ECOM-6030 CAPÍTULO 3 USING ARRAYS Prof. Nelliud D. Torres © - Derechos Reservados.
Seguridad y Ética Prof. Nelliud D. Torres Tomado del Libro: Introduction to Information Systems de...
-
Upload
mario-aguilera-maldonado -
Category
Documents
-
view
215 -
download
0
Transcript of Seguridad y Ética Prof. Nelliud D. Torres Tomado del Libro: Introduction to Information Systems de...
Seguridad y Ética
Prof. Nelliud D. Torres
Tomado del Libro: Introduction to Information Systems de James A. O’Brien y George M. Marakas
Contenido
• Sistemas de negocios tradicionales (Transaction Processing Systems)
• Comercio electrónico (E-Commerce)
• Sistemas para apoyo de decisiones
IT Security, Ethics and Society
Responsabilidad Ética
• Profesionales de Negocios– Tienen una responsabilidad de promover
usos éticos de la tecnología de información en su lugar de empleo.
– Debe también promover esa responsabilidad a otras personas cercanas a su área de trabajo.
Éticas del Negocio• Preguntas que los gerentes deben
confrontar como parte de sus decisiones diarias en el negocio. Esto incluye:– Equity - Equidad– Rights - Derechos– Honesty - Honestidad– Exercise of Corporate Power - Ejercicio del
poder corporativo
• En el próximo slide se detalla cada uno de esos temas.
Categorías de los Problemas Éticos en los Negocios
Teorías de Responsabilidad Social Corporativa
• Stockholder Theory– Los gerentes son agentes de los stockholders– Su única responsabilidad ética es la de aumentar las
ganancias del negocio. – esto sin violar la ley o caer en prácticas fraudulentas.
• Social Contract Theory – Las compañías tienen responsabilidades sociales
para todos los miembros de la sociedad.– Esto permite a las corporaciones existir basados en
contratos sociales.
Teorías de Responsabilidad Social Corporativa
• Stakeholder Theory – Los gerentes tienen una responsabilidad ética
de gerenciar una firma para el beneficio de los accionistas. (Stakeholders)
– Stakeholders - Son todos los individuos o grupos que tienen acciones de una compañía.
Principios de Ética Tecnológica• Proportionality – Las ventajas logradas por la
tecnología deben ser mayores los daños o riesgos.• Informed Consent – Aquellos afectados por la
tecnología, deben entender y aceptar los riesgos.• Justice – Los beneficios y problemas de la tecnología
deben distribuirse justamente entre todos.• Minimized Risk – Aún si es aceptado por los tres
pasos anteriores, la tecnología debe implementarse de modo tal que se eviten todos los riesgos innecesarios.
Los estándares AITP de conducta profesional
Guías de Responsabilidad Social
• Actuar con integridad
• Aumentar tu competencia profesional
• Establecer altos estándares de ejecutoria personal
• Aceptar la responsabilidad de tu trabajo
• Ir a favor de la salud, privacidad y el beneficio en general del público
Crimen por Computadora
• Uso no autorizado, acceso, modificación y destrucción de hardware, software, data, o recursos de la red.
• Divulgar información no autorizada• Copia no autorizada de software• Denegar a un usuario accesos a su hardware,
software o recursos de red.• Utilizar o conspirar para utilizar recursos de red
o de computadoras ilegalmente para obtener información o propiedad tangible.
Cuanto se protegen las compañías del cybercrime
Source: 2003 Global Security Survey by Deloitte Touche Tohmatsu, New York, June 2003,In Mitch Betts, “The Almanac,” Computerworld, July 14, 2003, p 42.
Hacking
• El uso obsesivo de las computadoras
• Se ha alterado la definición como el acceso y uso no autorizado de sistemas de redes de computadoras
Tácticas comunes de los Hackers
• Denial of Service – Deshabilitar Websites con muchos pedidos
simultáneamente– Poner lento el sistema o deshabilitarlo (crash)
• Scans– Búsqueda en el Internet para determinar tipos
de computadoras, servicios y conexiones. – Búsqueda de debilidades
Tácticas comunes de los Hackers
• Sniffer– Programas que buscan información de
paquetes por el Internet– Capturan password o contenidos completos
de información
• Spoofing– Imitar direcciones de e-mail o páginas de
Internet para poder obtener de los usuarios información crítica tal como passwords o números de tarjeta de crédito.
