1 Seguridad y Ética en sistemas Semana 12 y 13

2 Resumen Existen elementos éticos y sociales creados a partir de la T.I. –Privacidad, crímenes, individualidad, etc. Administración de la seguridad, estrategias y defensas –encriptamiento, firewalls, anti-virus, etc. Los gerentes pueden: –Reducir los efectos dañinos por el uso de T.I. –Incrementar los beneficios del uso de T.I.

3 Responsabilidad Etica Los profesionistas en negociosLos profesionistas en negocios –Tienen la responsabilidad de promover los usos éticos de la tecnología de información en los espacios de trabajo –Tienen la responsabilidad de promover los usos éticos de la tecnología de información en los espacios de trabajo. Los administradores deben resolver las situaciones como parte de su trabajo diario respecto a: –Igualdad –Derechos –Honestidad –Uso del poder corporativo

4 Responsabilidad Ética

5 Etica Tecnológica

6 Estandares de conducta de la AITP

7 Guias de responsabilidad profesional Actuar con integridad Incrementar tu grado de competencia profesional Establecer altos niveles de rendimiento personal Aceptar la responsabilidad de tu trabajo Anteponer la salud, privacidad y el bienestar de la comunidad

8 Corporación Enron: Falla en la ética de negocios Manipularon los precios de las acciones para que fueran elevados y no mencionaron que había debilidades Prometieron mucho – entregaron poco Finalmente admitieron haber inflado ganancias por $586 millones en 1997 En el tercer trimestre de 1998 perdieron $638 millones – solicitaron bancarrota La avaricia y la mala administración destruyeron un plan de negocios que era exitoso.

9 Administración de la Seguridad Seguridad en sistemas destina del 6 al 8% del presupuesto de sistemas En EEUU, el 40% tienen un encargado de “privacidad”; otro 6% piensa tenerlo en los siguientes 2 años El 39% sabe que sus sistemas an estado en peligro en este último año El 24% tienen un “ciberseguro”; 5% pretenden tener esa cobertura en este año

10 Antivirus 96% Redes Virtuales Privadas 86% Sistemas de detección de intrusos 85% Monitoreo/Filtro de contenidos 77% Infraestructura con llave pública 45% Tarjetas Inteligentes 43% Biométricas 19% Tecnología de Seguridad Utilizada

11 Crimen Computacional El uso indebido o el acceso, modificación o destrucción de hardware, software, datos o recursos de red. El “divulgar” sin autorización información de la empresa La copia no autorizada de software Negar el acceso a un usuario final a su propio hardware, software, datos o recursos de red Usar o conspirar con una computadora o recursos de res de manera ilegal para obtener información o propiedades

12 Crimen Computacional Hacking Ciber-robo Virus & gusanos Piratería Uso no autorizado en oficinas Cada empresa estable políticas de uso de los recursos

13

14 Ejemplos de técnicas de hacking

15 Tácticas comunes de Hacking Password Crackers –Software que puede adivinar passwords Ingeniería Social –Se obtiene acceso a sistemas computacionales –Al hablar con empleados de una empresa se obtienen datos valiosos como passwords Clavado al basurero –Husmear a través de la basura de una compañía para encontrar información para entrar a los sistemas

16 PayPal, Inc. Ciber-crimen en el Internet Compañía de procesamiento de pagos en- línea Notaron cierta cuentas dudosas nuevas Congelaron las cuentas que se usaban para comprar objetos valiosos en Rusia Usaron software de “husmeo” y localizaron usuarios que “capturaban” cuentas y passwords de Paypal Mas de $100,000 en cargos fraudulentos Los bandidos fueron arrestados por el FBI

17 Temas de seguridad en Internet Eavesdropping (“oir”(leer) conversaciones ajenas) Tampering (entrada forzada a un equipo ajeno) Suplantación –Parodia –Distorsión

18 Temas de seguridad en Internet Eavesdropping: la Información permanece intacta, pero se viola la privacidad –Ejemplo: alguien se puede aprender el numero de tu tarjeta de crédito, grabar una conversación comprometedora o interceptar información clasificada (confidencial) Tampering: La información en transito es cambiada o remplazada y reenviada al destino –Ejemplo: alguien puede alterar un pedido de bienes o alterar el currículo de una persona

