13.6: Protección de Computadoras e Información

Última actualización
Guardar como PDF

Page ID: 63444

\( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \)

\( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)

\( \newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\)

( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\)

\( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\)

\( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\)

\( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\)

\( \newcommand{\Span}{\mathrm{span}}\)

\( \newcommand{\id}{\mathrm{id}}\)

\( \newcommand{\Span}{\mathrm{span}}\)

\( \newcommand{\kernel}{\mathrm{null}\,}\)

\( \newcommand{\range}{\mathrm{range}\,}\)

\( \newcommand{\RealPart}{\mathrm{Re}}\)

\( \newcommand{\ImaginaryPart}{\mathrm{Im}}\)

\( \newcommand{\Argument}{\mathrm{Arg}}\)

\( \newcommand{\norm}[1]{\| #1 \|}\)

\( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\)

\( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\AA}{\unicode[.8,0]{x212B}}\)

\( \newcommand{\vectorA}[1]{\vec{#1}} % arrow\)

\( \newcommand{\vectorAt}[1]{\vec{\text{#1}}} % arrow\)

\( \newcommand{\vectorB}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \)

\( \newcommand{\vectorC}[1]{\textbf{#1}} \)

\( \newcommand{\vectorD}[1]{\overrightarrow{#1}} \)

\( \newcommand{\vectorDt}[1]{\overrightarrow{\text{#1}}} \)

\( \newcommand{\vectE}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash{\mathbf {#1}}}} \)

\( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \)

\( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)

5. ¿Cuáles son las mejores formas de proteger las computadoras y la información que contienen?

¿Alguna vez has perdido un trabajo de término en el que trabajaste durante semanas porque tu disco duro se estrelló o borraste el archivo incorrecto? Estabas molesto, enojado y frustrado. Multiplica ese papel y tus sentimientos cientos de veces, y podrás entender por qué las empresas deben proteger las computadoras, las redes y la información que almacenan y transmiten de una variedad de amenazas potenciales. Por ejemplo, las violaciones de seguridad de los sistemas de información corporativa, de hackers humanos o versiones electrónicas como virus y gusanos, están aumentando a un ritmo alarmante. La dependencia cada vez mayor de las computadoras requiere planes que cubran errores humanos, cortes de energía, fallas de equipos, piratería y ataques terroristas. Para soportar desastres naturales como grandes incendios, terremotos e inundaciones, muchas empresas instalan sistemas informáticos especializados tolerantes a fallas.

Los desastres no son la única amenaza para los datos. Una gran cantidad de datos, gran parte de ellos confidenciales, pueden ser fácilmente aprovechados o destruidos por cualquiera que sepa de computadoras. Mantener sus redes seguras del acceso no autorizado, tanto desde fuentes internas como externas, requiere políticas de seguridad formales y procedimientos de aplicación. La creciente popularidad de los dispositivos móviles (computadoras portátiles, tabletas y teléfonos celulares) y las redes inalámbricas requieren nuevos tipos de disposiciones de seguridad.

En respuesta a las crecientes preocupaciones de seguridad, las empresas han aumentado el gasto en tecnología para proteger su infraestructura de TI y sus datos. Junto con hardware y software especializados, las empresas necesitan desarrollar estrategias de seguridad específicas que tomen un enfoque proactivo para prevenir problemas técnicos y de seguridad antes de comenzar. Sin embargo, un artículo reciente del CIO lamentó la falta de políticas básicas de seguridad que las empresas solo implementan después de un hack o crisis de datos. ¹⁵

Problemas de seguridad de datos

El acceso no autorizado a los sistemas informáticos de una empresa puede ser costoso, y no solo en términos monetarios. Juniper Networks estima que el cibercrimen costará a las empresas más de 2 billones de dólares en 2019, en comparación con solo 450 millones de dólares en 2001. Las categorías de amenazas más costosas incluyen gusanos, virus y caballos de Troya (definidos más adelante en esta sección); robo de computadoras; fraude financiero; y acceso no autorizado a la red. El informe también afirma que casi todas las empresas estadounidenses reportan al menos un problema de seguridad, y casi el 20 por ciento ha experimentado múltiples incidentes de seguridad. ¹⁶

