Maestra en Gestin de Tecnologas de InformacinReporte Tcnico (Evidencia 1 y 2)

Maestra en Gestin de Tecnologas de Informacin

Reporte TcnicoTtulo: Efectos negativos de las malas prcticas en la seguridad de informacin de las organizaciones.

Curso: Seguridad de Sistemas de Informacin.Profesor: Ral Eduardo Rocha Garza.

Presenta:Ernesto Crdenas Santos Matricula: 2657195Edgar Alejandro Treto Ziga Matrcula: 2709288Oralia Guadalupe Gonzlez Garza Matrcula: 2709290

Monterrey, N.L. a 04 de Noviembre de 2014

Indice

Antecedentes2Objetivo del proyecto3Fundamentacin Conceptual4Contexto en el que se desarrolla el proyecto7Anlisis de la problemtica8Propuesta de solucin o cambio, incluyendo factibilidad9Conclusiones14Referencia Bibliogrfica15

Efectos negativos de las malas prcticas en la seguridad de informacin de las organizaciones

Antecedentes

TJX es una empresa dedicada a la venta de ropa y artculos para el hogar ubicada en los Estados Unidos y cuenta con una gran cantidad de tiendas dentro de su cadena, TJX Companies tuvo su primera tienda departamental bajo el nombre de Zayre en 1956 y realizo la apertura de su primer sucursal de TJMaxx en 1976.En el ao de 1988 Zayre vendi su nombre a la compaa rival llamada Ames y fue entonces cuando se cre The TJX Companies, Inc. Esta tienda departamental para el ao del 2006 contaba con una gran cantidad de clientes dentro de sus mltiples tiendas departamentales de diferentes giros, por lo que era responsable de resguardar toda la informacin que estos proporcionaban a la tienda al realizar sus compras, pero no fue as al percatarse de una brecha dentro de sus polticas de seguridad, la cual provoco la mayor fuga de informacin ocurrida en ese tiempo llegando a la cifra de 45.6 millones de registros robados de los sistemas de la organizacin, estos registros incluan los nmeros de tarjetas de crdito y dbito de los clientes que haban realizado las compras en cualquier tienda de la compaa por alrededor de 18 meses por un nmero desconocido de intrusos (Vijayan, 2007).Al tener sospechas de presencia maliciosa en sus sistemas la compaa contrato a General Dynamics Corporation e IBM para confirmar las sospechas de irrupcion dentro los sistemas, el trabajo realizado por estas empresas arrojo como resultado que dichas sospechas eran correctas y se habia sufrido una violacion de la seguridad, ademas de que se hacia una evaluacion de la respuesta y el intento de la empresa por mejorar su ambiente interno.La empresa decidi no hacer pblico el incidente por cerca de dos meses por recomendacin del Servicio Secreto de Estados Unidos para no impedir la investigacin criminal de la organizacin.Despus de pasar por este proceso TJX comenz con el proceso de notificar a cada uno de los interesados, como bancos, empresas de tarjetas de crdito y dbito y procesadoras de cheques, ya en el 2007 se hizo pblica la brecha de seguridad y establecieron medios de atencin para dar informacin a los clientes que lo solicitaran.Despus de este incidente se mejoraron las medidas de seguridad que se tenan, pero estas no fueron aceptadas por la mayora de los usuarios quienes seguan teniendo contraseas inseguras o proporcionndolas a otros usuarios.Objetivo del proyectoImplementar las mejores prcticas en temas de seguridad de la informacin, para evitar futuros ataques y fugas de informacin.