19 Temas de seguridad en Internet Suplantación: La información pasa de una persona que finge ser la persona para la cual era dirigida. La suplantación puede tomar 2 formas: –Parodia (Spoofing): Una persona puede pretender ser alguien que no es. Ejemplo: una persona puede pretender tener la dirección de correo [email protected], o una computadora puede llamarse www.mozilla.com cuando en realidad no lo es. –Distorsión (Misrepresentation): Una persona u organización puede fingir ser otra. Ejemplo: supongamos que el sitio www.mozilla.com pretende ser una tienda de muebles cuando en realidad es solo un sitio que “acepta” pagos vía tarjeta de crédito pero jamás manda los muebles.

20 Abuso del internet en el lugar de trabajo

21 Software para monitorear la red

22 AGM Container Controls: Stealing Time and Resources Page 372 (420) Internet contains many productivity distractions Remedies include monitoring internet use & blocking sites unrelated to work Importance of telling employees about monitoring Use of software monitoring provided rebuttal answers to web use discussions

23 Universidad de Chicago: El gusano (worm) Nimda El gusano Nimda fue lanzado el 18 de septiembre del 2001 como un correo que contenía código dañino para Windows El gusano aprovechaba “back doors” que existían en ese momento En 4 horas los servidores Web de la Universidad d Chicago Web fueron “investigados” por 7,000 direcciones IP en busca de debilidades Se tuvo que apagar la mayoría de los servidores

24 Costo de los virus y gusanos Casi 115 millones de computadoras fueron infectadas en el 2004 Se cree que al menos 11 millones de computadoras están infectadas de manera permanente Los daños por esto problemas ascienden a un total entre 166 mil y 292 mil millones de dólares solo en el 2004 Se calcula que el daño por maquina (con Windows como S. O.) entre $277 y $366 dólares

25 Adware & Spyware Adware –Software que aparenta tener un propósito útil –Pero también permite a los “anunciadores” de Internet el promocionar usando ventanas o avisos –Esto sin el consentimiento del usuario al que le salen los anuncios Spyware –Adware que emplea la conexión de Internet del usuario sin su permiso o conocimiento y en forma oculta –Captura información acerca de ti y la envía usando el Internet

26 Privacidad: Opt-in vs Opt-out Opt-in –Tú explícitamente consientes a que se obtenga información sobre ti y tus costumbres –Ley en Europa Opt-out –La información puede ser obtenida a menos que tú específicamente pidas que no sea asi –Default en EEUU

27 Protegiendo tu privacidad en el Internet Tu correo puede ser encriptado Mensajes en los foros pueden enviarse a través de “despachadores” anónimos Puedes pedirle a tu ISP que no venda tu nombre e información a las listas de correo o a otras empresas de mercadeo Negarse a revelar datos o intereses personales a los servicios en línea que solicitan tu perfil (profile). (Facebox, Hi-5, etc).

28 Administración de la Seguridad La meta de la administración de la seguridad es la exactitud, integridad y seguridad de todos los procesos de los sistemas de información. Fuente: Cortesiá de Wang Global.

29 Encriptamiento Transmitir los datos en forma codificada (encriptados) Decodificados solamente por un usuario autorizado en un sistema computacional El encriptamiento utiliza algoritmos especiales (llaves) Se usa el método de la llave pública y la llave privada

30 Symmetric Key Encryption

31 Public-Private Key Encryption

32 Encryption

33 Defensas para Internet Firewalls –Es un sistema guardián que protege la intranet de la compañía y otras redes computacionales de intrusos –Esto lo hace al proveer un filtrado y medio seguro de transferencia de información de los puntos de acceso al Internet o a otros puntos de la red Los firewalls son también importantes para individuos que se conectan al Internet por DSL (infinitum) o módems de cable (cablevision)

34 Firewalls Firewall Intranet Server Firewall Router Intranet Server Host System Internet 1 2 3 4 45 1 External Firewall Blocks Outsiders 2 Internal Firewall Blocks Restricted Materials 3 Use of Passwords and Browser Security 4 Performs Authentication and Encryption 5 Careful Network Interface Design