Los delincuentes informáticos se están volviendo cada vez más sofisticados, encontrando nuevas formas de ingresar a sitios ultra seguros. “A medida que las empresas y los consumidores continúan avanzando hacia una economía en red y de la información, existen más oportunidades para que los ciberdelincuentes aprovechen las vulnerabilidades en redes y computadoras”, dice Chris Christiansen, vicepresidente de programas de la firma de investigación tecnológica IDC. ¹⁷ Mientras que los primeros ciberdelincuentes eran típicamente hackers aficionados que trabajaban solos, los nuevos son más profesionales y a menudo trabajan en pandillas para cometer delitos de Internet a gran escala por grandes recompensas financieras. Internet, donde los delincuentes pueden esconderse detrás de nombres de pantalla anónimos, ha aumentado las apuestas y ampliado el ámbito de las oportunidades para cometer robo de identidad y delitos similares. Atrapar a esos ciberdelincuentes es difícil, y menos del 5 por ciento son capturados. ¹⁸

Una fotografía muestra una computadora portátil con números de transmisión en su pantalla, y un gran icono de candado rojo. — Anexo **13.8** La seguridad de los datos está bajo ataque constante. En 2017, los ciberdelincuentes penetraron en Equifax, una de las oficinas de crédito más grandes de la nación, y se robaron los datos personales de más de 145 millones de personas. A la fecha, se considera una de las peores violaciones de datos de todos los tiempos debido a la cantidad de datos confidenciales robados, incluidos los números de Seguro Social de los consumidores. *¿Qué impacto tienen el robo de identidad y otros problemas de seguridad de datos en las redes globales y el comercio electrónico?* (Crédito: Blogtrepreneur/ flickr/ Attribution 2.0 Generic (CC BY 2.0))

Las firmas están tomando medidas para prevenir estos costosos delitos y problemas informáticos, los cuales se encuentran en varias categorías principales:

Acceso no autorizado e incumplimientos de seguridad. Ya sea de fuentes internas o externas, el acceso no autorizado y las brechas de seguridad son una de las principales preocupaciones de los gerentes de TI. Estos pueden crear estragos en los sistemas de una empresa y dañar las relaciones con los clientes. El acceso no autorizado también incluye a los empleados, que pueden copiar información confidencial de nuevos productos y proporcionarla a la competencia o utilizar sistemas de la compañía para negocios personales que puedan interferir con la operación de los sistemas. Los enlaces de red también facilitan que alguien ajeno a la organización obtenga acceso a las computadoras de una empresa.
Una de las últimas formas de ciberdelincuencia consiste en instalar secretamente software de registro de teclas a través de descargas de software, archivos adjuntos de correo electrónico o archivos compartidos. Este software luego copia y transmite las pulsaciones de teclas de un usuario (contraseñas, PIN y otra información personal) de sitios seleccionados, como sitios bancarios y de tarjetas de crédito, a ladrones.
Virus informáticos, gusanos y caballos de Troya. Los virus informáticos y los problemas de seguridad relacionados, como gusanos y caballos de Troya, se encuentran entre las principales amenazas para la seguridad de las computadoras personales y empresariales. Un programa informático que se copia a sí mismo en otro software y puede propagarse a otros sistemas informáticos, un virus informático puede destruir el contenido del disco duro de una computadora o dañar archivos. Otra forma se llama gusano porque se propaga automáticamente de computadora a computadora. A diferencia de un virus, un gusano no requiere el correo electrónico para replicarse y transmitirse a otros sistemas. Se puede ingresar a través de puntos de acceso válidos.
Los caballos de Troya son programas que parecen ser inofensivos y de fuentes legítimas pero engañan al usuario para que los instale. Cuando se ejecutan, dañan la computadora del usuario. Por ejemplo, un caballo de Troya puede afirmar que se deshace de los virus pero en su lugar infecta la computadora. Otras formas de caballos de Troya proporcionan una “trampilla” que permite el acceso indocumentado a una computadora, sin que el usuario lo sepa. Los caballos de Troya, sin embargo, no infectan otros archivos ni se autorreplican. ¹⁹

