKER es un individuo que intenta obtener acceso no autorizado a un
sistema de cómputo. Dentro de la comunidad de la piratería informática, el
término CRACKER se utiliza comúnmente para denotar a un hacker con
intenciones criminales, aunque en la prensa pública¡ los términos hacker y
cracker se emplean de manera indistinta. Los hackers y los crackers obtienen
acceso no autorizado encontrando debilidades en las protecciones de
seguridad de los sitios Web y los sistemas de cómputo) con frecuencia
aprovechando las diversas características de Internet que lo hacen un sistema
abierto fácil de utilizar.
La mayor parte de las actividades de un Hacker son delitos penales, y las
vulnerabilidades de los sistemas que acabamos de describir también los
convierten en objetivo de otros tipos de delitos informáticos.
9
Delito informático o Ciberdelito es toda aquella acción antijurídica y culpable,
que se da por vías informáticas o que tiene como objetivo destruir y dañar
ordenadores, medios electrónicos y redes de Internet. Debido a que la
informática se mueve más rápido que la legislación, existen conductas
criminales por vías informáticas que no pueden considerarse como delito,
según la "Teoría del delito", por lo cual se definen como abusos informáticos
(los tipos penales tradicionales resultan en muchos países inadecuados para
encuadrar las nuevas formas delictivas), y parte de la criminalidad informática.
La criminalidad informática consiste en la realización de un tipo de actividades
que, reuniendo los requisitos que delimitan el concepto de delito, sean llevados
acabo utilizando un elemento informático.
Los delitos informáticos son aquellas actividades ilícitas que: (a) Se cometen
mediante el uso de computadoras, sistemas informáticos u otros dispositivos de
comunicación (la informática es el medio o instrumento para realizar un delito);
10
o (b) Tienen por objeto causar daños, provocar pérdidas o impedir el uso de
sistemas informáticos (delitos informáticos per se).
Mucha información es almacenada en un reducido espacio, con una posibilidad
de recuperación inmediata, pero por complejas que sean las medidas de
seguridad que se puedan implantar, aún no existe un método infalible de
protección.3
La criminalidad informática tiene un alcance mayor y puede incluir delitos
tradicionales como el fraude, el robo, chantaje, falsificación y la malversación
de caudales públicos en los cuales ordenadores y redes han sido utilizados
como medio. Con el desarrollo de la programación y de Internet, los delitos
informáticos se han vuelto más frecuentes y sofisticados.
La Organización de Naciones Unidas reconoce los siguientes tipos de delitos
informáticos:
Fraudes cometidos mediante manipulación de computadoras.
Manipulación de datos de entrada.
Daños o modificaciones de programas o datos computarizados.
DELITO INFORMATICO EN EL PERU
El Gobierno peruano aprobó en el año 2013 la ley de delitos informáticos que
sanciona hasta ocho años de cárcel el acoso infantil por Internet, entre otros
ilícitos.
La norma fue aprobada por el Congreso de la República y publicada en el
diario oficial El Peruano con la firma del presidente de la República, Ollanta
Humala.
Entre las leyes promulgadas se encuentran tipificados los delitos de Atentado a
la integridad de datos informáticos, Tráfico ilegal de datos, Interceptación de
datos informáticos, entre otras.
11
VULNERABIUDAD DEL SOFTWARE
Los errores del software plantean una amenaza constante para los sistemas de
información, ocasionando pérdidas incalculables en productividad.
Con frecuencia, el software comercial contiene defectos que no sólo producen
vulnerabilidades de desempeño sino también de seguridad que dan acceso a
las redes para los intrusos. Estas vulnerabilidades dan al malware la
oportunidad de superar las defensas de los antivirus. Una gran cantidad de
malware ha estado tratando de aprovechar las vulnerabilidades del sistema
operativo Microsoft Windows y de otros productos de Microsoft, pero también
va en aumento el malware dirigido al sistema operativo Linux.
Para corregir los defectos del software una vez que han sido identificados, el
fabricante del software crea pequeñas piezas de software conocidas como
parches para reparar los defectos sin alterar el funcionamiento adecuado del
software. Un ejemplo es el Service Pack 2 (SP2) para XP de Microsoft liberado
en el año 2004, el cual incorpora protección de firewall contra virus e intrusos,
capacidades para actualizaciones de seguridad automáticas y una interfaz de
fácil uso para manejar las aplicaciones de seguridad en la computadora del
usuario. A los usuarios del software les toca detectar estas vulnerabilidades,
probarlas y aplicar todos los parches. Este proceso se conoce como
administración de parches.
Puesto que la infraestructura de Tecnología de Información de una empresa
generalmente está ocupada con múltiples aplicaciones de negocios,
instalaciones de sistemas operativos y otros servicios de los sistemas, con
frecuencia la administración de los parches en todos los dispositivos y servicios
que utiliza una empresa requiere mucho tiempo y es muy costosa. El malware
es creado con tanta rapidez que las empresas tienen muy poco tiempo para
responder entre el momento en que se anuncia la existencia de una
vulnerabilidad y de su parche correspondiente, y el momento en que
aparece software malicioso para explotar esa vulnerabilidad.
12
2 - VALOR DEL NEGOCIO EN RELACIÓN CON LA SEGURIDAD Y EL
CONTROL.
Muchas empresas se muestran renuentes a invertir demasiado en la seguridad
porque no está directamente relacionada con los ingresos por las ventas. Sin
embargo, la protección de los sistemas de información es tan crucial para el
funcionamiento del negocio que merece un segundo análisis.
Las empresas tienen activos de información muy valiosos que deben proteger.
Con frecuencia, los sistemas albergan información confidencial sobre los
impuestos, activos financieros, registros médicos y revisiones del desempeño
laboral de los empleados. También contienen información acerca de las
operaciones corporativas, incluyendo secretos comerciales, planes de
desarrollo de nuevos productos y estrategias de marketing. Los sistemas
gubernamentales podrían almacenar información sobre sistemas de armas,
operaciones de inteligencia y objetivos militares. Estos activos de información
tienen un valor enorme, y si se perdieran, destruyeran o cayeran en manos
equivocadas podrían tener repercusiones devastadoras. Un reciente estudio
considera que cuando la seguridad de una empresa grande está en riesgo, la
empresa pierde aproximadamente 2,1 % de su valor de mercado a los dos días
del anuncio de la brecha de seguridad, lo cual se traduce en una pérdida
promedio.
La seguridad y el control inadecuados también pueden dar lugar a serios
problemas de responsabilidad legal. Las empresas deben proteger no sólo sus
propios activos de información, sino también los de sus clientes, empleados y
socios de negocios.
En caso contrario, la empresa podría verse involucrada en costosos litigios por
exposición o robo de datos. Una empresa puede ser responsabilizada por
riesgo y daño innecesarios si no toma las medidas de protección adecuadas
para prevenir la pérdida de información confidencial, la alteración de datos o la
violación de la privacidad. En consecuencia, una sólida estructura de seguridad
y control que proteja los activos de información del negocio puede generar un
alto rendimiento de la inversión.
13
GESTIÓN ELECTRÓNICA DE DOCUMENTOS
Las normas de autentificación y archivo para documentos en papel no están
siendo adaptadas a la documentación electrónica
Como sabemos, la creciente penetración de las tecnologías de la información
en las empresas y en los servicios públicos ha elevado, sustancialmente, el
volumen de documentación creada y transmitida por medios electrónicos entre
los diversos agentes económicos.
Esta documentación, que ha sido inicialmente creada por vía electrónica,
deberá permanecer en este formato durante toda su vida útil. Sucede que, en
este momento, las normas de autentificación y archivo, ampliamente usadas y
aceptadas para los documentos de papel, no están siendo adaptadas ni
normalizadas teniendo en cuenta este nuevo tipo de documentación.
Actualmente se corre el riesgo de perder, o de poder quedar inaccesibles,
documentos de gran valor para las organizaciones. Es frecuente que
documentos de importancia fundamental se destruyan inadvertidamente o se
mezclen con una amalgama de otra información sin importancia, perdiéndose
su rastro por completo.
Cuando una organización crece y aumenta significativamente la producción de
documentación electrónica, esta documentación empieza a diseminarse por
diversos ordenadores, haciendo su control y acceso cada vez más difícil. Esta
situación exige la creación de mecanismos de control que aseguren que la
información es accesible a todos aquellos que la necesitan. Como actualmente
en cualquier organización existen varios soportes documentales, la información
vital se encuentra diseminada y su gestión efectiva requiere que todos ellos
sean gestionados de forma coordinada y apropiada.