Fundamentacin ConceptualLa Seguridad de Informacin se puede definir como un conjunto de tcnicas, organizativas y legales que permiten a la organizacin asegurar la confidencialidad, integridad y disponibilidad de sus sistemas de informacin Misuf, E (2012).Existen diferentes normas que nos permiten o nos establecen las medidas que debe de cumplir la organizacin una de estas es la Norma ISO/IEC 27001 y dentro de ella se maneja otra definicin de la seguridad la cual nos indica que:La seguridad informtica consiste en la implantacin de un conjunto de medidas tcnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la informacin, pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.Adems de lo anterior hay medidas para proteger nuestra informacin y regulaciones o leyes que actan en pro de la defensa de los datos y derechos personales, en Mxico es aplicable la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares y esta nos menciona algunos artculos que nos protegen al entregar informacin personal a las diferentes organizaciones o negocios, ya que todo negocio debe de contar con ella y apegarse a las normativas que se establecen siendo una de estas tener a la vista y de ser requerido el formato donde se seala con que fines es recabada la informacin. Cmara de Diputados (2010). Con el fin tener seguridad en la informacin y los sistemas que se tienen en las organizaciones es prioritario implementar los siguientes conceptos dentro de los planes de prevencin de robo de informacin: Cob, M. (2014)Contraseas seguras. El uso de contraseas dbiles es unos de los principales problemas de la seguridad, se necesita establecer usuarios y contraseas fuertes para evitar posibles hackeos.Cifrado de datos. Los datos cifrados mediante las diferentes formas son una de las formas ms comunes de proteger la informacin ya que convierte esta en textos ilegibles para los intrusos.Robo de informacin propietaria. Es el robo de informacin exclusiva de la empresa pro parte de los empleados de confianza, la cual representa un gran valor para la compaa ya que puede ser algn producto innovador.Filtros de firewall. Son filtros que se establecen para monitorear la salida de la informacin, verifica que los datos se enven a la direccin correcta y con los protocolos adecuados. Hackeo. Se refiere a la accin de explorar y buscar las limitantes de un cdigo de una mquina, para irrumpir o entrar de manera forzada. EC-Council (2007) Criptografa. Es la ciencia y arte deescribir mensajes en forma cifrada o en cdigo. EC-Council (2007)Es por todo lo anterior que hoy en da se debe de reforzar ms aun la seguridad de nuestra informacin en lnea como las transacciones monetarias que realizamos, las cuales son de gran inters para los hackers. Sistemas de pago electrnico: Los sistemas de pago electrnico son medios utilizados para pagar productos o servicios en lnea, los principales sistemas de pago son tarjetas de crdito, dinero electrnico y pago mvil. Tarjetas de crdito: el sistema de pago ms comn para las transacciones de comercio electrnico, los clientes necesitan su nmero de tarjeta de crdito, fecha de vencimiento, y como medida de seguridad, el nmero de verificacin de la tarjeta (CVN). El sistema de CVN permite detectar el fraude mediante la comparacin del CVN con la informacin del titular de la tarjeta de crdito. Los sitios de comercio electrnico que deseen apoyarse de los pagos con tarjetas de crdito, deben contar con una plataforma segura de pago, conocida como gateway de pago, que permita verificar y luego debitar de la tarjeta de crdito del cliente el importe del pago. PIATIC (2010) Dinero electrnico: se refiere a un sistema en el que el dinero slo se intercambia electrnicamente, la cuenta bancaria personal se vincula a otras cuentas de beneficiarias, o se crea una cuenta de dinero electrnico mediante un sistema centralizado, como PayPal, que se vincula a la cuenta bancaria personal.

Contexto en el que se desarrolla el proyectoLa seguridad de informacin y las medidas que se utilizaban hace tiempo no eran las adecuadas ya que las empresas no invertan lo suficiente en el tema de la seguridad ya que segn cifras extraoficiales, solo un 30% de las empresas cuentan con reas dedicadas a la seguridad de la informacin. SeguInfo (2008).Por esto se puede decir que los procesos o polticas se seguan dentro de TJX eran deficientes y al igual que hoy en da la mayora de los hackers busca obtener la informacin de las organizaciones por cualquier medio disponible, esto hace que se tengan que implementar las mejores prcticas para resguardar uno de los activos ms valiosos dentro de la organizacin: la informacin.