Los virus pueden ocultarse durante semanas, meses o incluso años antes de comenzar a dañar la información. Un virus que “infecta” una computadora o red se puede propagar a otra computadora compartiendo discos o descargando archivos infectados a través de Internet. Para proteger los datos de daños por virus, el software de protección antivirus monitorea automáticamente las computadoras para detectar y eliminar virus. Los desarrolladores de programas ponen a disposición actualizaciones periódicas para protegerse contra los virus recién creados. Además, los expertos son cada vez más competentes para rastrear a los autores de virus, quienes están sujetos a cargos penales.
Daños deliberados al equipo o a la información. Por ejemplo, un empleado infeliz en el departamento de compras podría ingresar al sistema informático de la compañía y eliminar información sobre pedidos pasados y necesidades futuras de inventario. El sabotaje podría perturbar severamente la producción y el sistema de cuentas por pagar. Los actos intencionales para destruir o cambiar los datos en las computadoras son difíciles de prevenir. Para disminuir el daño, las empresas deben respaldar la información crítica.
Spam. Aunque se podría pensar que el spam, o el correo electrónico no solicitado y no deseado, es solo una molestia, también representa una amenaza para la seguridad de las empresas. Los virus se propagan a través de archivos adjuntos de correo electrónico que pueden acompañar a El spam ahora está obstruyendo blogs, mensajes instantáneos y mensajes de texto de teléfonos celulares, así como bandejas de entrada de correo electrónico. El spam presenta otras amenazas a una corporación: pérdida de productividad y gastos por lidiar con el spam, como abrir los mensajes y buscar mensajes legítimos que los filtros especiales de spam mantienen fuera.
Piratería de software y medios. La copia de programas de software, juegos y películas con derechos de autor por personas que no han pagado por ellos es otra forma de uso no autorizado. La piratería, definida como el uso de software sin licencia, le quita ingresos a la compañía que desarrolló el programa, generalmente a un gran costo. Incluye la fabricación de CDs falsificados para vender así como la copia personal de software para compartir con amigos.

Prevenir problemas

Crear políticas formales de seguridad de la información escritas para establecer estándares y proporcionar la base para la aplicación es el primer paso en la estrategia de seguridad de una empresa. Desafortunadamente, una encuesta reciente a ejecutivos de TI en todo el mundo reveló que más de dos tercios esperan un ciberataque en un futuro cercano. Stephanie Ewing, experta en seguridad de datos, afirma: “Tener un proceso documentado y probado pone orden a situaciones caóticas y mantiene a todos enfocados en resolver los problemas más urgentes”. Sin estrategias de seguridad de la información implementadas, las empresas pasan demasiado tiempo en modo reactivo, respondiendo a las crisis, y no se centran lo suficiente en la prevención. ²⁰

Los planes de seguridad deben contar con el apoyo de la alta dirección, y luego seguir los procedimientos para implementar las políticas de seguridad. Debido a que la TI es un campo dinámico con cambios continuos en los equipos y procesos, es importante revisar las políticas de seguridad a menudo. Algunas políticas de seguridad pueden manejarse automáticamente, por medidas técnicas, mientras que otras involucran políticas administrativas que dependen de los humanos para realizarlas. Ejemplos de políticas administrativas son “Los usuarios deben cambiar sus contraseñas cada 90 días” y “Los usuarios finales actualizarán sus firmas de virus al menos una vez a la semana”. En el Cuadro 13.4 se muestran los tipos de medidas de seguridad que las empresas utilizan para proteger los datos.

Cinco áreas de preocupación respecto a la protección de datos
Porcentaje	Preocupación por la protección de datos
52	No estoy seguro de cómo proteger los dispositivos y aplicaciones conectados
40	No cambie inmediatamente las contraseñas predeterminadas
33	No creas que pueden controlar cómo las empresas recopilan información personal
33	Los padres admiten que no conocen los riesgos lo suficientemente bien como para explicarles a los niños
37	Utilizar servicios de monitoreo de crédito

Cuadro 13.4 Fuente: Adaptado de Tony Bradley, “Las 5 principales preocupaciones en las que enfocarse para el Día de la Privacidad”, Forbes, https://forbes.com, 27 de enero de 2017.

Prevenir problemas costosos puede ser tan simple como realizar copias de seguridad periódicas de aplicaciones y datos. Las empresas deben tener sistemas que respalden automáticamente los datos de la compañía todos los días y almacenen copias de las copias de seguridad fuera del sitio. Además, los empleados deben respaldar su propio trabajo regularmente. Otra buena política es mantener una base de datos completa y actualizada de todo el hardware, software y detalles del usuario de TI para facilitar la administración de licencias y actualizaciones de software y diagnosticar problemas. En muchos casos, el personal de TI puede utilizar la tecnología de acceso remoto para monitorear y solucionar problemas automáticamente, así como actualizar aplicaciones y servicios.

