Cuestiones éticas y de seguridad en el sistema de información
Fénix del atlas
Los sistemas de información han hecho que muchas empresas tengan éxito en la actualidad. Algunas empresas como Google, Facebook, EBay, etc. no existirían sin las tecnologías de la información. Sin embargo, el uso inadecuado de la tecnología de la información puede crear problemas para la organización y los empleados.
Los delincuentes que obtienen acceso a la información de las tarjetas de crédito pueden provocar pérdidas financieras a los propietarios de las tarjetas o al instituto financiero. El uso de sistemas de información de la organización, es decir, publicar contenido inapropiado en Facebook o Twitter usando una cuenta de la empresa, puede generar demandas y pérdida de negocios.
Este tutorial abordará los desafíos que plantean los sistemas de información y lo que se puede hacer para minimizar o eliminar los riesgos.
Cibercrimen
El delito cibernético se refiere al uso de tecnología de la información para cometer delitos. Los delitos cibernéticos pueden variar desde simplemente molestar a los usuarios de computadoras hasta enormes pérdidas financieras e incluso la pérdida de vidas humanas. El crecimiento de los smartphones y otros gama alta Móvil Los dispositivos que tienen acceso a Internet también han contribuido al crecimiento del ciberdelito.
Tipos de delitos cibernéticos
El robo de identidad
El robo de identidad ocurre cuando un cibercriminal se hace pasar por otra persona para cometer delitos. Esto se hace generalmente accediendo a los datos personales de otra persona. Los datos utilizados en estos delitos incluyen números de seguridad social, fecha de nacimiento, números de tarjetas de crédito y débito, números de pasaporte, etc.
Una vez que el cibercriminal ha obtenido la información, puede utilizarla para realizar compras en línea haciéndose pasar por otra persona. Una de las formas que utilizan los cibercriminales para obtener dichos datos personales es el phishing. El phishing implica la creación de sitios web falsos que parecen sitios web o correos electrónicos comerciales legítimos..
Por ejemplo, un correo electrónico que parece provenir de YAHOO puede pedir al usuario que confirme sus datos personales, incluidos los números de contacto y la contraseña del correo electrónico. Si el usuario cae en la trampa y actualiza los datos y proporciona la contraseña, el atacante tendrá acceso a los datos personales y al correo electrónico de la víctima.
Si la víctima utiliza servicios como PayPal, el atacante puede utilizar la cuenta para realizar compras en línea o transferir fondos.
Otras técnicas de phishing implican el uso de puntos de acceso Wi-Fi falsos que parecen legítimos. Esto es común en lugares públicos como restaurantes y aeropuertos. Si un usuario desprevenido inicia sesión en la red, los ciberdelincuentes pueden intentar obtener acceso a información confidencial como nombres de usuario, contraseñas, números de tarjetas de crédito, etc.
Según el Departamento de Justicia de Estados Unidos, un ex empleado del Departamento de Estado utilizó el correo electrónico fraudulento para acceder a las cuentas de correo electrónico y redes sociales de cientos de mujeres y obtuvo acceso a fotografías explícitas. Pudo utilizar las fotografías para extorsionar a las mujeres y las amenazó con hacerlas públicas si no accedían a sus exigencias.
Infracción de copyright
La piratería es uno de los mayores problemas de los productos digitales. Los sitios web como Pirate Bay se utilizan para distribuir materiales protegidos por derechos de autor, como audio, vídeo, software, etc. La infracción de derechos de autor se refiere al uso no autorizado de materiales protegidos por derechos de autor.
El acceso rápido a Internet y la reducción de los costos de almacenamiento también han contribuido al crecimiento de los delitos de infracción de derechos de autor.
Haga clic en fraude
Las empresas de publicidad como Google AdSense ofrecen servicios de publicidad de pago por clic. El fraude de clics ocurre cuando una persona hace clic en un enlace sin intención de saber más sobre el clic, sino de ganar más dinero. Esto también se puede lograr utilizando un software automatizado que realiza los clics.
Fraude por pago anticipado
Se envía un correo electrónico a la víctima objetivo prometiéndole mucho dinero a cambio de ayudarle a reclamar el dinero de su herencia.
En estos casos, el delincuente suele hacerse pasar por un pariente cercano de una persona muy rica y conocida que falleció. Afirma haber heredado la riqueza de la persona rica fallecida y necesita ayuda para reclamar la herencia. Solicitará asistencia financiera y prometerá una recompensa más adelante. Si la víctima envía el dinero al estafador, este desaparece y la víctima pierde el dinero.
Hackear
La piratería se utiliza para eludir los controles de seguridad y obtener acceso no autorizado a un sistema. Una vez que el atacante ha obtenido acceso al sistema, puede hacer lo que quiera. Algunas de las actividades comunes que se realizan cuando se piratea el sistema son;
- Instalar programas que permitan a los atacantes espiar al usuario o controlar su sistema de forma remota
- Desfigurar sitios web
- Robar información confidencial. Esto se puede hacer usando técnicas como SQL Inyección, explotación de vulnerabilidades en el software de la base de datos para obtener acceso, técnicas de ingeniería social que engañan a los usuarios para que envíen identificaciones y contraseñas, etc.
