Los tipos de ataques cibernéticos o delitos computaciones, seguridad en un Sistema de Información, importancia de auditoría en el área de seguridad informática y leyes aplicadas a la seguridad de datos en países con énfasis en Colombia.
4. Hackers y delitos computacionales
● ¿Que es un hacker? Un hacker es un individuo que intenta
obtener acceso sin autorización a un sistema computacional.
● Algunas actividades de los hackers:
- Ataque de denegación de servicio
- Delitos por computadora
- Fraude del clic
- Spoofing y Sniffing
- Robo de identidad
4
5. Hackers y delitos computacionales
● Ataque de denegación de servicio: Es un ataque a un sistema de
computadores o red que causa que un servicio o recurso sea
inaccesible a los usuarios legítimos, es decir los hackers envían
demasiadas solicitudes que hace colapsar la conexión a internet
(ancho de banda).
5
6. Hackers y delitos computacionales
● Delitos por computadora: Son los actos dirigidos contra la
confidencialidad, la integridad y la disponibilidad de los sistemas
informáticos, redes y datos informáticos, así como el abuso de
dichos sistemas, redes y datos.
6
7. Hackers y delitos computacionales
● Fraude del clic: El fraude del clic es un tipo de delito por internet
que ocurre en los sistemas de pago por clic, cuando se intenta
engañar al sistema generando clics falsos, obteniendo así
grandes sumas de dinero.
7
8. Hackers y delitos computacionales
● Spoofing: Es el uso de técnicas a través de las cuales un atacante,
generalmente con usos maliciosos o de investigación, se hace
pasar por una entidad distinta a través de la falsificación de los
datos en una comunicación.
- Suplantación de IP
- Suplantación de ARP
- Suplantación de DNS
- Suplantación de web
- Suplantación de correo electrónico
- Suplantación de GPS
8
9. Hackers y delitos computacionales
● Sniffing: Es un tipo de programa espía que monitorea la
información que viaja a través de una red.
9
10. Hackers y delitos computacionales
● Robo de identidad: es un crimen en el que un impostor obtiene
piezas clave de información personal, como números de
identificación del seguro social, números de licencias de conducir
o números de tarjetas de crédito, para hacerse pasar por alguien
más.
10
11. Software Maliciosos
El software malicioso, también conocido como programa malicioso o
malware, contiene virus, spyware y otros programas indeseados que se
instalan en su computadora, teléfono o aparato móvil sin su
consentimiento.
Los principales malware que pueden afectar a un S.I son:
▸ Virus
▸ Gusano
▸ Caballo de troya
▸ Spyware
11
12. Software Maliciosos
▸ Virus: un virus de computadora es
un programa malicioso
desarrollado por programadores
que infecta un sistema para
realizar alguna acción
determinada.
Puede dañar el sistema de
archivos, robar o secuestrar
información o hacer copias de si
mismo e intentar esparcirse a
otras computadoras utilizando
diversos medios.
12
13. Software Maliciosos
▸ Gusano: Los gusanos
informáticos se propagan de
ordenador a ordenador, pero a
diferencia de un virus, tiene la
capacidad a propagarse sin la
ayuda de una persona. Un
gusano informático se
aprovecha de un archivo o de
características de transporte
de tu sistema, para viajar.
13
14. Software Maliciosos
▸ Caballo de troya: Caballo
de Troya es un programa
creado y que opera bajo un
aspecto inofensivo y útil
para el usuario, afecta
negativamente al sistema
al incluir un módulo capaz
de destruir datos.
14
15. Software Maliciosos
▸ Spyware: El spyware es un software que recopila información de un
ordenador y después transmite esta información a una entidad
externa sin el conocimiento o el consentimiento del propietario del
ordenador.
15
16. Vulnerabilidad y
abusos de los sistemas
Los sistemas de información son vulnerables
proporcionalmente al número de accesos o tamaño que tenga
dicho sistema, si los datos están de forma física su seguridad
es mayor a tenerlos de forma digital debido a que muchos
puntos pueden tener acceso a la información, estos múltiples
puntos con algunas personas malintencionadas pueden
provocar que la información se dañe, se elimine o se
deteriore.
16
17. Vulnerabilidad del internet
▸ Al estar abiertas al mundo, las redes públicas están mucho
más expuestas.
▸ Cuando las redes corporativas se conectan a Internet, sus
sistemas de información son vulnerables a ataques de
extraños.
▸ El servicio telefónico IP, al no estar encriptado, es altamente
vulnerable
▸ El correo electrónico puede ser atacado y admitir software
malicioso o accesos no autorizados a los sistemas
corporativos internos.
17
18. Seguridad inalámbrica o seguridad wifi
▸ Si no está encriptada, el acceso a la red puede ser atacado
por un hacker que se encuentre cerca.