Las empresas nunca deben pasar por alto el factor humano en la ecuación de seguridad. Una de las formas más comunes en que los forasteros ingresan a los sistemas de la compañía es haciéndose pasar por un empleado, primero obteniendo el nombre completo y el nombre de usuario del personal de un mensaje de correo electrónico y luego llamando a la mesa de ayuda para pedir una contraseña olvidada. Los ladrones también pueden obtener contraseñas viéndolas en notas adjuntas a un escritorio o monitor de computadora, usando máquinas que los empleados dejan conectadas cuando dejan sus escritorios y dejando las computadoras portátiles con información confidencial sin seguridad en lugares públicos.

Los dispositivos portátiles, desde computadoras portátiles hasta pequeñas unidades flash plug-and-play y otros dispositivos de almacenamiento (incluidos los teléfonos móviles), también plantean riesgos de seguridad. A menudo se utilizan para almacenar datos confidenciales como contraseñas, datos bancarios y calendarios. Los dispositivos móviles pueden propagar virus cuando los usuarios descargan documentos infectados por virus en las computadoras de su compañía.

Imagínese los problemas que podrían surgir si un empleado viera una entrada de calendario en un dispositivo móvil como “meeting re: despidos”, un extraño vio “reunirse sobre fusión con ABC Company”, o un empleado perdió una unidad flash que contiene archivos sobre planes de marketing para un nuevo producto. Los fabricantes están respondiendo a las preocupaciones de los administradores de TI sobre la seguridad agregando protección con contraseña y cifrado a las unidades flash. Las empresas también pueden utilizar el software de monitoreo de unidades flash que evita el acceso no autorizado en PCs y laptops.

Las empresas tienen muchas maneras de evitar una crisis de TI, como describe la Tabla 13.5.

Procedimientos para Proteger Activos de TI
Desarrollar un plan integral y políticas que incluyan equipos portátiles y fijos. Proteger el propio equipo con estrictas medidas de seguridad física a las instalaciones. Proteja los datos usando tecnología especial de encriptación para codificar información confidencial de manera que solo el destinatario pueda descifrarla. Detenga el acceso no deseado desde dentro o fuera con sistemas de autorización especiales. Estos pueden ser tan simples como una contraseña o tan sofisticados como la identificación por huella digital o por voz. Instalar firewalls, hardware o software diseñados para evitar el acceso no autorizado a o desde una red privada. Monitoree la actividad de la red con sistemas de detección de intrusiones que señalan posibles accesos no autorizados y documente eventos sospechosos. Realizar auditorías periódicas de TI para catalogar todos los dispositivos de almacenamiento conectados, así como las computadoras. Use tecnología que monitoree los puertos para dispositivos conectados no autorizados y apague aquellos que no estén aprobados para uso comercial. Capacitar a los empleados para solucionar problemas con anticipación, en lugar de simplemente reaccionar ante ellos. Realice sesiones frecuentes de capacitación del personal para enseñar los procedimientos de seguridad correctos, como cerrar la sesión de las redes cuando van a almorzar y cambiar las contraseñas con frecuencia. Asegúrese de que los empleados elijan contraseñas sensatas, de al menos seis e idealmente ocho caracteres de longitud, que contengan números, letras y signos de puntuación. Evite las palabras del diccionario y la información personal. Establecer una base de datos de información útil y FAQ (preguntas frecuentes) para que los empleados puedan resolver los problemas ellos mismos. Desarrollar un ambiente de comunicación saludable.

