Seguridad y Ética Prof. Nelliud D. Torres Tomado del Libro: Introduction to Information Systems de...

Seguridad y Ética

Prof. Nelliud D. Torres

Tomado del Libro: Introduction to Information Systems de James A. O’Brien y George M. Marakas

Contenido

• Sistemas de negocios tradicionales (Transaction Processing Systems)

• Comercio electrónico (E-Commerce)

• Sistemas para apoyo de decisiones

IT Security, Ethics and Society

Responsabilidad Ética

• Profesionales de Negocios– Tienen una responsabilidad de promover

usos éticos de la tecnología de información en su lugar de empleo.

– Debe también promover esa responsabilidad a otras personas cercanas a su área de trabajo.

Éticas del Negocio• Preguntas que los gerentes deben

confrontar como parte de sus decisiones diarias en el negocio. Esto incluye:– Equity - Equidad– Rights - Derechos– Honesty - Honestidad– Exercise of Corporate Power - Ejercicio del

poder corporativo

• En el próximo slide se detalla cada uno de esos temas.

Categorías de los Problemas Éticos en los Negocios

Teorías de Responsabilidad Social Corporativa

• Stockholder Theory– Los gerentes son agentes de los stockholders– Su única responsabilidad ética es la de aumentar las

ganancias del negocio. – esto sin violar la ley o caer en prácticas fraudulentas.

• Social Contract Theory – Las compañías tienen responsabilidades sociales

para todos los miembros de la sociedad.– Esto permite a las corporaciones existir basados en

contratos sociales.

Teorías de Responsabilidad Social Corporativa

• Stakeholder Theory – Los gerentes tienen una responsabilidad ética

de gerenciar una firma para el beneficio de los accionistas. (Stakeholders)

– Stakeholders - Son todos los individuos o grupos que tienen acciones de una compañía.

Principios de Ética Tecnológica• Proportionality – Las ventajas logradas por la

tecnología deben ser mayores los daños o riesgos.• Informed Consent – Aquellos afectados por la

tecnología, deben entender y aceptar los riesgos.• Justice – Los beneficios y problemas de la tecnología

deben distribuirse justamente entre todos.• Minimized Risk – Aún si es aceptado por los tres

pasos anteriores, la tecnología debe implementarse de modo tal que se eviten todos los riesgos innecesarios.

Los estándares AITP de conducta profesional

Guías de Responsabilidad Social

• Actuar con integridad

• Aumentar tu competencia profesional

• Establecer altos estándares de ejecutoria personal

• Aceptar la responsabilidad de tu trabajo

• Ir a favor de la salud, privacidad y el beneficio en general del público

Crimen por Computadora

• Uso no autorizado, acceso, modificación y destrucción de hardware, software, data, o recursos de la red.

• Divulgar información no autorizada• Copia no autorizada de software• Denegar a un usuario accesos a su hardware,

software o recursos de red.• Utilizar o conspirar para utilizar recursos de red

o de computadoras ilegalmente para obtener información o propiedad tangible.

Cuanto se protegen las compañías del cybercrime

Source: 2003 Global Security Survey by Deloitte Touche Tohmatsu, New York, June 2003,In Mitch Betts, “The Almanac,” Computerworld, July 14, 2003, p 42.

Hacking

• El uso obsesivo de las computadoras

• Se ha alterado la definición como el acceso y uso no autorizado de sistemas de redes de computadoras

Tácticas comunes de los Hackers

• Denial of Service – Deshabilitar Websites con muchos pedidos

simultáneamente– Poner lento el sistema o deshabilitarlo (crash)

• Scans– Búsqueda en el Internet para determinar tipos

de computadoras, servicios y conexiones. – Búsqueda de debilidades

Tácticas comunes de los Hackers

• Sniffer– Programas que buscan información de

paquetes por el Internet– Capturan password o contenidos completos

de información

• Spoofing– Imitar direcciones de e-mail o páginas de

Internet para poder obtener de los usuarios información crítica tal como passwords o números de tarjeta de crédito.

Tácticas comunes de los Hackers• Trojan Horse

– Un programa que sin saberlo el usuario, contiene instrucciones que explotan una vulnerabilidad en algún software.

• Back Doors– Un punto escondido de entrada que se utiliza en caso de

que el punto de entrada original se haya detectado o este bloqueado.