Anlisis de la problemticaLa globalizacin y consolidacin de las aplicaciones informticas como la nube, redes sociales, aplicaciones mviles, ha propiciado muchas mejoras pero a la vez, nuevos problemas, ya que muchas organizaciones pblicas y privadas contienen dentro de sus bases de datos informacin personal. Pero Qu pasara si los datos personales estuviesen accesibles para cualquier persona no autorizada?, Cmo se puede estar seguro que las organizaciones protegern su informacin?Desde la consolidacin de Internet como medio de comunicacin global, el continuo avance de las tecnologas de informacin y la forma en que las personas hacen uso de este, los incidentes de seguridad relacionados con sistemas informticos vienen incrementndose de manera alarmante. Este hecho, asociado a la creciente dependencia de la mayora de organizaciones hacia sus sistemas de informacin, ha provocado una necesidad de implementar mecanismos de proteccin que reduzcan al mnimo los riesgos asociados a los incidentes de seguridad, los cuales estn latentes diariamente. Galdmez, P. (2003)Para las organizaciones an falta mucho camino por recorrer como para poder pensar que estn exentas de cualquier amenaza externa o interna. Aunque sea difcil de creer, las organizaciones tambin tienen que preocuparse de asegurar, que su activo ms valioso, su informacin, puede ser vulnerable a travs de sus propios empleados, o de factores externos como daos fsicos de sus sistemas de cmputo, desastres naturales o incendios.