Procedimientos para Proteger Activos de TI

Desarrollar un plan integral y políticas que incluyan equipos portátiles y fijos.
Proteger el propio equipo con estrictas medidas de seguridad física a las instalaciones.
Proteja los datos usando tecnología especial de encriptación para codificar información confidencial de manera que solo el destinatario pueda descifrarla.
Detenga el acceso no deseado desde dentro o fuera con sistemas de autorización especiales. Estos pueden ser tan simples como una contraseña o tan sofisticados como la identificación por huella digital o por voz.
Instalar firewalls, hardware o software diseñados para evitar el acceso no autorizado a o desde una red privada.
Monitoree la actividad de la red con sistemas de detección de intrusiones que señalan posibles accesos no autorizados y documente eventos sospechosos.
Realizar auditorías periódicas de TI para catalogar todos los dispositivos de almacenamiento conectados, así como las computadoras.
Use tecnología que monitoree los puertos para dispositivos conectados no autorizados y apague aquellos que no estén aprobados para uso comercial.
Capacitar a los empleados para solucionar problemas con anticipación, en lugar de simplemente reaccionar ante ellos.
Realice sesiones frecuentes de capacitación del personal para enseñar los procedimientos de seguridad correctos, como cerrar la sesión de las redes cuando van a almorzar y cambiar las contraseñas con frecuencia.
Asegúrese de que los empleados elijan contraseñas sensatas, de al menos seis e idealmente ocho caracteres de longitud, que contengan números, letras y signos de puntuación. Evite las palabras del diccionario y la información personal.
Establecer una base de datos de información útil y FAQ (preguntas frecuentes) para que los empleados puedan resolver los problemas ellos mismos.
Desarrollar un ambiente de comunicación saludable.

Tabla 13.5

Mantener la confidencialidad de la TI: preocupaciones de privacidad

La existencia misma de enormes archivadores electrónicos llenos de información personal representa una amenaza para nuestra privacidad personal. Hasta hace poco, nuestros registros financieros, médicos, fiscales y de otro tipo se almacenaban en sistemas informáticos separados. Las redes informáticas facilitan la recopilación de estos datos en almacenes de datos. Las empresas también venden la información que recopilan sobre usted de fuentes como tarjetas de registro de garantía, registros de tarjetas de crédito, registro en sitios web, formularios de datos personales requeridos para comprar en línea y tarjetas de club de descuento de tiendas de comestibles. Los telemarketers pueden combinar datos de diferentes fuentes para crear perfiles bastante detallados de consumidores.

El 11 de septiembre de 2001, la tragedia y otras violaciones masivas de seguridad han planteado preocupaciones adicionales en materia de privacidad. En consecuencia, el gobierno comenzó a buscar formas de mejorar la recolección de inteligencia doméstica y analizar las amenazas terroristas dentro de Estados Unidos. Las aplicaciones sofisticadas de bases de datos que buscan patrones ocultos en un grupo de datos, un proceso llamado minería de datos, aumentan el potencial para rastrear y predecir las actividades diarias de las personas. A los legisladores y activistas de la privacidad les preocupa que programas como este y los que escuchan a escondidas electrónicamente puedan llevar a una vigilancia gubernamental excesiva que invade la privacidad personal. Lo que está en juego también es mucho mayor: los errores en la minería de datos por parte de las empresas en los negocios pueden hacer que un consumidor sea atacado con publicidad inapropiada, mientras que un error gubernamental al rastrear a presuntos terroristas podría causar daños incalculables a una persona injustamente atacada.

Cada vez más, los consumidores luchan por recuperar el control de los datos personales y cómo se usa esa información. Los defensores de la privacidad están trabajando para bloquear la venta de información recopilada por gobiernos y corporaciones. Por ejemplo, quieren evitar que los gobiernos estatales vendan información de licencia de conducir y que los supermercados recopilen y vendan información recopilada cuando los compradores usan tarjetas de descuento de plástico con código de barras. Con información sobre sus hábitos de compra, los anunciantes pueden dirigirse a los consumidores para programas específicos de marketing.

El reto para las empresas es encontrar un equilibrio entre recopilar la información que necesitan y al mismo tiempo proteger los derechos individuales del consumidor. La mayoría de los formularios de registro y garantía que hacen preguntas sobre ingresos e intereses tienen una casilla para que los consumidores verifiquen para evitar que la compañía venda sus nombres. Muchas empresas declaran ahora en sus políticas de privacidad que no van a abusar de la información que recopilan. Los reguladores están tomando medidas contra las empresas que no respetan la privacidad del consumidor.

COMPROBACIÓN DE CONCEPTO

Describir las diferentes amenazas a la seguridad de los datos.
¿Cómo pueden las empresas proteger la información de la destrucción y el uso no autorizado?
¿Por qué los defensores de los derechos de privacidad están alarmados por el uso de técnicas como data warehouses y data mining?

Search

Text Color

Text Size

Margin Size

Font Type