• Malicious Applets – Pequeños programas en Java que mal utilizan los recursos

de la computadora, modifican archivos en el disco duro, envian e-mails falsos o borran passwords.

Tácticas comunes de los Hackers• War Dialing

– Programas que automáticamente marca miles de números telefónicos en búsqueda de una forma de conectarse a un modem.

• Logic Bombs – Una instrucción en una computadora que activa

una acto malicioso.

• Buffer Overflow– Una técnica para abortar o ganar control de una

computadora al enviar mucha data por el buffer de la memoria de la computadora.

Tácticas comunes de los Hackers

• Password Crackers – Software que puede adivinar passwords

• Social Engineering – Ganar accesos a sistemas de computadoras al tomar

información sin que nadie sospeche como por ejemplo passwords.

• Dumpster Diving– Buscar en los desperdicios de una compañía para

buscar información que facilite romper su sistema de computadoras.

Cyber Theft

• Un crimen por computadora que se relaciona con el robo de dinero

• Con frecuencia la fuente es interna en la compañía o utiliza el Internet para poder penetrar

Uso no autorizado en el trabajo

• Robo de tiempo y recursos

• Puede variar desde hacer consultas privadas o finanzas personales hasta jugar juegos de video o uso no autorizado del Internet.

Abusos del Internet en el Trabajo• Abusos en general del e-mail• Usos y accesos no autorizados• Copyright infringement/plagiarism• Postear en Newsgroup• Transmisión de datos confidenciales• Pornografía – acceder sites de contenido sexual• Hacking• Bajar o subir cosas por la red que no se relacionan al

trabajo• Uso del Internet con cosas de entretenimiento

Piratería de Software

• Software Piracy – Copia no autorizada de programas de computadora

• Licensing– La compra de software es realmente un pago por una

licencia de uso justo– Site license te permiten cierto números de copias

• Una tercera parte de los ingresos de software se pierden debido a piratería

Robo de Propiedad Intelectual

• Intellectual property– Material Copyrighted como por ejemplo:– Música, videos, imágenes, artículos, libros,

software, etc.

• Violar el Copyright es ilegal.

• La técnica de red tipo Peer-to-peer ha hecho fácil que ocurra la piratería de propiedad intelectual.

Viruses and Worms (gusanos)• Virus y worms copian rutinas molestosas o

destructivas en una red de computadoras

• Con frecuencia se riega por e-mail o por documentos adheridos (attach) en un e-mail

• Computer Virus – Código del programa que no puede trabajar si

estar insertado dentro de otro programa

• Worm – Programa que puede correr sin ninguna ayuda

(no necesita estar insertado en otro programa)

Costo de los virus y worms

• Aproximadamente 115 millones de computadoras se infectaron en el 2004

• Se cree que 11 millones de computadoras se mantienen permanentemente infectadas

• El daño económico se estima que está entre 166 a 292 billones en el 2004

• El daño promedio por máquina basada en Windows es entre 277 a 366 dólares

Adware and Spyware• Adware

– Software te provee algún tipo de servicio– Pero también le permite a los anunciantes del Internet

mostrar sus anuncios (pop-ups) y banners en el browser del usuario.

– Todo esto sin el consentimiento del usuario.

• Spyware– Adware que emplea la conexión de Internet del usuario

en el background sin su permiso ni conocimiento.– Captura información sobre el usuario y lo envía por el

Internet

Privacy: Opt-in versus Opt-out

• Opt-in – Uno explicitamente consiente el que se

permita recolectar data por esos tipos de programas

– Ley de Europa

• Opt-out– Se recolecta data del usuario a menos que el

usuario específicamente solicite que no lo desea

– Default en los Estados Unidos

Problemas de Privacidad

• Violación de Privacidad:– Acceder a correos electrónicos privados y cualquier

otro tipo de conversación por computadora.– Colectar y compartir información sobre individuos

que se obtiene cuando estos visitan las páginas de Internet.

• Monitoreo por Computadora:– El conocer siempre donde una persona está ya sea

por mobile o algún servicio de paging (beeper) se asocia mas con la gente en lugar de lugares.

Privacy Issues

• Computer Matching– Uso de la información del cliente obtenida de

varias fuentes para mercadear servicios de negocios adicionales.