Virus de computadora
Los virus son programas no autorizados que pueden molestar a los usuarios, robar datos confidenciales o usarse para controlar equipos controlados por computadoras.
Seguridad del sistema de información
La seguridad de MIS se refiere a las medidas implementadas para proteger los recursos del sistema de información contra el acceso no autorizado o que se vean comprometidos. Las vulnerabilidades de seguridad son debilidades en un sistema informático, software o hardware que el atacante puede aprovechar para obtener acceso no autorizado o comprometer un sistema.
Las personas como parte de los componentes del sistema de información también pueden ser explotadas mediante técnicas de ingeniería social. El objetivo de la ingeniería social es ganarse la confianza de los usuarios del sistema.
Veamos ahora algunas de las amenazas que enfrenta el sistema de información y qué se puede hacer para eliminar o minimizar el daño si la amenaza se materializara.
Virus informáticos – son programas maliciosos, como se describe en la sección anterior. Las amenazas que plantean los virus se pueden eliminar o su impacto se puede minimizar utilizando un software antivirus y siguiendo las mejores prácticas de seguridad establecidas por una organización.
Acceso no autorizado – la convención estándar es utilizar una combinación de un nombre de usuario y una contraseña. Los piratas informáticos han aprendido cómo eludir estos controles si el usuario no sigue las mejores prácticas de seguridad. La mayoría de las organizaciones han agregado el uso de dispositivos móviles, como teléfonos, para brindar una capa adicional de seguridad.
Tomemos Gmail como ejemplo: si Google sospecha del inicio de sesión en una cuenta, le pedirá a la persona que está a punto de iniciar sesión que confirme su identidad usando su dispositivo móvil con Android o que envíe un SMS con un número PIN que debe complementar el nombre de usuario y la contraseña.
Si la empresa no tiene suficientes recursos para implementar seguridad adicional como Google, puede utilizar otras técnicas. Estas técnicas pueden incluir hacer preguntas a los usuarios durante el registro, como en qué ciudad crecieron, el nombre de su primera mascota, etc. Si la persona proporciona respuestas precisas a estas preguntas, se concede acceso al sistema.
Pérdida de datos – Si el centro de datos se incendia o se inunda, el hardware con los datos puede dañarse y los datos que contiene se perderán. Como práctica recomendada de seguridad estándar, la mayoría de las organizaciones mantienen copias de seguridad de los datos en lugares remotos. Las copias de seguridad se realizan periódicamente y normalmente se colocan en más de un área remota.
Identificación biométrica: esto se está volviendo muy común, especialmente en dispositivos móviles como los teléfonos inteligentes. El teléfono puede registrar la huella digital del usuario y utilizarla con fines de autenticación. Esto dificulta que los atacantes obtengan acceso no autorizado al dispositivo móvil. Esta tecnología también se puede utilizar para evitar que personas no autorizadas accedan a sus dispositivos.
Ética del sistema de información
La ética se refiere a las reglas del bien y del mal que las personas utilizan para tomar decisiones que guíen sus comportamientos. La ética en MIS busca proteger y salvaguardar a los individuos y la sociedad mediante el uso responsable de los sistemas de información. La mayoría de las profesiones suelen tener definido un código de ética o un código de conducta que todos los profesionales afiliados a la profesión deben cumplir.
En pocas palabras, un código de ética hace que las personas que actúan según su libre albedrío sean responsables de sus acciones. En el sitio web de la British Computer Society (BCS) se puede encontrar un ejemplo de código de ética para profesionales de MIS.
Política de Tecnologías de la Información y las Comunicaciones (TIC)
Una política de TIC es un conjunto de directrices que definen cómo una organización debe utilizar la tecnología y los sistemas de información de manera responsable. Las políticas de TIC suelen incluir directrices sobre;
- Compra y uso de equipos de hardware y cómo eliminarlos de forma segura
- Uso exclusivo de software con licencia y garantía de que todo el software esté actualizado con los parches más recientes por razones de seguridad.
- Reglas sobre cómo crear contraseñas (aplicación de complejidad), cambiar contraseñas, etc.
- Uso aceptable de las tecnologías de la información y los sistemas de información.
- Formación de todos los usuarios implicados en el uso de las TIC y MIS.
Resumen
Con un gran poder viene una gran responsabilidad. Los sistemas de información aportan nuevas oportunidades y ventajas a la forma en que hacemos negocios, pero también introducen problemas que pueden afectar negativamente a la sociedad (delito cibernético). Una organización necesita abordar estos problemas y crear un marco (seguridad MIS, política de TIC, etc.) que los aborde.