▸ Los intrusos pueden penetrar fácilmente a las redes Wi-Fi.
▸ Los sistemas de seguridad están reforzando la encriptación y
sistemas de autenticación más fuertes.
18
19. Seguridad en las redes
▸ En la red se deben obedecer ciertos protocolos para
defenderse de ataques (DDoS, cumpleaños).
▸ El usuario tiene que estar advertido y no caer en phishing
que afecte la red.
19
20. Autenticación
Proceso que debe seguir un usuario para tener acceso a los
recursos de un sistema o de una red de computadores. Este
proceso implica identificación (decirle al sistema quién es) y
autenticación (demostrar que el usuario es quien dice ser).
20
22. Amenazas internas
Evaluación del riesgo - Política de seguridad - continuidad de negocios - controles -La función de la auditoría
22
23. Evaluación del riesgo.
Una evaluación del riesgo determina el nivel de riesgo
para la firma si no se controla una actividad o proceso
específico de manera apropiada. No todos los riesgos se
pueden anticipar o medir, pero la mayoría de las empresas
podrán adquirir cierta comprensión de los riesgos a los
que se enfrentan
23
25. 25
Como los riesgos son tantos y de diferente naturaleza hay unidades de gestión
de riesgo que os han clasificado y catalogado. Por ejemplo la Unidad de Riesgo
y Seguridad (URS) de la Universidad de Costa Rica.
https://www.conare.ac.cr/images/docs/fondos_sistemas/formulacion/Catlogo%20de%20Riesgos%20de%20Sistemas%20de%20Informacin.pdf
26. Políticas de seguridad.
Una política de seguridad consiste de enunciados que clasifican los riesgos de
información, identifican los objetivos de seguridad aceptables y también los
mecanismos para lograr estos objetivos.
26
¿Quién genera y controla esa
información en la empresa?
¿Qué nivel de riesgo está
dispuesta la gerencia a
aceptar para cada uno de
estos activos?
¿Vale la pena mantener información
de clientes de más de 10 años?
27. 27
desde el ministerio de las TIC nos ilustran con formatos en donde
encontramos mínimos aceptables para un política de seguridad e incluso
los procesos de implementación que deben seguir estas políticas.
https://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf
Desarrollo de las políticas
▸ Justificación de la creación de política
▸ Alcance
▸ Roles y Responsabilidades
▸ Revisión de la política
▸ Aprobación de la Política
28. Continuidad del negocio.
Si opera una empresa, necesita planificar los eventos, como los cortes en el
suministro eléctrico, las inundaciones, los terremotos o los ataques terroristas
que evitarán que sus sistemas de información y su empresa puedan operar. La
planificación de recuperación de desastres idea planes para restaurar los
servicios de cómputo y comunicaciones después de haberse interrumpido.
28
29. Controles de los sistemas de información.
Los controles de los sistemas de información pueden ser manuales y
automatizados; consisten tanto de controles generales como de aplicación.
29
Los controles de aplicación
controles de entrada
controles de procesamiento
controles de salida
31. Auditoria.
¿Cómo sabe la gerencia que la seguridad y los controles de los sistemas
de información son efectivos? Para responder a esta pregunta, las
organizaciones deben llevar a cabo auditorías exhaustivas y
sistemáticas.
Una auditoría detallada puede incluso simular un ataque o desastre para
evaluar la respuesta de la tecnología, el personal de sistemas de
información y los empleados de la empresa.
31
32. Importancia de la protección de la información
Proteger los sistemas de
información es algo tan
imprescindible para la operación
de la empresa que merece
considerarse.
32
33. Incidentes en Sistemas de Información
33
La consultora Cambridge Analytica
obtuvo en 2014 la información de más
de 50 millones de usuarios de
Facebook en Estados Unidos, y la usó
para construir un programa informático
destinado a predecir las decisiones de
los votantes e influir en ellas.
https://www.eluniversal.com.co/tecnologia/analisis-el-escandalo-de-facebook-con-cambridge-analytica
34. Incidentes en Sistemas de Información
34
Robo por ciberataque de
aproximadamente 42 millones de
dólares.
La intrusión afectó el Sistema de Pagos
Electrónicos Interbancarios (SPEI)
mediante el cual se procesan cientos
de miles de transferencias de dinero
entre bancos todos los días.
https://www.elespectador.com/tecnologia/los-principales-casos-de-robo-de-datos-personales-articulo-755788
Robo por ciberataque de
aproximadamente 10 millones de
dólares.
Los atacantes introdujeron un virus
informático como señuelo, identificado
como “Malware Swapq”, que impidió el
correcto funcionamiento de los
sistemas de la institución.
35. Incidentes en Sistemas de Información
35
https://www.xataka.com.co/seguridad/empresas-y-entidades-publicas-colombianas-tambien-son-victimas-de-ataques-de-ransomware
Ataque Ransoware
mundial afecta a
empresas y
organizaciones
públicas.