Los sistemas de Gestión Electrónica de Documentos (GED) son mucho más
que meros sistemas de localización de archivos, ya que tienen una capacidad
para realizar la gestión de cada documento durante toda su vida útil,
14
permitiendo también realizar su reclasificación en función de las modificaciones
en su valor para la actividad de la organización. Así como existen
procedimientos normalizados para el tratamiento de documentos en papel,
también en estos mismos sistemas es posible crear normas que controlen
cualquier documento electrónico, desde su creación a su destrucción efectiva.
La gestión deficiente de documentos electrónicos tiene, generalmente, como
consecuencia:
La confusión entre diferentes versiones del mismo documento, ocasionada
por la existencia de múltiples copias todas diferentes del documento final.
La destrucción o pérdida de documentos que deben mantenerse, al no
existir un almacenamiento centralizado (como existía para el papel) y el
autor no tiene conocimiento del tiempo de retención legal de ese
documento.
Autenticidad cuestionable, debido a la posibilidad de manipulación
electrónica del texto sin dejar rastro.
Pérdida de contexto del documento, que sucede, por ejemplo, cuando los
documentos correlacionados con este no están vinculados a él.
Pérdida de accesibilidad por cambios tecnológicos, ya que las
modificaciones en el software, en el hardware o en los medios utilizados
pueden hacer que los ficheros queden inaccesibles.
Estas consecuencias representan un gran desafío para la implantación de
Sistemas de Gestión Electrónica de Documentos. Sin embargo, actualmente ya
podemos mejorar el acceso a los documentos y a las pruebas que nos
defienden de las responsabilidades asumidas de una forma más rápida y
eficiente, como nunca antes fue posible.
Los sistemas de Gestión Electrónica de Documentos son mucho más que
simples sistemas de localización de archivos
La implantación de un Sistema de Gestión Electrónica de Documentos requiere
un abordaje metodológico en dos fases complementarias. En la primera fase
15
debe iniciarse una revisión total de la forma en la que los documentos están
siendo gestionados, analizando y documentando las prácticas actuales
(procesos) y las necesidades futuras. Como producto final de esta fase se debe
conseguir desarrollar una estrategia de gestión documental para la
organización. En la segunda fase debe construirse un proyecto de implantación
de esa estrategia que, además de la posible identificación, selección y
adquisición de un software de gestión documental, ponga en funcionamiento
todos los procedimientos inherentes al nuevo modelo de gestión de
documentos.
Cualquiera que sea el modelo adoptado, el Sistema de Gestión Electrónica
de Documentos deberá:
Proporcionar información sobre el contexto de los documentos
Proporcionar elementos que permitan probar la autenticidad de los
documentos cuando se requiera su evidencia
Ser compatible con los procedimientos de archivo existentes o impuestos
por la legislación vigente
Ser robusto frente a los cambios tecnológicos u organizativos
Permitir el vínculo entre documentos electrónicos y en papel
Conseguir gestionar documentos en diferentes estados, manteniendo los
niveles de accesibilidad exigidos por la política de seguridad interna de cada
organización
La compra e implantación de un Sistema de Gestión Electrónica de
Documentos representa, necesariamente, la asunción de costes, tanto a través
de la adquisición de un software, como a través de los servicios de
implantación, o por el tiempo necesario para el aprendizaje de la nueva forma
de trabajo. A pesar de todo, aporta significativos beneficios que pueden
representar ventajas competitivas decisivas en la negociación de contratos y en
el cierre de determinados negocios.
16
Los principales beneficios de un moderno Sistema de Gestión Electrónica
de Documentos derivan de:
Un acceso más fácil y más rápido a la información, en comparación con el
papel
Una fácil creación y uso de plantillas
Uso de documentos precedentes para reutilización con pocos cambios
Distribución fácil, rápida y a costes muy reducidos de grandes cantidades
de información, de grandes listas de distribución y con dispersión geográfica
lejana
Asistencia a través de hotline, ya que pasa a ser posible visualizar el mismo
documento estando los interlocutores separados por una línea telefónica
En caso de desastre, una recuperación rápida a través de las metodologías
de backup y centros de almacenamiento de datos físicamente distantes
Posibilidades de uso de data centers, con el objetivo de protección y/o
gestión
Eliminación efectiva de costes de espacio y personal para manejo y
almacenamiento
Una gestión poco cuidadosa de documentos electrónicos tiene elevados costes
inmediatos, pero también algunos que se prolongan sustancialmente en el
tiempo, como:
Tiempo perdido en la búsqueda de documentos electrónicos almacenados
sin una planificación adecuada para su fácil acceso futuro
Imposibilidad de encontrar un documento que fue apagado por falta de una
adecuada política de preservación
Tiempo perdido por haber accedido a una versión desactualizada del
documento; problemas de responsabilidad jurídica o imagen comercial negativa
Costes de almacenamiento por duplicación innecesaria del mismo
documento
17
Problemas legales por imposibilidad de acceso a documentos guardados en
sistemas obsoletos; archivos no migrados en el momento adecuado
Pérdida de negocio por incapacidad de acceso a información vital
Pérdida de operatividad por incapacidad del sistema para difundir
información relevante entre todos aquellos que la debían recibir
Imposibilidad de cumplimiento de los preceptos legales existentes o que
sean requeridos
Como ve, si todavía no ha pensado en implantar un Sistema de Gestión
Electrónica de Documentos, ¿por qué no empezar ahora? Además de permitir
guardar eficazmente su información electrónica o en papel, la implantación de
este sistema será un primer paso, pero importantísimo, para el inicio de la
optimización del conocimiento que la organización tiene, pero que muchas
veces ni siquiera sabe que lo tiene.
EVIDENCIA ELECTRÓNICA Y CÓMPUTO FORENSE
La seguridad, el control y la administración de registros electrónicos se han
vuelto esenciales para responder en situaciones legales. Hoy en día, gran parte
de la evidencia acerca de fraudes con acciones, abuso de confianza, robo de
secretos comerciales de empresas, delitos informáticos y muchos casos civiles
se encuentra en forma digital.
En la actualidad, los juicios se apoyan cada vez más, en información de
páginas
impresas o escritas a máquina, en pruebas en forma de datos digitales
almacenados en discos flexibles, CDs y discos duros de computadoras, así
como en correo electrónico, mensajes instantáneos y transacciones de
comercio electrónico a través de Internet.
El correo electrónico es el tipo más común de evidencia electrónica. En una
situación legal, una empresa está obligada a responder a una solicitud de
revelación para acceder a información que pudiera ser utilizada como prueba, y
por ley debe producir esos datos. El costo de responder a una solicitud de este
tipo puede ser enorme si la empresa tiene problemas para recabar los datos
requeridos o si éstos han sido alterados o destruidos. De igual manera, el costo
18
de no responder es muy alto. Las cortes imponen ahora multas financieras
severas e incluso penas judiciales por la destrucción inapropiada de
documentos electrónicos, anomalías en la generación de registros y fallas en el
almacenamiento adecuado de registros.
Una política efectiva de conservación de documentos electrónicos garantiza
que
los documentos electrónicos, el correo electrónico y otros registros estén bien
organizados, sean accesibles y nunca se conserven demasiado tiempo ni se
eliminen muy pronto. 'También refleja la conciencia sobre cómo se debe
conservar la posible prueba para el cómputo forense. El cómputo forense
consiste en la recopilación, examen, autenticación, preservación y análisis de
los datos contenidos o recuperados de los medios de almacenamiento de una
computadora en forma tal que la información se pueda utilizar como prueba en
un tribunal de justicia. Tiene que ver con los siguientes problemas:
• Recuperación de datos de las computadoras, conservando la integridad de la
prueba.
• Almacenar y manejar de manera segura los datos electrónicos recuperados.
• Encontrar información significativa en grandes volúmenes de datos
electrónicos.
• Presentar la información a un tribunal de justicia.
La evidencia electrónica podría residir en el medio de almacenamiento de una
computadora en forma de archivos de computadora y como datos del
ambiente, que no son visibles para el usuario promedio. Un ejemplo podría ser
un archivo que ha sido eliminado del disco duro de una pe. Los datos que el
usuario de una computadora haya eliminado del medio de almacenamiento de
ésta se pueden recuperar por medio de varias técnicas. Los expertos en
cómputo forense tratan de recuperar estos datos ocultos para presentarlos
como prueba.