• Unauthorized Personal Files– Colectar números de teléfonos, direcciones

de e-mail, números de tarjetas de credito y otros datos personales para crear profiles individual de cada cliente.

Como proteger la privacidad en el Internet

• El E-mail puede ser encryptado• Posteos de Newsgroup se pueden enviar a

través de cuentas de e-mail anónimas.• Al ISP se le puede pedir que no venda el

nombre ni información personal a los otros proveedores y anunciantes.

• Uno declina revelar datos personales e intereses a los servicios on-line y a los profiles de usuarios en la Web.

Leyes de Privacidad

• Son reglas que regulan la colección y uso de los datos personales por las empresas y el gobierno.

Censorship Issues

• Spamming– Indiscriminadamente enviar e-mails no

solicitados a muchos usuarios de Internet.

• Flaming– Enviar criticas extremas, derogatorias y

muchas veces vulgares por e-mail o por newsgroup o cualquier otro tipo de foro.

Cyberlaw

• Leyes que intentan regular actividades en el Internet o cualquier otro medio de comunicación electrónica.

Ergonomics

• Es el diseño de un medio ambiente de trabajo más saludable

• Que sea seguro, confortable y placentero para la gente que trabaja

• Por lo tanto esto aumenta la moral de los empleados y su productividad

Ergonomic Factors

Security Management

• La meta del security management es la precisión, integridad y seguridad de todos los procesos de información y recursos.

Source: Courtesy of Wang Global.

Internetworked Security Defenses

• Encryption – La data se transmite en un formato “revuelto”

que solo lo reconocen los sistemas de computadores y lo utilizan usuarios autorizados solamente.

Public/Private Key Encryption

Internetworked Security Defenses

• Firewalls– Un “portón” que protege la Intranet de la

compañía y otras redes de computadoras de los intrusos.

– Al proveer un filtro y transferencia segura de acceso desde y hacia el Internet y otras redes.

• Firewalls también es importante para individuos que se conectan al Internet por DSL, o Cable.

Internet and Intranet Firewalls

Internetworked Security Defenses

• Monitoreo de E-mail – Uso de software para cotejar palabras claves que

puedan comprometer la seguridad de la empresa.

• Defensas de Virus – Centralizar la distribución y actualizaión de

software de antivirus.– Usar security suite (programas de antivirus que

tienen varios componentes) que integran el antivirus con firewalls, seguridad Web, cotejo de e-mail, entre otras cosas.

Otras Medidas de Seguridad

• Security Codes – Multilevel password system– Encrypted passwords– Smart cards with microprocessors

• Backup Files – Duplicar archivos de data o programas

• System Security Monitors – Programas que monitorean el uso de los sistemas de

computadoras y las redes y los protegen de uso no autorizado, fraude y destrucción.

Biometrics

• Equipos de computadoras que miden patrones únicos de cada individuo que lo hace único.

• Ejemplos:– Verificación de voz– Huellas digitales– Scan de retina

Controles de fallos en las computadoras

• Prevenir fallos de la computadora o minimizar sus efectos.

• Mantenimiento de prevención

• Organizar backups con un plan de recuperación de desastres (disaster recovery organization)

Fault Tolerant Systems

• Sistemas que tienen redundancia de procesadores, periferales y software que provee:– Fail-over capacidad de hacer backup de

componentes en el evento de una falla del sistema– Fail-safe capacidad en el que el sistema de

computadora continua operando al mismo nivel aún si ocurre un fallo de hardware o software.

– Fail-soft capacidad en el que el sistema de computadora continua operando a un nivel reducido, pero aceptable en el evento de un fallo en el sistema.

Disaster Recovery Plan

• Procedimientos formales que siguen al evento de un desastre. Esto incluye:– Cuales empleados participarán– Cuales serán sus tareas– Que hardware, software y facilidades serán

utilizadas– Prioridad de las aplicaciones que serán

procesadas– Uso de facilidades alternas– Almacenamiento externo de las bases de

datos

Information Systems Controls• Metodos y equipos que tratan de asegurar la

precisión, validez y propiedad de las actividades de Sistemas de Información

Auditing IT Security

• Auditorias de seguridad de IT– Por auditores internos o externos– Cotejan y evalúan si las medidas de

seguridad y las políticas gerenciales son adecuadas o no. También se coteja si se han implantado y se les da seguimiento adecuadamente.

How to protect yourself from cybercrime

FIN