▸ Telefónica
▸ INSC
▸ minTIC
▸ Entre otros
36. Valor de negocios de
la seguridad y el
controlRequerimientos legales y regulatorios para la administración de registros digitales
Evidencia electrónica y análisis forense de sistemas
36
37. Responsabilidad legal
▸ Un control y seguridad inadecuados pueden
provocar una responsabilidad legal grave.
▸ Los negocios deben proteger no sólo sus propios
activos de información, sino también los de sus
clientes, empleados y socios de negocios.
Si no hicieran esto, las firmas podrían involucrarse en litigios
costosos por exposición o robo de datos.
37
38. Marco de trabajo sólido: Seguridad y Control
Un marco de trabajo sólido de
seguridad y control que proteja
los activos de información de
negocios puede:
▸ Producir un alto rendimiento
sobre la inversión.
▸ Incrementan la productividad de
los empleados y reducen los
costos de operación.
38
40. Requerimientos legales
La legislación requiere que las firmas consideren la
seguridad de los sistemas de información y otros controles
requeridos para asegurar la integridad, confidencialidad y
precisión de sus datos.
▸ Asegurar la red corporativa.
▸ Evitar el acceso sin autorización a los sistemas y datos.
▸ Disponibilidad de los datos en caso de desastre u otro tipo de
interrupción del servicio.
40
41. Leyes de Regulación de tratamiento de datos - EE. UU.
Ley
HIPAA
Describe las reglas
de seguridad y
privacidad médica.
Además de los
procedimientos
para la facturación
de servicios
médicos.
Ley
Gramm-Leach-Bliley
Requiere que las
instituciones
financieras
garanticen la
seguridad y
confidencialidad de
los datos de los
clientes.
Ley
Sarbanes-Oxley
Se diseñó para
proteger a los
inversionistas y
otras compañías
que cotizan en la
bolsa.
41
42. Ley 1266 de 2008 - Ley 1581 de 2012
Habeas data en Colombia
“La Ley de Protección de Datos Personales reconoce y protege el
derecho que tienen todas las personas a conocer, actualizar y
rectificar las informaciones que se hayan recogido sobre ellas en
bases de datos o archivos que sean susceptibles de tratamiento
por entidades de naturaleza pública o privada.”
▸ Dato Público
▸ Dato Semiprivado
▸ Dato Privado
▸ Dato Sensible
42
http://www.sic.gov.co/sobre-la-proteccion-de-datos-personales
43. RGPD - Reglamento General de Protección de Datos
Unión Europea
Reglamento (UE) 2016/679 relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos.
Los países de la UE han creado organismos nacionales
responsables de proteger los datos personales.
▸ Empresas
▸ Organizaciones
▸ Derechos de los ciudadanos
43
https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_es
44. Evidencia electrónica
La seguridad, el control y la administración de los registros
digitales se han vuelto fundamentales para responder a las
acciones legales.
En una acción legal:
Una empresa se ve obligada a responder a una solicitud de
exhibición de pruebas para acceder a la información que se
puede utilizar como evidencia, y la compañía debe por ley
entregar esos datos. Los juzgados pueden imponer serios
castigos financieros y hasta penales.
44
45. Evidencia electrónica
Una política efectiva de retención
de documentos electrónicos
asegura que los documentos
electrónicos, el correo electrónico y
otros registros:
▸ Estén bien organizados
▸ Sean accesibles
▸ No se retengan demasiado tiempo ni
se descarten demasiado pronto.
45
46. Análisis forense de Sistemas
▸ Recuperar datos de las computadoras y
preservar al mismo tiempo la integridad
evidencial.
▸ Almacenar y manejar con seguridad los
datos electrónicos recuperados.
▸ Encontrar información importante en un
gran volumen de datos electrónicos.
▸ Presentar la información a un juzgado
(Proceso para un plan de contingencia).
46
47. La información y su valor de confidencialidad
Las compañías tienen activos de
información muy valiosos por proteger
Información confidencial
47
Las repercusiones pueden ser devastadoras si se
pierden, destruyen o ponen en las manos
equivocadas.
49. Bibliografia
49
● Definición de hacker tomada de:
https://prezi.com/7ftmkjih30zv/los-hackers-y-los-delitos-computacionales/
● Virus maliciosos, tomado de:
https://www.consumidor.ftc.gov/articulos/s0011-software-malicioso
● Fraude del clic, tomado de: http://www.alegsa.com.ar/Dic/fraude_del_clic.php
● Spoofing y Sniffing, tomado de: http://www.internetmania.net/int0/int93.htm
● Libro guía:
https://juanantonioleonlopez.files.wordpress.com/2017/08/sistemas-de-informacic3b3n-
gerencial-12va-edicic3b3n-kenneth-c-laudon.pdf