Es necesario incluir una previsión sobre el cómputo forense en el proceso de
planeación de contingencias de una empresa. El director general, los
especialistas en seguridad, el personal de sistemas de información y el asesor
19
jurídico de la corporación deben trabajar de manera conjunta para implementar
un plan que se pueda poner en marcha si surge una contingencia jurídica.
3 - ESTABLECIMIENTO DE UNA ESTRUCTURA DE SEGURIDAD Y
CONTROL.
La tecnología no es el aspecto clave en la seguridad y el control de los
sistemas de información. La tecnología ofrece una base, pero ante la falta de
políticas de administración inteligentes, incluso la mejor tecnología puede ser
anulada. Por ejemplo, los expertos consideran que más de 90 por ciento de los
ciberataques exitosos se podrían haber evitado con la tecnología disponible en
ese momento. La falta de atención humana permitió que estos ataques fueran
tan contundentes.
EVALUACION DE RIESGO
Una evaluación del riesgo determina el nivel de peligro para la empresa si una
actividad o un proceso no están debidamente controlados. Los gerentes de una
empresa, en conjunto con los especialistas en sistemas de información, pueden
determinar el valor de los activos de información, los puntos de vulnerabilidad,
la frecuencia probable de un problema y los daños potenciales.
POLITICA DE SEGURIDAD
Una vez que usted ha identificado los principales riesgos para sus sistemas,
tiene
que desarrollar una política de seguridad para proteger los activos de la
empresa.
Una política de seguridad consta de enunciados que clasifican los riesgos de
seguridad, identifican los objetivos de seguridad aceptables y determinan los
mecanismos para alcanzar estos objetivos. ¿Cuáles son los activos de
información más importantes de la empresa? ¿Quién genera y controla esta
información en la empresa? ¿Qué políticas de seguridad están destinadas a
proteger la información? ¿Qué nivel de riesgo está dispuesta la administración
20
a aceptar para cada uno de estos activos? ¿Está dispuesta, por ejemplo, a
perder datos crediticios de los clientes una vez cada diez años? ¿O construirá
un sistema de seguridad para los datos de tarjetas de crédito que pueda resistir
el desastre una vez cada cien años? La administración debe calcular cuánto
costará alcanzar este nivel de riesgo aceptable.
En empresas más grandes podría haber una función de seguridad corporativa
formal encabezada por un director de seguridad (CSO). El grupo de
seguridad
instruye y capacita a los usuarios, mantiene a la administración al tanto de las
amenazas y fallas de seguridad, y da mantenimiento a las herramientas
elegidas para implementar la seguridad. El director de seguridad es
responsable de aplicar la política de seguridad de la empresa.
La política de seguridad impulsa políticas que determinan el uso aceptable de
los recursos de información de la empresa y cuáles miembros de ésta tienen
acceso a sus activos de información. Una política de uso aceptable (AUP)
define los usos aceptables de los recursos de información y el equipo de
cómputo de la empresa, incluyendo las computadoras de escritorio y las
portátiles, los dispositivos inalámbricos, los teléfonos e Internet. La política
debe dejar en claro la postura de la empresa respecto de la privacidad, la
responsabilidad del usuario y el uso personal del equipo y las redes de la
empresa. Una buena AUP define los actos aceptables e inaceptables para
cada usuario y especifica las consecuencias del incumplimiento.
Las políticas de autorización determinan diferentes niveles de acceso a los
activos de información para los distintos niveles de usuarios. Los sistemas de
administración de autorizaciones establecen dónde y cuándo se le permite a un
usuario acceder a ciertas partes de un sitio Web o de una base de datos
corporativa. Estos sistemas permiten a cada usuario acceder solamente a
aquellas partes de un sistema para las cuales tiene autorización, con base en
la información establecida por un conjunto de reglas de acceso.
El sistema de administración de autorizaciones sabe exactamente a cuál
información tiene permitido acceder cada usuario, como se muestra en la sgte
figura. Esta figura ilustra la seguridad permitida a dos conjuntos de usuarios de
una base de datos de personal en línea que contiene información delicada,
21
como los salarios, prestaciones e historiales médicos de los empleados. Uno
de los conjuntos de usuarios consta de todos los empleados que realizan
funciones de oficina, como la introducción de datos de los empleados en el
sistema. Todas las personas que tengan este tipo de perfil pueden actualizar el
sistema pero no leer ni actualizar campos críticos, como los que contienen
datos de salarios, historiales médicos o ganancias. Otro perfil se aplica a un
gerente de división, quien no puede actualizar el sistema pero puede leer todos
los campos de datos de los empleados de su división, incluyendo los historiales
médicos y el salario. Estos perfiles se basan en las reglas de acceso
establecidas por los grupos de la empresa. El sistema ilustrado en la sgte.
Figura proporciona restricciones
de seguridad muy detalladas, como permitir a los usuarios del personal
autorizados realizar y preguntar acerca de toda la información de los
empleados excepto la de los campos con información confidencial, como el
salario o el historial médico.
22
ASEGURAMIENTO DE LA CONTINUIDAD DEL NEGOCIO
A medida que las empresas se apoyan cada vez más en las redes digitales
para obtener ingresos y realizar operaciones, necesitan emprender pasos
adicionales para asegurar que sus sistemas y aplicaciones estén siempre
disponibles. Empresas como las industrias de servicios aéreos y financieros,
con aplicaciones'críticas que requieren procesamiento de transacciones en
línea, han utilizado durante muchos años sistemas de cómputo tolerantes a
fallas para asegurar su disponibilidad al cien por ciento. En el procesamiento de
transacciones en línea, la computadora procesa inmediatamente las
transacciones que se ingresan en línea. A cada instante se realizan enormes
cantidades de cambios a bases de datos, elaboración de informes y solicitudes
de información.
23
Los sistemas de cómputo tolerantes a fallas contienen software y hardware
componentes de suministro de energía redundantes que forman un entorno de
servicio continuo e ininterrumpido. Las computadoras tolerantes a fallas utilizan
rutinas de software especiales o lógica de autoverificación integrada en su
sistema de circuitos para detectar fanas de hardware y cambiar
automáticamente a un dispositivo de respaldo. Algunas partes de estas
computadoras se pueden quitar y reparar sin interrumpir el funcionamiento del
sistema de cómputo.
La tolerancia a fallas debe diferenciarse del cómputo de alta disponibilidad.
Tanto la tolerancia a fallas como el cómputo de alta disponibilidad procuran
reducir el tiempo de caída. El tiempo de caída se refiere a los periodos durante
los cuales un sistema no está en funcionamiento. Sin embargo, el cómputo de
alta disponibilidad ayuda a las empresas a recuperarse rapidamente de una
caída del sistema, en tanto que la tolerancia a fallas promete una disponibilidad
ininterrumpida junto con la eliminación del tiempo de recuperación. Los
entornos de computación de alta disponibilidad son un requisito mínimo para
las empresas que realizan una gran cantidad de procesamiento de comercio
electrónico o para aquellas que dependen de las redes digitales para llevar a
cabo sus operaciones internas.
La computación de alta disponibilidad requiere servidores de respaldo,
distribución del procesamiento entre múltiples servidores, almacenamiento de
alta capacidad y buenos planes para la recuperación de desastres y para la
continuidad del negocio.
La plataforma de cómputo de la empresa debe ser sumamente robusta, con
potencia de procesamiento, almacenamiento y ancho de banda escalables.
Los investigadores están explorando formas de lograr que los sistemas de
cómputo se recuperen aún más rápido cuando ocurren contratiempos, como el
enfoque denominado computación orientada a la recuperación. Éste incluye el
diseño de sistemas que se recuperen con rapidez, así como capacidades de
implementación y herramientas que ayuden a los operadores a identificar las
fuentes de fallas en los sistemas conformados por múltiples componentes y a
corregir fácilmente sus errores.
24
RECUPERACIÓN DE LOS SITEMAS DE INFORMACIÓN ANTE DESASTRES
Y PARA LA CONTINUIDAD DEL NEGOCIO.
La planeación para la recuperación de desastres concibe planes para la
restauración de los servicios de cómputo y comunicaciones después de que
han sido interrumpidos por algun suceso como un temblor, una inundación o un
ataque terrorista.