Tácticas comunes de los Hackers• Trojan Horse
– Un programa que sin saberlo el usuario, contiene instrucciones que explotan una vulnerabilidad en algún software.
• Back Doors– Un punto escondido de entrada que se utiliza en caso de
que el punto de entrada original se haya detectado o este bloqueado.
• Malicious Applets – Pequeños programas en Java que mal utilizan los recursos
de la computadora, modifican archivos en el disco duro, envian e-mails falsos o borran passwords.
Tácticas comunes de los Hackers• War Dialing
– Programas que automáticamente marca miles de números telefónicos en búsqueda de una forma de conectarse a un modem.
• Logic Bombs – Una instrucción en una computadora que activa
una acto malicioso.
• Buffer Overflow– Una técnica para abortar o ganar control de una
computadora al enviar mucha data por el buffer de la memoria de la computadora.
Tácticas comunes de los Hackers
• Password Crackers – Software que puede adivinar passwords
• Social Engineering – Ganar accesos a sistemas de computadoras al tomar
información sin que nadie sospeche como por ejemplo passwords.
• Dumpster Diving– Buscar en los desperdicios de una compañía para
buscar información que facilite romper su sistema de computadoras.
Cyber Theft
• Un crimen por computadora que se relaciona con el robo de dinero
• Con frecuencia la fuente es interna en la compañía o utiliza el Internet para poder penetrar
Uso no autorizado en el trabajo
• Robo de tiempo y recursos
• Puede variar desde hacer consultas privadas o finanzas personales hasta jugar juegos de video o uso no autorizado del Internet.
Abusos del Internet en el Trabajo• Abusos en general del e-mail• Usos y accesos no autorizados• Copyright infringement/plagiarism• Postear en Newsgroup• Transmisión de datos confidenciales• Pornografía – acceder sites de contenido sexual• Hacking• Bajar o subir cosas por la red que no se relacionan al
trabajo• Uso del Internet con cosas de entretenimiento
Piratería de Software
• Software Piracy – Copia no autorizada de programas de computadora
• Licensing– La compra de software es realmente un pago por una
licencia de uso justo– Site license te permiten cierto números de copias
• Una tercera parte de los ingresos de software se pierden debido a piratería
Robo de Propiedad Intelectual
• Intellectual property– Material Copyrighted como por ejemplo:– Música, videos, imágenes, artículos, libros,
software, etc.
• Violar el Copyright es ilegal.
• La técnica de red tipo Peer-to-peer ha hecho fácil que ocurra la piratería de propiedad intelectual.
Viruses and Worms (gusanos)• Virus y worms copian rutinas molestosas o
destructivas en una red de computadoras
• Con frecuencia se riega por e-mail o por documentos adheridos (attach) en un e-mail
• Computer Virus – Código del programa que no puede trabajar si
estar insertado dentro de otro programa
• Worm – Programa que puede correr sin ninguna ayuda
(no necesita estar insertado en otro programa)
Costo de los virus y worms
• Aproximadamente 115 millones de computadoras se infectaron en el 2004
• Se cree que 11 millones de computadoras se mantienen permanentemente infectadas
• El daño económico se estima que está entre 166 a 292 billones en el 2004
• El daño promedio por máquina basada en Windows es entre 277 a 366 dólares
Adware and Spyware• Adware
– Software te provee algún tipo de servicio– Pero también le permite a los anunciantes del Internet
mostrar sus anuncios (pop-ups) y banners en el browser del usuario.
– Todo esto sin el consentimiento del usuario.
• Spyware– Adware que emplea la conexión de Internet del usuario
en el background sin su permiso ni conocimiento.– Captura información sobre el usuario y lo envía por el
Internet
Privacy: Opt-in versus Opt-out
• Opt-in – Uno explicitamente consiente el que se
permita recolectar data por esos tipos de programas
– Ley de Europa
• Opt-out– Se recolecta data del usuario a menos que el
usuario específicamente solicite que no lo desea
– Default en los Estados Unidos
Problemas de Privacidad
• Violación de Privacidad:– Acceder a correos electrónicos privados y cualquier
otro tipo de conversación por computadora.– Colectar y compartir información sobre individuos
que se obtiene cuando estos visitan las páginas de Internet.
• Monitoreo por Computadora:– El conocer siempre donde una persona está ya sea
por mobile o algún servicio de paging (beeper) se asocia mas con la gente en lugar de lugares.
Privacy Issues
• Computer Matching– Uso de la información del cliente obtenida de
varias fuentes para mercadear servicios de negocios adicionales.