Propuesta de solucin o cambio, incluyendo factibilidadElvira Mifsud (2012) define la Seguridad de la Informacin como conjunto de medidas tcnicas, organizativas y legales que permiten a la organizacin asegurar la confidencialidad, integridad y disponibilidad de su sistema de informacin.Las organizaciones pueden minimizar los riesgos y amenazas a sus entornos mediante la adopcin de las medidas de seguridad adecuadas a su negocio. Esta adopcin puede ayudarles a cumplir con sus objetivos, ya que al proteger sus sistemas informticos, protegen su informacin, su prestigio, su situacin legal (por el tema de la poltica de proteccin de datos), su situacin financiera entre otros. Galdmez, P (2003)Los sistemas informticos de todas las organizaciones estn expuestos y son vulnerables a una multitud de amenazas que pueden ocasionar daos y pueden, en un momento dado, resultar en prdidas significativas. Los daos pueden ser desde un simple error en el uso de una aplicacin que puede provocar una eliminacin de un dato, hasta un problema mayor que inutilice todos los sistemas informticos. Los errores de los empleados, las intrusiones, la lgica maliciosa, intrusin a la privacidad de las personas, son solo unos ejemplos de las amenazas a las cuales las organizaciones estn expuestas diariamente. Galdmez, P. (2003)Afortunadamente las organizaciones tienen dentro de sus objetivos el implantar medidas adecuadas de seguridad, sabiendo de antemano que pueden obtener un conjunto de beneficios indirectos. Por ejemplo, si una organizacin cuenta con sistemas de seguridad avanzados, puede desviar la atencin de potenciales intrusos hacia otras organizaciones menos protegidas, puede reducir la frecuencia de aparicin de virus, puede generar una mejor percepcin de los empleados y otros colaboradores hacia la propia empresa, aumentando la productividad y generando empata de los empleados hacia los objetivos organizativos.La creacin de polticas y procedimientos de seguridad de informacin es una tarea importante que todas las organizaciones deben implementar y cuyo objetivo es la de hacer respetar los requerimientos de seguridad que la organizacin necesita. Por ejemplo, el caso ms comn que padecen la mayora de las organizaciones es la violacin de acceso de una cuenta individual. Si las organizaciones generan una buena poltica y controles para la administracin de usuarios y contraseas puede minimizar esta amenaza.Otra medida tambin importante a implementar es un plan de contingencia, cuyo objetivo es describir los procedimientos que debern seguirse en caso de un desastre natural o provocado.Otra medida de solucin es crear estrategias que permitan proteger la informacin ms importante para la organizacin, mediante la constante actualizacin de sus procesos tecnolgicos de seguridad.Dentro de la parte tcnica, existen infinidad de herramientas y software orientado a los sistemas de seguridad, que una organizacin puede implementar de acuerdo a sus necesidades y presupuesto. Dentro de las tcnicas ms utilizadas por la mayora de las organizaciones para la proteccin de su informacin podemos mencionar: Las copias de seguridad.- Existen bsicamente cuatro razones por la que se pueden perder datos: fallas de hardware, errores en el software, mala o equivocada accin humana o desastres naturales. A travs de la implementacin de las copias de seguridad podemos de alguna manera proteger la inversin realizada en los datos. Con una buena estrategia de copias de seguridad, la perdida de informacin no sera tan importante ya que el costo sera solo el que conlleva a recuperar los datos mediante la restauracin de un respaldo. EC-Council (2007) Los antivirus.- Existen alrededor de 53,000 virus de computadora, y se detecta uno nuevo cada 18 segundos. Si los sistemas de las organizaciones se infectan con un virus, se pueden desperdiciar recursos, tiempo y daar la informacin. La instalacin de antivirus en las computadoras y servidores, as como su constante actualizacin minimizan los ataques de esta ndole. EDUTEKA (2012) Los firewalls.- Un firewall est pensado como un dispositivo de seguridad perimetral, es decir, un dispositivo que se encarga de controlar las intrusiones entre la organizacin e internet. Existen firewalls basados en software y firewalls basados en hardware ambos son confiables pero ninguno es infalible. La mejor opcin es hacer uso de ambos sistemas. Tecnologa PYME (2010) Mecanismos de autenticacin.- En la actualidad el uso de internet para realizar transacciones bancarias o pagos de comercio electrnico es algo muy comn, por lo cual es importante seguir una de buenas prcticas para garantizar que este proceso se realice con seguridad. La autenticacin es el proceso mediante el cual se confirma que quien se conecta y solicita acceso a un servicio es realmente quien dice ser, es decir, el legtimo usuario. Las claves de accesos son el elemento ms utilizado, para comprobar la legitimidad del usuario que solicita realizar el uso de una transaccin. Existen muchos mecanismos para la generacin de las claves de acceso como son: PIN (Personal Identification Number), TAN (Transaction Autentification Number), mTAN, iTAN, iTANplus. Otros medios de autenticacin son el uso de tokens, los cuales son dispositivos electrnicos que permiten generar claves aleatorias. Estos dispositivos son utilizados generalmente por las instituciones bancarias. Las smartcards son otro medio que se utiliza para la autentificacin y estas disponen de un chip en el que guardan informacin en lugar de almacenarla en las bandas magnticas. EC-Council (2007) Seguridad en las bases de datos.- Uno de los activos ms importantes de las organizaciones es la informacin, y su objetivo es proteger esa informacin contra accesos no autorizados. Los SGDB comerciales, cuentan con opciones que nos ayudan a administrar la seguridad y autorizacin para evitar accesos no deseados. Mediante la implementacin de estos mecanismos se puede: autorizar a los usuarios el acceso la informacin, utilizar tcnicas de cifrado (cifrado asimtrico cifrado simtrico), crear y utilizar diferentes tipos de cuentas, administrar la tabla de usuarios con cdigos y contraseas, tambin existe la posibilidad de crear vistas con el fin de ocultar informacin de la base de datos y solo mostrar al usuario la informacin necesaria. EC-Council (2007)Cada una de las recomendaciones previamente citadas, requieren de una planeacin y ejecucin que debe adecuarse a las necesidades de la organizacin. Su duracin y actividades dependen directamente del plan definido. Todo plan debe al menos contener 4 fases de ejecucin que son:I. InicioII. Planeacin III. Ejecucin y ControlIV. CierrePara llevar completar todas las fases del proyecto se debe establecer adecuadamente la estructura, el personal, la estrategia y el personal que participar en cada una de las tareas y fases del plan definido.