Estos planes se enfocan principalmente en los aspectos técnicos involucrados
en mantener los sistemas en funcionamiento, como cuáles archivos se deben
respaldar, y en el mantenimiento de los sistemas de cómputo de respaldo o los
servicios de recuperación de desastres.
Por ejemplo, MasterCard mantiene un centro de cómputo duplicado en Kansas
City, Missouri que sirve como un respaldo de emergencia para su centro de
cómputo principal en San Luis. En lugar de construir sus propias instalaciones
de respaldo, muchas empresas contratan los servicios de compañías como
Comdisco Disaster Recovery Services de Rosemont, Illinois, y SunGard
Recovery Services, cuyas oficinas se encuentran en Wayne, Pennsylvania.
Estas empresas de servicios de recuperación de desastres proporcionan sitios
de respaldo que albergan computadoras alternas en una gran cantidad de
lugares de Estados Unidos, donde las empresas, sucriptoras pueden ejecutar
sus aplicaciones críticas en casos de emergencia.
La planeación para la continuidad del negocio se enfoca en establecer formas
en que la empresa puede restaurar las operaciones de negocios después de
que
ocurre un desastre. El plan para la continuidad del negocio identifica los
procesos
de negocios críticos y determina los planes de acción para manejar las
funciones de misión crítica si se caen los sistemas.
Los gerentes y los especialistas en tecnología de información de la empresa
tienen que trabajar de manera conjunta en ambos tipos de planes para
determinar cuáles sistemas y procesos de negocios son más críticos para la
empresa. Deben realizar un análisis de impacto en el negocio para identificar
25
los sistemas más críticos para la empresa y el impacto que tendría en el
negocio una interrupción de los sistemas. La administración debe determinar el
período máximo que el negocio puede sostenerse con sus sistemas caídos y
qué partes del negocio se deben restaurar prímero.
4 - HERRAMIENTAS PARA LA SEGURIDAD DE LOS SISTEMAS DE
INFORMACIÓN GERENCIAL
Los directivos y profesionales de negocios son responsables por igual de la
seguridad, calidad y rendimiento de los sistemas de información empresariales
en sus unidades de negocios. Al igual que cualquier otro activo empresarial
importante, el hardware, el software, las redes y los recursos de datos
necesitan ser protegidos mediante diversas medidas de seguridad para
garantizar su calidad y uso provechoso. Ése es el valor de negocio de la
administración de la
seguridad.
MEDIDAS DE SEGURIDAD DE LA ADMINISTRACIÓN DE LA
SEGURIDAD DE SISTEMAS DE INFORMACIÓN.
26
El objetivo de la administración de la seguridad es lograr la exactitud,
integridad y protección de todos los procesos y recursos de los sistemas de
información. De este modo, la administración eficaz de la seguridad puede
minimizar errores, fraudes y pérdidas en los sistemas de información que
interconectan a las empresas actuales, así como a sus clientes, proveedores y
otras partes interesadas. La administración de la seguridad es una tarea
compleja. Como podemos ver, los directivos de seguridad deben adquirir e
integrar diversas herramientas y métodos de seguridad para proteger los
recursos de sistemas de información de una empresa.
Defensas de seguridad interconectadas, En la actualidad, pocos
profesionales enfrentan mayores retos que los directivos de la Tecnología de la
Información que desarrollan políticas de seguridad de Internet para
infraestructuras de red que cambian con rapidez.
Así, la seguridad de las empresas de negocios interconectadas de la
actualidad, es un reto importante para la administración. Muchas empresas
todavía están en proceso de conectarse completamente a Internet con el
propósito de participar en el comercio electrónico y llevar a cabo la reingeniería
de sus procesos de negocio internos con intranets, software de negocios
electrónicos y enlaces extranet con clientes, proveedores y otros socios
comerciales.
Los enlaces de red y los flujos de negocios vitales deben recibir protección
contra ataques externos perpetrados por delincuentes cibernéticos o la
sublevación de personal interno que realiza acciones criminales o
irresponsables. Esto requiere diversas herramientas de seguridad y medidas
defensivas, así como un programa coordinado de administración de la
seguridad.
DEFENSAS DE SEGURIDAD DE LOS SITEMAS DE INFORMACION
LA ENCRIPTACIÓN de datos se ha convertido en una forma importante de
proteger información y otros recursos de redes de cómputo, especialmente en
Internet, intranets y extranets. Las contraseñas, mensajes, archivos y otros
27
datos se pueden transmitir de manera codificada y ser decodificados a través
de sistemas informáticos sólo a usuarios autorizados. La encriptación implica el
uso de algoritmos matemáticos especiales, o llaves, para transformar los datos
digitales en un código cifrado antes de ser transmitidos y para decodificarlos
cuando son recibidos. El método de codificación usado con mayor frecuencia
utiliza un par de llaves, una pública y otra privada, exclusivas para cada
individuo. Por ejemplo, el correo electrónico se podría cifrar y codificar usando
una llave pública exclusiva para el receptor que es conocida por el transmisor.
Después de transmitir el correo electrónico, sólo la llave privada secreta del
receptor podría decodificar el mensaje.
Los programas de encriptación se venden como productos independientes o se
integran a otro software utilizado para el proceso de encriptación. Existen
varios estándares de encriptación de software que están en competencia, pero
los dos más importantes son RSA (de RSA Data Security) y PGP (siglas de
Pretty Good Privacy, o en español, muy buena privacidad), un popular
programa de encriptación disponible en Internet. Los productos de software de
Microsoft Windows XP, Novell Netware y Lotus Notes ofrecen características
de encriptación que utilizan software RSA.
Funcionamiento de la encriptación de llave pública y llave privada
28
EL FIREWALL de red que puede ser un procesador de comunicaciones, por lo
común un ruteador, o un servidor dedicado, junto con software firewall. Un
firewall sirve como un sistema de “portero” que protege las intranets de una
empresa y otras redes informáticas de la intrusión al proporcionar un filtro y un
punto de transferencia seguro para el acceso a Internet y otras redes. Filtra
todo el tráfico de red en busca de las contraseñas apropiadas y otros códigos
de seguridad y sólo permite transmisiones autorizadas de entrada y salida de la
red. Además, el software firewall se ha convertido en un componente básico de
sistemas informáticos para individuos que se conectan a Internet mediante una
línea de suscriptor digital (DSL, siglas del término Digital Subscriber Line) o
módems de cable, debido a su estado vulnerable de conexión continua.
29
Los firewalls pueden impedir, aunque no evitar por completo, el acceso no
autorizado (piratería) a redes informáticas. En algunos casos, un firewall
permite el acceso sólo desde sitios confiables de Internet a computadoras
particulares dentro del firewall o autoriza el paso únicamente de información
“segura”. Por ejemplo, un firewall permite a los usuarios leer correo electrónico
de ubicaciones remotas, pero no ejecutar ciertos programas. En otros casos, es
imposible distinguir entre el uso seguro e inseguro de un servicio de red
particular y,
por lo tanto, todas las solicitudes se deben bloquear. Entonces, el firewall
puede proporcionar sustitutos para algunos servicios de red (como correo
electrónico o transferencias de archivos) que realizan casi las mismas
funciones, pero no son tan vulnerables a la intrusión.
DEFENSAS CONTRA LA NEGACIÓN DE SERVICIO, Los ataques fuertes
contra sitios Web corporativos y de comercio electrónico de los últimos años
han demostrado que Internet es extremadamente vulnerable a diversas
agresiones de parte de piratas criminales, sobre todo a los ataques de
negación distribuida de servicio (DDOS, siglas del término Distributed Denial of
Service).
Los ataques de negación de servicio a través de Internet dependen de tres
niveles de sistemas informáticos interconectados: (1) el sitio Web de la víctima,
(2) el proveedor de servicios de Internet (ISP) de la víctima y (3) los sitios de
computadoras “zombies” o esclavas que fueron usurpadas por los delincuentes
cibernéticos. Por ejemplo, a principios del año 2000, los piratas informáticos
ingresaron a cientos de servidores, en su mayor parte servidores poco
protegidos de universidades, y plantaron programas .exe del tipo Caballo de
Troya, que se
usaron después para lanzar un bombardeo de solicitudes de servicio en un
ataque concertado a sitios Web de comercio electrónico como Yahoo! y eBay.
