Resumen Segundo parcial Sistemas de informacin

Captulo 8
Seguridad en los sistemas de informacin
Por qu son vulnerables los sistemas
Cuando se almacenan grandes cantidades de datos en forma electrnica, son vulnerables a muchos ms
tipos de amenazas cuando existan en forma manual. Los sistemas de informacin se interconectan en
distintas ubicaciones a travs de las redes de comunicaciones. El potencial de acceso sin autorizacin,
abuso o fraude no se limita a una sola ubicacin, sino que puede ocurrir en cualquier punto de acceso a
la red. La siguiente figura ilustra las amenazas ms comunes contra los sistemas de informacin
contemporneos

La asociacin a nivel nacional o internacional con otra compaa impone una mayor vulnerabilidad si la
informacin valiosa reside en redes y computadoras fuera del control de la organizacin. Sin un
resguardo slido, los datos valiosos se podran perder o destruir hasta caer en manos equivocadas y
revelar importantes secretos comerciales o informacin que viole la privacidad personal.
La portabilidad provoca que los telfonos celulares, o telfonos inteligentes y las computadoras tipo
tabletas sean fciles de perder o robar.

Vulnerabilidades de internet
Las redes pblicas grandes, como internet son ms vulnerables que las internas, ya que estn abiertas
para casi cualquiera. Internet es tan grande que, cuando ocurren abusos, pueden tener un impacto muy
amplio. Cuando internet se vuelve parte de la red corporativa, los sistemas de informacin de la
organizacin son an ms vulnerables a las acciones de personas externas.
Las computadoras que tienen conexin constante a internet mediante mdems de cable o lneas de
suscriptor digitales son ms propensas a que se infiltren personas externas debido a que usan
direcciones de internet fijas, mediante las cuales pueden identificar con facilidad. Una direccin fija en
internet crea un objetivo fijo para los hackers.
La vulnerabilidad tambin ha aumentado debido al extenso uso del correo electrnico, la mensajera
instantnea y los programas de comparticin de archivos de igual a igual.
Desafos de seguridad inalmbrica
La tecnologa de transmisin Wi-Fi se dise para facilitar el proceso de las estaciones
de encontrarse y escucharse entre s. Los identificadores de conjuntos de servicios
(SSID) que identifican los puntos de acceso en una red Wi-Fi se transmiten varias
veces y los programas husmeadores de los intrusos pueden detectarlos con bastante
facilidad.
Software malicioso: Virus, gusanos, caballos de Troya y spyware
los programas de software malicioso se conocen como malware e incluyen una variedad de amenazas,
como virus de computadora, gusanos y caballos de Troya. Un virus de computadora es un programa de
software malintencionado que se une a otros programas de software o archivos de datos para poder
ejecutarse por lo general sin el conocimiento o permiso del usuario. La mayora de los virus de
computadora entregan una carga til. La cual puede ser benigna en cierto sentido, como las
instrucciones para mostrar un mensaje o imagen, o puede ser muy destructiva: tas vez destruya
programas o datos, obstruya la memoria de la computadora, aplique formato al disco duro o haga que
los programas se ejecuten de manera inapropiada.
La mayora de los ataques recientes provienen de gusanos: programas de computadora independientes
que se copian a s mismos de una computadora a otras computadoras a travs de una red. Los gusanos
destruyen datos y programas; adems pueden interrumpir o incluso detener la operacin de las redes
de computadoras.
Los gusanos y los virus se esparcen con frecuencia a travs de internet, de archivos o software
descargado, de archivos adjuntos a las transmisiones de correo electrnico y de mensajes de correo
electrnico o de mensajera instantnea.
Los virus tambin han invadido los sistemas de informacin computarizados por medio de discos
infectados o maquinas infectados.
El caballo de Troya es un programa de software que parece ser benigno, pero entonces hace algo