• Unauthorized Personal Files– Colectar números de teléfonos, direcciones
de e-mail, números de tarjetas de credito y otros datos personales para crear profiles individual de cada cliente.
Como proteger la privacidad en el Internet
• El E-mail puede ser encryptado• Posteos de Newsgroup se pueden enviar a
través de cuentas de e-mail anónimas.• Al ISP se le puede pedir que no venda el
nombre ni información personal a los otros proveedores y anunciantes.
• Uno declina revelar datos personales e intereses a los servicios on-line y a los profiles de usuarios en la Web.
Leyes de Privacidad
• Son reglas que regulan la colección y uso de los datos personales por las empresas y el gobierno.
Censorship Issues
• Spamming– Indiscriminadamente enviar e-mails no
solicitados a muchos usuarios de Internet.
• Flaming– Enviar criticas extremas, derogatorias y
muchas veces vulgares por e-mail o por newsgroup o cualquier otro tipo de foro.
Cyberlaw
• Leyes que intentan regular actividades en el Internet o cualquier otro medio de comunicación electrónica.
Ergonomics
• Es el diseño de un medio ambiente de trabajo más saludable
• Que sea seguro, confortable y placentero para la gente que trabaja
• Por lo tanto esto aumenta la moral de los empleados y su productividad
Ergonomic Factors
Security Management
• La meta del security management es la precisión, integridad y seguridad de todos los procesos de información y recursos.
Source: Courtesy of Wang Global.
Internetworked Security Defenses
• Encryption – La data se transmite en un formato “revuelto”
que solo lo reconocen los sistemas de computadores y lo utilizan usuarios autorizados solamente.
Public/Private Key Encryption
Internetworked Security Defenses
• Firewalls– Un “portón” que protege la Intranet de la
compañía y otras redes de computadoras de los intrusos.
– Al proveer un filtro y transferencia segura de acceso desde y hacia el Internet y otras redes.
• Firewalls también es importante para individuos que se conectan al Internet por DSL, o Cable.
Internet and Intranet Firewalls
Internetworked Security Defenses
• Monitoreo de E-mail – Uso de software para cotejar palabras claves que
puedan comprometer la seguridad de la empresa.
• Defensas de Virus – Centralizar la distribución y actualizaión de
software de antivirus.– Usar security suite (programas de antivirus que
tienen varios componentes) que integran el antivirus con firewalls, seguridad Web, cotejo de e-mail, entre otras cosas.
Otras Medidas de Seguridad
• Security Codes – Multilevel password system– Encrypted passwords– Smart cards with microprocessors
• Backup Files – Duplicar archivos de data o programas
• System Security Monitors – Programas que monitorean el uso de los sistemas de
computadoras y las redes y los protegen de uso no autorizado, fraude y destrucción.
Biometrics
• Equipos de computadoras que miden patrones únicos de cada individuo que lo hace único.
• Ejemplos:– Verificación de voz– Huellas digitales– Scan de retina
Controles de fallos en las computadoras
• Prevenir fallos de la computadora o minimizar sus efectos.
• Mantenimiento de prevención
• Organizar backups con un plan de recuperación de desastres (disaster recovery organization)
Fault Tolerant Systems
• Sistemas que tienen redundancia de procesadores, periferales y software que provee:– Fail-over capacidad de hacer backup de
componentes en el evento de una falla del sistema– Fail-safe capacidad en el que el sistema de
computadora continua operando al mismo nivel aún si ocurre un fallo de hardware o software.
– Fail-soft capacidad en el que el sistema de computadora continua operando a un nivel reducido, pero aceptable en el evento de un fallo en el sistema.
Disaster Recovery Plan
• Procedimientos formales que siguen al evento de un desastre. Esto incluye:– Cuales empleados participarán– Cuales serán sus tareas– Que hardware, software y facilidades serán
utilizadas– Prioridad de las aplicaciones que serán
procesadas– Uso de facilidades alternas– Almacenamiento externo de las bases de
datos
Information Systems Controls• Metodos y equipos que tratan de asegurar la
precisión, validez y propiedad de las actividades de Sistemas de Información
Auditing IT Security
• Auditorias de seguridad de IT– Por auditores internos o externos– Cotejan y evalúan si las medidas de
seguridad y las políticas gerenciales son adecuadas o no. También se coteja si se han implantado y se les da seguimiento adecuadamente.
How to protect yourself from cybercrime
FIN