Deben tomarse medidas defensivas y precauciones de seguridad en los tres
niveles de las redes informáticas involucradas. Éstos son los pasos básicos
que las empresas y otras organizaciones deben seguir para proteger sus sitios
30
Web de la negación de servicio y otros ataques de piratería. Veamos ahora un
ejemplo real sobre una tecnología de defensa más compleja.
MONITOREO DEL CORREO ELECTRÓNICO, Los exámenes instantáneos ya
no son tan adecuados. La tendencia se dirige hacia la vigilancia sistemática del
tráfico del correo electrónico corporativo mediante el uso de software de
monitoreo de contenidos que realiza escaneos en busca de palabras
problemáticas que pudieran comprometer la seguridad corporativa. La razón:
los usuarios de software de monitoreo dijeron que estaban interesados en
proteger su propiedad intelectual y a sí mismos en contra de litigios.
El Internet y otros sistemas de correo electrónico en línea son unos de los
medios favoritos de los piratas para diseminar virus informáticos o allanar
computadoras intercomunicadas. El correo electrónico es también el campo de
batalla para los intentos de las empresas por hacer cumplir sus políticas contra
mensajes ilegales, personales o dañinos de parte de los empleados, así como
para las demandas de algunos empleados y otras personas que consideran
dichas políticas como violaciones a los derechos de privacidad.
DEFENSAS CONTRA VIRUS, La proteccion contra los últimos virus, gusanos,
Caballos de Troya y otros programas maliciosos que pudieran causar estragos
en su computadora. Esto puede ocurrir si se enlaza de manera periódica a la
red corporativa. En estos días, la protección antivirus corporativa es una
función centralizada de la tecnología de información. Alguien la instala para
usted en su PC y laptop o la distribuye cada vez más por la red. El software
antivirus opera en segundo plano y emerge de vez en cuando para darle
31
confianza. En la actualidad, la tendencia es automatizar el proceso por
completo.
Así, muchas empresas crean defensas contra la diseminación de virus al
centralizar la distribución y actualización de software antivirus como
responsabilidad de sus departamentos de sistemas de información. Otras
empresas subcontratan a sus proveedores de servicios de Internet, empresas
de telecomunicaciones o empresas de administración de seguridad, como
responsables de la protección antivirus.
Una razón para esta tendencia es que las principales empresas de software
antivirus, como Trend Micro (eDoctor y PC-cillin), McAfee (VirusScan) y
Symantec (Norton Antivirus), han desarrollado versiones de red de sus
programas, que venden a ISP y otros como un servicio que deben ofrecer a
todos sus clientes. Además, las empresas antivirus venden paquetes de
seguridad
de software que integra protección antivirus y firewalls, seguridad Web y
características de bloqueo de contenidos.
OTRAS MEDIDAS DE SEGURIDAD
Ahora, examinemos de manera breve diversas medidas de seguridad que se
usan en forma común para proteger las redes y los sistemas de negocios.
Éstas incluyen herramientas de hardware y software, computadoras tolerantes
a fallas y monitores de seguridad, así como políticas y procedimientos de
seguridad, como contraseñas y archivos de respaldo. Lo anterior forma parte
de un esfuerzo integrado de administración de la seguridad en muchas
empresas actuales.
CÓDIGOS DE SEGURIDAD, Con frecuencia, se utiliza un sistema de
contraseñas de multinivel para la administración de la seguridad. En primer
lugar, un usuario final inicia una sesión en el sistema informático al registrar su
código de identificación único o identificador de usuario. Entonces, se le pide al
usuario final que escriba una contraseña para obtener acceso al sistema (las
contraseñas se deben cambiar con frecuencia y consistir en combinaciones
poco comunes tanto de letras mayúsculas y minúsculas, así como de
32
números). A continuación, para tener acceso a un archivo individual es
necesario ingresar el nombre único de archivo. En algunos sistemas, la
contraseña para leer el contenido de un archivo es distinta de la que se
requiere para escribir
en un archivo (cambiar su contenido). Esta característica agrega otro nivel de
protección a los recursos de datos almacenados. Sin embargo, para lograr una
seguridad aún más estricta, las contraseñas se deben cifrar, o encriptar, con el
fin de evitar su robo o uso inadecuado, como veremos más adelante. Además,
en algunos sistemas de seguridad se utilizan tarjetas inteligentes, las cuales
contienen microprocesadores que generan números al azar para agregarlos a
la
contraseña de un usuario final.
UN EJEMPLO DE PAQUETE INTEGRADO DE SOFTWARE DE SEGURIDAD
PARA PC QUE INCLUYE PROTECCIÓN ANTIVIRUS Y FIREWALL.
ARCHIVOS DE RESPALDO, son archivos duplicados de datos o programas,
son otra medida de seguridad importante. Los archivos también pueden ser
protegidos a través del uso de medidas de retención de archivos que implican
el almacenamiento de copias de archivos de periodos previos. Si los archivos
33
actuales se destruyen, los archivos de periodos previos se utilizan para
reconstruir los archivos actuales. En ocasiones, se conservan varias
generaciones de archivos para propósitos de control. De este modo, los
archivos maestros de varios periodos recientes de procesamiento (conocidos
como archivos hijos, padres, abuelos, etc.) se conservan con propósitos de
respaldo. Estos archivos pueden almacenarse fuera de las instalaciones, es
decir, en un sitio lejano al centro de datos de una empresa y, en ocasiones, en
bóvedas de almacenamiento especial ubicadas en lugares remotos.
MONITORES DE SEGURIDAD, La seguridad de una red se puede lograr
mediante el uso de paquetes de software de sistema especializado conocidos
como monitores de seguridad de sistemas.
Los monitores de seguridad de sistemas son programas que monitorean el uso
de sistemas y redes informáticos y los protegen del uso no autorizado, fraude y
destrucción. Estos programas proporcionan las medidas de seguridad
necesarias para permitir el acceso a las redes sólo a los usuarios autorizados.
Por ejemplo, los códigos de identificación y las contraseñas con frecuencia se
usan con este propósito. Los monitores de seguridad también controlan el uso
de los recursos de hardware, software y datos de un sistema informático. Por
ejemplo, incluso a los usuarios autorizados se les puede restringir el uso de
ciertos dispositivos, programas y archivos de datos. Además, los programas de
seguridad vigilan el uso de las redes informáticas y recaban estadísticas sobre
cualquier intento de uso inadecuado. Por último, elaboran reportes para ayudar
a mantener la seguridad de la red.
LA SEGURIDAD BIOMÉTRICA, es un área en rápido crecimiento de la
seguridad informática. Consiste en medidas de seguridad que utilizan
dispositivos de cómputo para medir los rasgos físicos que identifican a cada
persona como un individuo único. Estas medidas son: reconocimiento de voz,
reconocimiento de huellas digitales, geometría manual, reconocimiento
dinámico de firma, análisis de pulsaciones, escaneo de retina, reconocimiento
facial y análisis de patrones genéticos. Los dispositivos de control biométrico
utilizan sensores de propósito especial para medir y digitalizar el perfil
biométrico de las huellas digitales, voz y otros rasgos físicos de una persona.
34
La señal digitalizada se procesa y compara con un perfil procesado del
individuo de antemano y almacenado en un disco magnético. Si los perfiles
concuerdan, el individuo obtiene permiso para ingresar a una red de cómputo y
se le concede el acceso a los recursos de sistema seguros.
CONTROLES DE FALLAS INFORMÁTICAS, Diversos controles pueden evitar
esta falla informática o minimizar sus efectos. Los sistemas informáticos fallan
por varias razones: fallas eléctricas, mal funcionamiento de circuitos
electrónicos, problemas de redes de telecomunicaciones, errores de
programación ocultos, virus informáticos, errores de operadores informáticos y
vandalismo electrónico. Por ejemplo, existen computadoras con capacidades
de mantenimiento automático y remoto. Los programas de mantenimiento
preventivo de hardware y de administración de actualizaciones de software son
comunes. Una capacidad de respaldo de sistemas de cómputo se puede
instalar
en organizaciones de recuperación de desastres. Los cambios importantes de
hardware o software se programan e implementan de forma cuidadosa para
evitar problemas. Por último, el personal altamente capacitado de centros de
datos y el uso de software de administración de la seguridad y rendimiento
ayudan a mantener el funcionamiento adecuado del sistema y las redes de
cómputo de una empresa.