distinto de lo esperado. El caballo de Troya en si no es un virus, ya que no se reproduce, pero es con
frecuencia un medio para que los virus u otro tipo de software malicioso entren en un sistema
computacional. El termino de caballo de Troya se basa en el enorme caballo de madera utilizado por los
griegos para engaar a los troyanos y que abrieran las puertas a su ciudad durante la guerra de Troya.
Los ataques por inyeccin de SQL son la mayor amenaza de malware. Los ataques de inyeccin de SQL
aprovechan las vulnerabilidades en el software de aplicacin web mal codificado para introducir cdigo
de programa malicioso en sistemas y redes de una compaa.
Algunos tipos de spyware tambin actan como software malicioso. Estos pequeos
programas se instalan a s mismos de manera furtiva en las computadoras para monitorear
la actividad de navegacin Web de los usuarios y mostrarles anuncios. Se han
documentado miles de formas de spyware.
A muchos usuarios el spyware les parece molesto y algunos crticos se preocupan en
cuanto a que infringe la privacidad de los usuarios de computadora. Algunas formas de
spyware son en especial nefastas. Los keyloggers registran cada pulsacin de tecla en
una computadora para robar nmeros de serie de software, lanzar ataques por Internet,
obtener acceso a cuentas de correo electrnico, conseguir contraseas para los sistemas
computacionales protegidos o descubrir informacin personal tal como los nmeros de
tarjetas de crdito. Otros programas de spyware restablecen las pginas de inicio de los
navegadores Web, redirigen las solicitudes de bsqueda o reducen el rendimiento al
ocupar demasiada memoria.
Los hackers y los delitos computacionales
Un hacker es un individuo que intenta obtener acceso sin autorizacin a un sistema
computacional. Dentro de la comunidad de hackers, el trmino cracker se utiliza con
frecuencia para denotar a un hacker con intencin criminal.
Las actividades de los hackers se han ampliado mucho ms all de la mera intrusin
en los sistemas, para incluir el robo de bienes e informacin, as como daos en los sistemas
y cibervandalismo: la interrupcin, desfiguracin o destruccin intencional de
un sitio Web o sistema de informacin corporativo.
Spoofing y Sniffing
El spoofing puede implicar el hecho de redirigir un vinculo Web a una direccin distinta a la que se tena
pensada, en donde el sitio se hace pasar por el destino esperado. Si los hackers redirigen a los clientes a
un sitio Web falso que se ve casi igual que el sitio
verdadero, pueden recolectar y procesar pedidos para robar de manera efectiva la informacin
de negocios, as como la informacin confidencial de los clientes del sitio verdadero.
Un husmeador (Sniffer) es un tipo de programa espa que monitorea la informacin que viaja a travs de
una red. Cuando se utilizan de manera legtima, los husmeadores ayudan a identificar los potenciales
puntos problemticos en las redes o las actividades criminal en las mismas. Pero cuando se usan para
fines criminales pueden ser dainos y difciles de detectar. Los husmeadores permiten a los hackers
detectar informacin propietaria de cualquier parte de una red.
Ataques de negacin de servicio
En un ataque de negacin de servicio (DoS), los hackers inundan un servidor de red
o de Web con muchos miles de comunicaciones o solicitudes de servicios falsas para
hacer que la red falle. La red recibe tantas solicitudes que no puede mantener el ritmo
y, por lo tanto, no est disponible para dar servicio a las solicitudes legtimas. Un ataque
de negacin de servicio distribuida (DDoS) utiliza varias computadoras para saturar
la red desde muchos puntos de lanzamiento.
Aunque los ataques DoS no destruyen informacin ni acceden a las reas restringidas
de los sistemas de informacin de una compaa, a menudo provocan que un sitio Web
se cierre, con lo cual es imposible para los usuarios legtimos acceder a ste.
A menudo los perpetradores de los ataques DoS utilizan miles de equipos PC zombis
infectados con software malicioso sin que sus propietarios tengan conocimiento, y se