Conclusiones

Las empresas tratan de proteger sus datos, su informacin, sus equipos de hardware, accesos fsicos, lo cual ha provocado que la implementacin de controles de seguridad de los sistemas informticos se vuelva imprescindible y ms importante la gestin de los datos personales y su privacidad.

Con el apoyo de TI pueden lograrlo de un modo ms eficiente, mediante la definicin de un plan de seguridad, el cual es el primer paso para aumentar la seguridad. Este plan de seguridad debe incluir medidas tanto de gestin, fsicas e informticas. En el mbito informtico se han descrito diversos mecanismos que ayudan a aumentar la seguridad, frente a ataques internos como externos. Pero siempre es necesario recordar que la seguridad absoluta no existe. Basados en este hecho real, las organizaciones tienen que estar replanteando su estrategia de seguridad de informacin constantemente y utilizarla para que estn preparadas en caso de algn siniestro. Al hacer esto, las organizaciones estarn en posibilidades de administrar mejor los riesgos y reflejar su madurez en cuestin de seguridad de informacin.

Referencia Bibliogrfica

Camara de Diputados(2010). Ley Federal de proteccin de datos personales en pocesion de los particulares.Recuperado el 24 de Octubre de 2014. De: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

Cob, M. (2012). Controles de seguridad de la informacin para la prevencin de exfiltracin de datos. Recuperado el 24 de Octubre de 22014. De: http://searchdatacenter.techtarget.com/es/consejo/Controles-de-seguridad-de-la-informacion-para-la-prevencion-de-exfiltracion-de-datos

Galdmez, P. (Julio, 2003). Seguridad informtica. Recuperado el 30 de octubre de 2013, de: http://web.iti.upv.es/actualidadtic/2003/07/2003-07-seguridad.html

EC-Council. (2007). EC-Council Security 5 Security Foundations. USA: EC-Council E-book.

EDUTEKA (2012).Como protegerse de los virus informticos. Recuperado el 31 de Octubre de 2014. De: http://www.eduteka.org/Virus.php

Mifsud, E. (2012). Introduccin a la seguridad informtica. Recuperado el 30 de Octubre de 2014. De: http://recursostic.educacion.es/observatorio/web/en/software/software-general/1040-introduccion-a-la-seguridad-informatica?showall=1

Ministerio de educacion, cultura y deporte. (24 de Octubre de 2014). Observatorio Tecnologico. Obtenido de http://recursostic.educacion.es/observatorio/web/ca/software/software-general/1040-introduccion-a-la-seguridad-informatica?start=1

PIATIC. (2010). PIATIC. Obtenido de http://www.piatic.net/piatic/contenidos/actuaciones/fichas-divulgativas/sis_pago_comer_elect/index.html

SeguInfo. (6 de Septiembre de 2008). SeguInfo. Recuperado el 24 de Octubre de 2014, de http://blog.segu-info.com.ar/2008/09/la-importancia-de-la-seguridad-de-la.html

Tecnologa PYME. (2010). Necesita mi empresa un cortafuegos?. Recuperado el 28 de Octubre de 2013, de: http://www.tecnologiapyme.com/hardware/necesita-mi-empresa-un-cortafuegos

The TJX Companies, Inc. (s.f.). The TJX Companies, Inc. Recuperado el 24 de Octubre de 2014, de http://www.tjx.com/about_history.asp

Vijayan, J. (2007). TJX data breach: At 45.6M card numbers, it's the biggest ever.Recuperado el 24 de Octubre de 2014, de http://www.computerworld.com/article/2544306/security0/tjx-data-breach--at-45-6m-card-numbers--it-s-the-biggest-ever.html

Pgina 1 de 17