SISTEMAS TOLERANTES A FALLAS, Muchas empresas utilizan también
sistemas informáticos tolerantes a fallas que tienen procesadores, periféricos y
software redundantes que proporcionan una capacidad de recuperación por
fallas (fail-over) para respaldar los componentes en caso de una falla del
sistema.
Éstos podrían proporcionar una capacidad de protección contra fallas (fail-safe)
en la que los sistemas de cómputo siguen operando al mismo nivel aunque
exista una falla importante del hardware o software. No obstante, muchos
sistemas de cómputo tolerantes a fallas ofrecen una capacidad de degradación
aceptable ante fallas (fail-soft) en la que el sistema informático sigue operando
a un nivel reducido, pero aceptable, en caso de que se presente una falla
importante del sistema.
35
5 – CASOS DE ANALISIS
CASO DE ANALISIS 1
LOS VIRUS EN LOS TELÉFONOS MÓVILES, ¿AMENAZA REAL O TEMOR
EXAGERADO HACIA SU NEGOCIO?
La telefonía móvil se caracteriza por ser un sistema de comunicación
ampliamente difundido debido a su fácil acceso, conectividad y versatilidad. Los
teléfonos inteligentes (smartphones) cuentan con sistemas operativos similares
a un ordenador, y tienen la ventaja del uso de redes geográficamente
distribuidas a nivel global. Lo cual los hace vulnerables a riesgos derivados por
virus o ataques informáticos.
Hoy en día la inmediatez cada vez es accesible gracias a las innumerables
ventajas de los smartphones. Una buena comunicación es la base fundamental
de cualquier negocio. Principalmente, el contacto inmediato con el personal
dentro de la compañía y la relación con los clientes.
Los mejores climas laborales internos son aquellos que reflejan resultados
exitosos en los servicios y productos que ofrecen. Los negocios deben
aprovechan las ventajas de los teléfonos inteligentes para crear una cultura
comunicacional que beneficie la productividad y el clima organizacional.
Pero con la masificación de este medios los peligros también asechan, es así
que mencionaremos las amenazas a los que están expuestos:
Pérdida o robo del dispositivo.
Infecciones por virus o Malware vía email, Botnets, Hoaxes, Spam, Rootkits.
Robo de información vía Bluetooth.
Suplantación de identidad o Spoofing.
Acceso a datos confidenciales de conversaciones, imágenes o vídeos.
Infección al acceder a falsos códigos QR publicitarios.
Tipos de malware en los smartphones:4
MALWARE CARACTERÍSTICAS 1.Troyanos
SMS
El diseño del troyano como Malware o virus informático, permite a
su creador tener acceso remoto a un sistema. En este caso al sistema
operativo de los Smartphones infectados. Provocando daños,
modificando los privilegios como usuario y poder acceder sin
ninguna restricción, así como el robo de información valiosa para el
usuario propietario del dispositivo móvil. Algunos troyanos
detectados son: NetBus, Back Orifice, Back Orifice 2000, Sub7, The
KaoS, Bifrost, Bandook, Poison Ivy, entre otros.
36
Las acciones de un troyano son el apagado y reinicio del equipo para
borrar, transferir o modificar archivos, robos de códigos de
seguridad e instalación de otros programas maliciosos. Tales como
los Botnets. Los riesgos se pueden presentar en dos posibles
escenarios:
A. Malware en aplicaciones y videojuegos: En este escenario, el
usuario descarga aplicaciones y videojuegos de fuentes no oficiales.
El Malware se instala en el dispositivo mediante SMS ocultos para
extraer información financiera y personal. Busca la lista de contactos
y el dispositivo se convierte en parte de un Botnet. Los Botnes
conocidos que representan un mayor peligro son Lethic, Grum,
Cutwail (1,2,4,5), Donbot, Festi, Gheg, Kelihos y Maazben.5
B. Malware en SMS: El usuario recibe un SMS malware en su
dispositivo proveniente de otro infectado y reenvía SMS a su lista de
contactos. Comenzando así de nuevo el ciclo.
2. Módulos
publicitarios
Se presentan como aplicaciones gratuitas de descarga que muestran
publicidad y que cambian la página de inicio del dispositivo sin la
autorización del usuario. Accede a la configuración del teléfono y
extrae el número de identificación IMEI, así como la lista de
permisos otorgados y acceso a las llamadas telefónicas. Los dos
módulos que actúan de esta forma son Plangton y Hamob
(AdWare.AndroidOS.Hamob). Los cuales sólo muestran anuncios
publicitarios al usuario, mientras realizan acciones maliciosas en el
dispositivo móvil.6
3. Exploits Buscan obtener los privilegios de super usuario o root. Es decir, el
usuario root tiene los permisos para realizar acciones en el
dispositivo que un usuario común no puede hacer. La principal
amenaza de un Exploit es la toma de control del dispositivo, así
como el acceso privilegiado a los programas. Se puede presentar de
tres formas: remoto, local y clientSide.
Medidas de seguridad y prevención de riesgos
Algunas recomendaciones para incrementar la seguridad y evitar posibles riesgos son:
TIPO DE SEGURIDAD MEDIDAS DE SEGURIDAD Y PREVENCIÓN
Física Al reciclar un teléfono móvil, asegurarse de eliminar
todo el contenido personal de las memorias. Así se
evita exponer la confidencialidad del usuario y la de
sus contactos.
Aplicaciones y
Sistemas Operativos
Comprar e instalar aplicaciones y Software en
páginas oficiales.
Instalar y mantener actualizado algún antivirus.
37
Usar deepfreeze Software, que permite el reinicio y
restauración del sistema en plataformas Microsoft
Windows, Mac OS X y Linux. Con el fin de evitar
daños causados por programas maliciosos.
Apagar el móvil por la noche cuando no está siendo
utilizado. Ya que los ataques a los sistemas pueden
ocurrir cuando el usuario no está al tanto de ello.
Control de accesos y
almacenamiento de
datos
Usar contraseñas alfanuméricas o PIN para el acceso
y tras la inactividad de los dispositivos.
Evitar proporcionar información financiera y personal
vía correo electrónico, conversaciones telefónicas o
por SMS.
Activar la encriptación de datos y cifrado de
memorias SD.
Hacer copias de seguridad para restablecer el sistema
en caso de fallos o pérdidas de información.
Usar servicios de localización online, para permitir el
borrado de datos en caso de robo o extravío.
CASO DE ANALISIS 2
F-SECURE, MICROSOFT, GM Y VERIZON: EL RETO DE LOS VIRUS
INFORMÁTICOS EN LOS NEGOCIOS
Mikko Hypponen y su equipo finlandés de cazadores de virus informáticos
saben que la suerte está en su contra en la frontera inexplorada de la red.
“Ubicar un virus es raro”, dice Vincent Gullotto del laboratorio de investigación
antivirus de la empresa fabricante de software Network Associates. Por lo
tanto, debemos perdonar a Hypponen, administrador de investigación de
antivirus de la empresa de software F-Secure Corp. (www.fsecure.com) con
sede en Helsinki, por emocionarse cuando él y su equipo invalidaron el virus
SoBig antes de que cumpliera su propósito.
Gracias a la investigación de F-Secure, una empresa de 300 empleados que es
reconocida por resolver problemas informáticos difíciles, expertos en virus e
investigadores gubernamentales de varios países pudieron suspender una red
de computadoras secuestrada por el virus sólo algunos minutos antes de que
SoBig lanzara lo que se esperaba que fuera, la siguiente etapa de su ataque,
38
“fue un daño que estuvo a punto de ocurrir”, dice Hypponen. “Los
desarrolladores de virus se asegurarán que no será tan fácil la próxima vez.”
De hecho, para los más afectados, parecía como si la avalancha de
virus hubiera alcanzado proporciones epidémicas en agosto de 2003,
cuando los sistemas informáticos del mundo fueron bombardeados por cientos
de virus. El 11 de agosto, el virus Blaster y errores relacionados atacaron,
golpeando a docenas de corporaciones, entre las que se encontraban los
sistemas de reservaciones y documentación en aeropuerto de Air Canada. Diez
días después, el virus SoBig tomó el control, lo que ocasionó retrasos en el
tráfico de carga del gigante ferroviario CSX Corp. y dañó más de 3 000
computadoras de la ciudad de Fort Worth. A nivel mundial, SoBig afectó 15 por
ciento de empresas grandes y 30 por ciento de empresas pequeñas, según la
empresa de seguimiento de software de virus TruSecure Corp. La empresa
de investigación de mercado Computer Economics Inc. Calcula que el daño
ascenderá a $2 000 millones, lo que lo convierte en uno de los virus más
costosos. En total, el daño causado por los virus podría alcanzar un monto
mayor de $13 000 millones en un año.