organizan en una botnet. Los hackers crean estas botnets al infectar las computadoras
de otras personas con malware de bot que abre una puerta trasera por la cual un atacante
puede dar instrucciones. As, la computadora infectada se convierte en un esclavo, o
zombi, que da servicio a una computadora maestra perteneciente a alguien ms.
Delitos por computadora
El delito por computadora se define en el Departamento de Justicia de Estados Unidos
como cualquier violacin a la ley criminal que involucra el conocimiento de una
tecnologa de computadora para su perpetracin, investigacin o acusacin.
Ejemplos de delitos por computadora
COMPUTADORAS COMO BLANCOS DE DELITOS
Violar la confidencialidad de los datos computarizados protegidos
Acceder a un sistema computacional sin autorizacin
Acceder de manera intencional a una computadora protegida para cometer fraude
Acceder de manera intencional una computadora protegida y causar dao, ya sea por negligencia o de
forma deliberada
Transmitir conscientemente un programa, cdigo de programa o comando que provoque daos
intencionales a una computadora protegida
Amenazar con provocar daos a una computadora protegida
COMPUTADORAS COMO INSTRUMENTOS DE DELITOS
Robo de secretos comerciales
Copia sin autorizacin de software o propiedad intelectual protegida por derechos de autor, como
artculos, libros, msica y video
Ideas para defraudar
Uso del correo electrnico para amenazas o acoso
Tratar de manera intencional de interceptar comunicaciones electrnicas
Acceder de manera ilegal a las comunicaciones electrnicas almacenadas, como el correo electrnico y
el correo de voz
Transmitir o poseer pornografa infantil mediante el uso de una computadora
Robo de identidad
El robo de identidad es un crimen en el que un impostor obtiene piezas clave de informacin personal,
como nmeros de identificacin del seguro social, nmeros de licencias de conducir o nmeros de
tarjetas de crdito, para hacerse pasar por alguien ms.
Una tctica cada vez ms popular es una forma de spoofing conocida como phishing, la cual implica el
proceso de establecer sitios web falsos o enviar tanto correo electrnico como mensajes de texto se
parezcan a los de las empresas legitimas, para pedir a los usuarios datos personales. El mensaje instruye
a quienes lo reciben para que se actualicen o confirmen los registros, para lo cual deben proveer
nmeros de seguro social, informacin bancaria y tarjetas de crdito, adems de datos confidenciales.
Las nuevas tecnologas de phishing conocidas como Evil Twin o gemelos malvados y
pharming son ms difciles de detectar. Los gemelos malvados son redes inalmbricas
que pretenden ofrecer conexiones Wi-Fi de confianza a Internet, como las que se
encuentran en las salas de los aeropuertos, hoteles o cafeteras. La red falsa se ve idntica
a una red pblica legtima. Los estafadores tratan de capturar las contraseas o los
nmeros de tarjetas de crdito de los usuarios que inician sesin en la red sin darse
cuenta de ello.
El pharming redirige a los usuarios a una pgina Web falsa, aun y cuando el individuo
escribe la direccin de la pgina Web correcta en su navegador. Esto es posible si los
perpetradores del pharming obtienen acceso a la informacin de las direcciones de
Internet que almacenan los proveedores de servicio de Internet para agilizar la navegacin
Web.
Fraude del clic
El fraude del clic ocurre cuando un individuo o programa de computadora hace clic de manera
fraudulenta en un anuncio en lnea, sin intencin de aprender ms sobre el anunciante o de realizar una
compra.
Amenazas globales: Ciberterrorismo y Ciberguerra
las vulnerabilidades de Internet o de otras redes hacen de las redes digitales blancos fciles para los
ataques digitales por parte de los terroristas, servicios de inteligencia extranjeros u otros grupos que
buscan crear trastornos y daos extensos. Dichos ciberataques podran estar dirigidos al software que
opera las redes de energa elctrica, los sistemas de control del trfico areo o las redes de los
principales bancos e instituciones financieras.