Además de los reportes de daños, el impacto de SoBig ofrece una fuerte
advertencia a empresas, consumidores y a la industria de software: tomen en
serio la seguridad informática. Al mismo tiempo, expertos en tecnología
advierten acerca de los peligros de confiar sólo en una organización, Microsoft
Corp. (www.microsoft.com), para que provea la infraestructura troncal del
mundo de la informática e Internet. Con 95 por ciento de participación de
mercado, el sistema operativo Windows de Microsoft es un blanco grande y
atractivo para los delincuentes cibernéticos.
Algunos críticos dicen incluso que Microsoft, como un servicio casi esencial,
tiene la obligación de garantizar que su software sea suficientemente hostil a
los piratas informáticos. Expertos en tecnología están haciendo un llamado a la
empresa para que realice cambios radicales en su manera de diseñar
programas. “Microsoft debe desarrollar mejor software”, opina Paul Saffo,
director del centro de investigación Institute for the Future, con sede en Menlo
Park, California. “Es escandaloso que una empresa tan rentable realice un
pésimo trabajo.” Expertos en seguridad y responsables de compras de
tecnología corporativa aseguran que los defectos existen porque Microsoft y
39
otras empresas de software han dado prioridad al lanzamiento rápido de
productos y a llenarlos con características, más que a prestar atención a la
seguridad. Hacen un llamado a la industria, y a Microsoft en particular, para
que fabrique software más seguro. La paciencia de Ralph Szygenda, director
de información de General Motors Corp. (www.gm.com) se agotó cuando sus
computadoras fueron dañadas por el gusano Nimda a finales de 2001. Llamó a
los ejecutivos de Microsoft. “Les avisé que voy a separar a GM de Windows”,
recuerda Szygenda. “De pronto, comenzaron a hablar sobre seguridad.”
Entre muchas fanfarrias, Microsoft lanzó su iniciativa Trustworthy Computing
(computación confiable) en 2002, una campaña que argumentaba que
colocaría la seguridad en el centro de su diseño de software. Como parte de la
campaña, más de 8 500 ingenieros de Microsoft dejaron de desarrollar el
producto Windows Server 2003 y llevaron a cabo un análisis de seguridad de
millones de líneas de código recién escrito. Por último, Microsoft gastó $200
millones en reforzar la seguridad sólo de Windows Server 2003. “Es un
cambio fundamental en nuestra manera de escribir software”, dice Mike Nash,
vicepresidente de negocios de seguridad. “Créanme que si hubiera alguna
manera de invertir más dinero o colocar más personal en esto, lo haríamos.” No
obstante, de manera vergonzosa, Windows Server 2003, lanzado en abril de
2003, fue uno de los sistemas fácilmente afectado por Blaster.
Sin embargo, la tarea de combatir a los virus reside en los propios usuarios
informáticos. La mayoría de las grandes corporaciones ya cuentan con
software antivirus básico. Con todo, los expertos en seguridad sostienen que
éstas necesitan encontrar mejores procedimientos para actualizar con mayor
frecuencia sus computadoras con las últimas actualizaciones de seguridad para
los programas y vacunas contra nuevos virus. Verizon Communications (www.
verizon.com) ha tomado en serio la seguridad en los dos últimos años y ya
posee un sistema para actualizar de forma automática sus 200 000
computadoras tan pronto como existan actualizaciones disponibles. Como
resultado, salió ilesa de los ataques del verano. “En cuanto a impacto de
negocios, no fue un evento para nosotros”, señala el director de información
Shaygan Kheradpir.
40
CASO DE ANALISIS 3
EL BANCO DE LA RESERVA FEDERAL: CREACIÓN DE UNA FIRME
ESTRATEGIA DE ADMINISTRACIÓN DE ACTUALIZACIONES DE
SOFTWARE
Ya no más dolores de cabeza insoportables para los administradores de
sistemas, ya que mantenerse al día con las actualizaciones de seguridad se ha
convertido en una práctica de negocios fundamental para toda empresa,
grande o pequeña. Aunque una política específica de actualizaciones podría
haber sido suficiente alguna vez, el aumento repentino de actualizaciones
durante los dos últimos años exige que los administradores de TI estén al tanto
de la seguridad en todos los niveles. Después de todo, incluso si un solo
sistema crítico está en peligro, toda la red puede quedar expuesta.
Por desgracia, el volumen total de actualizaciones ha hecho que la protección
de la seguridad empresarial sea más difícil que nunca.
Cada plataforma está sujeta a correcciones de seguridad, pero los sistemas
Windows son por lo común el motivo que apoya la decisión de la mayoría de
las empresas de implementar una solución de administración de
actualizaciones. No sólo la plataforma Windows constituye el grueso de los
sistemas empresariales, sino ha sido también la fuente del mayor número de
vulnerabilidades de seguridad.
Durante un tiempo parecía que no eran escuchadas las solicitudes de los
departamentos de TI por software más seguro, pero, desde entonces, Microsoft
ha hecho de la seguridad la máxima prioridad. A finales de 2003, la empresa
inició una campaña intensiva para renovar su estrategia de actualizaciones, la
cual comenzó con el anuncio de que comenzaría publicando actualizaciones
cada semana. Esta acción de Microsoft indica que su comprensión de la
administración de actualizaciones requiere una estrategia clara y firme para ser
eficaz.
Si hubiera algún caso que definiera la necesidad de una estrategia de
administración de actualizaciones bien diseñada, ése es el Banco de la
Reserva Federal. Sólo en Nueva York, la Reserva Federal tiene más de 10 000
dispositivos discretos, entre los que se encuentran los servidores AS/400, HP-
41
UX, Linux, Novell NetWare y Sun Solaris, así como una enorme base instalada
de Microsoft Windows. La impresionante responsabilidad de administrar estos
activos recae sobre los hombros de Sean Mahon, vicepresidente de
administración de sistemas de la Reserva Federal de Nueva York.
“Nuestro problema real es la plataforma cruzada”, comenta Mahon. “Por
fortuna, nuestras plataformas basadas en Unix son más estables con respecto
a nuevas vulnerabilidades de seguridad. Las plataformas Microsoft se han
vuelto extremadamente intensivas en recursos.” La rutina estándar de Mahon
para plataformas diferentes de Microsoft comienza con la organización en
orden de prioridades de cada actualización anunciada. “Para nosotros”, dice,
“éstas se dividen sólo en dos categorías: las relacionadas con la seguridad,
sobre las que actuamos de inmediato, y las relacionadas con cualquier otra
cosa, con las que podemos dedicar más tiempo a hacer pruebas”.
Después de que se anuncia una actualización, los administradores de
sistemas de Mahon lo prueban en un sistema dedicado y después lo introducen
mediante el uso de varias herramientas que vienen junto con los sistemas
operativos Unix. “Nuestra respuesta a los anuncios de actualizaciones de
Microsoft es similar, pero con una mayor granularidad”, explica Mahon. Por
ejemplo, defenderse contra un gusano de Internet es una prioridad que supera
a un problema funcional de Microsoft Office.
Las estaciones trabajo de escritorio provocan a Mahon los mayores dolores de
cabeza. “Tenemos más de 800 analizadores bancarios y generalmente no
tenemos idea dónde están”, dice. “El reto de mantenerlos actualizados es
enorme, pero deben ser actualizados porque si uno se infecta, podría trastornar
todo.”
Después de descubrir las actualizaciones, Mahon requiere que su equipo se
apegue también a mediciones de validación estrictas, aunque admite que esto
puede ser problemático. “Lo ideal sería hacer siempre una validación y prueba
minuciosa antes de la introducción”, comenta. “Pero la ventana de oportunidad
cada vez menor ocasiona que debamos introducirlas con mayor rapidez para
asegurarnos de no ser vulnerables y, en ocasiones, eso supera a la posible
interrupción de los sistemas de negocios.”
En el pasado, el mayor problema era introducir las actualizaciones a máquinas
individuales desde una ubicación central, pero la mayoría de los productos de
42
administración de sistemas más modernos pueden realizar ese trabajo con
facilidad. En la actualidad, los dolores de cabeza se deben al volumen total de
nodos que deben recibir servicio y a las complejidades de ambientes
heterogéneos.
Incluso para las organizaciones que tienen la habilidad de introducir
una solución de actualizaciones integral, el camino para una estrategia exitosa
es complejo e individual. Existen diversas maneras de resolver el problema,
cada una con sus propias ventajas y desventajas.
Lo cierto es que ninguna organización puede darse el lujo de ignorar el
problema de la administración de actualizaciones. Ignorar las correcciones de
seguridad críticas no es una opción, sino que el objetivo debe ser aplicar las
últimas actualizaciones en forma oportuna y al mismo tiempo minimizar el
riesgo en el ambiente general de TI. Para lograrlo, cada organización debe
identificar sus prioridades, establecer una política e implementar herramientas
de software que se adapten mejor a sus necesidades específicas.
CASO DE ANALISIS 4
ONLINE RESOURCES, LEHMAN BROTHERS Y OTRAS EMPRESAS:
ADMINISTRACIÓN DE SISTEMAS DE SEGURIDAD DE REDES.
Al igual que muchas empresas, Online Resources Corp.
(www.onlineresources.com) ha introducido sistemas de detección
de intrusiones de red, firewalls y herramientas antivirus en sus redes. Pero,
hasta que instaló un paquete integrado de administración de eventos de
seguridad, la empresa pasó momentos difíciles cuando batalló con la
avalancha de datos que ingresaban através de sus diversos sistemas de
seguridad. Los datos entrantes no sólo eran voluminosos y poco confiables,
sino que el personal de TI debía recuperarlos de cada sistema y después
correlacionarlos manualmente.
El paquete integrado Security Information Management de NetForensics, ha
cambiado eso al automatizar el proceso de recolección, consolidación,
correlación y clasificación de datos, comenta Hugh McArthur, director de
seguridad de información de la empresa procesadora de facturas en línea. “Nos
43
ha proporcionado un solo lugar al que podemos ir para obtener la información
que necesitamos”, afirma.
El número cada vez mayor de herramientas y dispositivos de seguridad
alrededor de un perímetro de red ha creado un flujo de datos que deben
analizarse y correlacionarse, dice Michael Engle, vicepresidente de seguridad
de información de Lehman Brothers Holdings Inc. (www.lehman.com), con sede
en Nueva York. Los sistemas de detección de intrusiones (IDS, siglas de
Intrusion Detection Systems), los sistemas de prevención de intrusiones (IPS,
siglas de Intrusion Prevention Systems), los firewalls y el software antivirus,
así como los sistemas operativos y el software aplicativo, detectan y reportan
un número enorme de eventos de seguridad a diario.
Por ejemplo, el sistema de administración de incidentes de seguridad de
Lehman reúne y analiza información sobre más de 1 millón de eventos de 15
sistemas diferentes todos los días, según Engle. Esto incluye datos de IDS y
sistemas de autenticación, de un sistema telefónico de restablecimiento de
contraseñas y de un sistema de detección de anomalías, así como de registros
de los sistemas principales de comercio electrónico, y sistemas Windows y
Unix de Lehman. Para fin de año, la empresa espera contar con un sistema
mejorado que ayude a recabar y analizar más de 80 millones de eventos cada
día, como datos consolidados de registros de firewalls.
Las herramientas de administración de la información de seguridad por lo
general “normalizan” la información de los eventos de seguridad que recaba,
los convierte a un formato común y filtra automáticamente datos duplicados,
como los registros múltiples por el ataque del mismo virus. Después, los datos
normalizados se descargan en una base de datos central o depósito, donde el
software de correlación compara los datos de distintos sistemas y busca
patrones que pudieran indicar un ataque o amenaza. Por último, las amenazas
se clasifican en orden de prioridad con base en su gravedad y en la importancia
de los sistemas que son vulnerables. Por ejemplo, los datos que sugieren un
ataque contra un servidor esencial de comercio electrónico recibirían una
mayor prioridad que un ataque contra un servidor de archivos.
Los administradores de seguridad de TI pueden ver la información mediante el
uso de una consola o cuadro de mandos basado en Web o Java, o el sistema
se configura para enviar alertas a radiolocalizadores u otros dispositivos. Los
44
cuadros de mandos proporcionan a las empresas un vistazo en tiempo real de
lo que sucede dentro de la red corporativa. “Vemos que los eventos suceden
con mayor velocidad.
Esto nos permite reaccionar rápidamente si vemos que surge alguna actividad
en nuestros sistemas”, comenta White. Los beneficios de introducir este
software pueden ser enormes, afirma Engle. Cuando Lehman instaló por
primera vez un IDS en 1999, generó más de 600 alertas diarias, la mayoría de
ellas falsas alarmas. En la actualidad, gracias a las características de
correlación de eventos de su sistema de administración, los directivos reciben
menos de 10 alarmas cada día. Hoy, el sistema está “reduciendo más de 1
millón de eventos a menos de 10 alertas”, explica Engle. Esta tecnología
permite a las empresas como Lehman identificar las amenazas de manera
mucho más eficiente, identificar las tendencias que pudieran indicar una
amenaza potencial y mejorar la respuesta a los incidentes.
Los datos que capturan y almacenan los sistemas centralizados de
administración de eventos son útiles también para el análisis forense de
intrusiones a redes, afirma Nitin Ved, director de operaciones de NetForensics
(www.netforensics.com). Estos sistemas permiten a las empresas desglosar los
detalles de un ataque, reunir información importante de sistemas diferentes e
integrar con prontitud una combinación de eventos que conducen a un
incidente de seguridad.
Pero al igual que con cualquier otra tecnología, existen varias precauciones,
sobre todo con relación a la calidad de los datos que alimentan a esos
sistemas. El viejo refrán “basura entra, basura sale” se aplica a este software,
afirma Sweta Duseja, gerente de producto de la empresa proveedora de
seguridad Check Point Software Technologies (www.checkpoint.com). Por ese
motivo es importante asegurar que se instalen todos los filtros y reglas
correctas para capturar la información que es alimentada al sistema, explica
Engle. Por ejemplo, cada vez que un usuario final en la red de Lehman
hizo clic en el sitio Web de CNN, generó 144 eventos de registro
independientes en los sistemas de seguridad de Lehman, la mayoría
de los cuales fueron datos inútiles. Engle comenta, “en un principio,
estábamos enviando demasiados datos al sistema porque pensábamos
que eso nos daría más seguridad”.
45
6 - CONCLUSIONES Y RECOMENDACIONES.
El uso de los Sistemas de Información para maximizar las utilidades y reducir
los precios se vuelve imprescindible y por supuesto el manejo de la seguridad
se vuelve una pieza clave en la consecución de estos objetivos.
En plena era de conocimiento, las informaciones se constituyen en el principal
capital de las organizaciones y empresas; su administración no tendrá valor sin
la seguridad que le permita una relativa privacidad y seguridad.
La seguridad de los sistemas de información dependerá del tipo de sistema al
que se recurra, existen muchas opciones en el mercado, es responsabilidad de
los tomadores de decisiones investigar a fondo en cada una de ellas y
encontrar la factibilidad de operación de la opción elegida, para de esta manera
hacer mas eficiente y segura la operación de la empresa y económicamente
rentable.
Las herramientas y políticas de la administración de la seguridad garantizan la
exactitud, integridad y protección de los sistemas y recursos de información de
una empresa y así minimizan los errores, fraudes y las pérdidas de seguridad
en sus actividades de negocios.
7 - BIBLIOGRAFIA.
SISTEMAS DE INFORMACIÓN GERENCIAL. James a. O’brien. Mac graw hill.
Séptima edición. México 2012.
SISTEMAS DE INFORMACIÓN GERENCIAL. Laudon, kenneth c. Y laudon,
jane p. Décima edición Pearson educación, México, 2010.
TECNOLOGÍA DE LA INFORMACIÓN Y SU USO EN GESTIÓN (UNA VISIÓN
MODERNA DE LOS SISTEMAS DE INFORMACIÓN). BARROS V., Oscar.
Septima Edición. McGRAW-HILL Interamericana de Chile LTDA. Santiago,
Chile. 1998.