Amenazas Internas: los empleados

Los estudios han encontrado que la falta de conocimiento de los usuarios es la principal causa de fugas
de seguridad en las redes. Muchos empleados olvidan sus contraseas para acceder a los sistemas
computacionales o permiten que sus compaeros de trabajo las utilicen, lo cual compromete al sistema.
Algunas veces los intrusos maliciosos que buscan acceder al sistema engaan a los empleados para que
revelen sus contraseas al pretender ser miembros legtimos de la compaa que necesitan informacin.
A esta prctica se le denomina ingeniera social.

Vulnerabilidad del software

Un problema importante con el software es la presencia de bugs ocultos, o defectos de cdigo del
programa. Los estudios han demostrado que es casi imposible eliminar todos los bugs de programas
grandes. La principal fuente de los bugs es la complejidad del cdigo de toma de decisiones. Un
programa relativamente pequeo de
varios cientos de lneas contiene decenas de decisiones que conducen a cientos, o hasta miles de rutas.
Los programas importantes dentro de la mayora de las corporaciones son por lo general mucho ms
grandes, y contienen decenas de miles, o incluso millones de lneas de cdigo, cada una multiplica las
opciones y rutas de los programas ms pequeos.
Para corregir las fallas en el software una vez identificadas, el distribuidor del software crea pequeas
piezas de software llamadas parches para reparar las fallas sin perturbar la operacin apropiada del
software.

VALOR DE NEGOCIOS DE LA SEGURIDAD Y EL CONTROL

Evidencia electrnica y anlisis forense de sistemas.
el anlisis forense de sistemas, que viene siendo el proceso de recolectar, examinar, autenticar,
preservar y analizar de manera cientfica los datos retenidos o recuperados de medios de
almacenamiento de computadora, de tal forma que la informacin se pueda utilizar como evidencia en
un juzgado. Se encarga de los siguientes problemas:
Recuperar datos de las computadoras y preservar al mismo tiempo la integridad evidencial
Almacenar y manejar con seguridad los datos electrnicos recuperados
Encontrar informacin importante en un gran volumen de datos electrnicos
Presentar la informacin a un juzgado
La evidencia electrnica puede residir en medios de almacenamiento de computadora, en forma de
archivos de computadora y como datos ambientales, que no son visibles para el usuario promedio. Un
ejemplo podra ser un archivo que se haya eliminado en un disco duro de PC. Los datos que un usuario
tal vez haya borrado de un medio de almacenamiento de computadora se pueden recuperar por medio
de varias tcnicas. Los expertos de anlisis forense de sistemas tratan de recuperar dichos datos ocultos
para presentarlos como evidencia.

Controles de los sistemas de informacin

Los controles generales
gobiernan el diseo, la seguridad y el uso de los programas de computadora, adems
de la seguridad de los archivos de datos en general, a lo largo de toda la infraestructura
de tecnologa de la informacin de la organizacin. En conjunto, los controles generales
se asignan a todas las aplicaciones computarizadas y consisten en una combinacin
de hardware, software y procedimientos manuales que crean un entorno de
control en general.
Los controles de aplicacin son controles especficos nicos para cada aplicacin computarizada, como
nmina o procesamiento de pedidos. Implican procedimientos tanto automatizados como manuales, los
cuales aseguran que la aplicacin procese de una forma completa y precisa slo los datos autorizados.
Los controles de aplicacin se pueden clasificar como (1) controles de entrada, (2) controles de
procesamiento y (3) controles de salida.

Evaluacin de riesgo
Una evaluacin del riesgo determina el nivel de riesgo para la firma si no se controla una actividad o
proceso especfico de manera apropiada. No todos los riesgos se pueden anticipar o medir, pero la
mayora de las empresas podrn adquirir cierta comprensin de los riesgos a los que se enfrentan. Los
gerentes de informacin que trabajan con especialistas en sistemas de informacin deberan tratar de
determinar el valor de los activos de informacin, los puntos de vulnerabilidad, la probable frecuencia
de un problema y el potencial de dao.

Poltica de seguridad
Una poltica de seguridad consiste de enunciados que clasifican los riesgos de informacin, identifican
los objetivos de seguridad aceptables y tambin los mecanismos para lograr estos objetivos. Cules son
los activos de informacin ms importantes de la firma? Quin genera y controla esa informacin en la
empresa? Cules son las polticas de seguridad que se implementan para proteger esa informacin?
Qu nivel de riesgo
est dispuesta la gerencia a aceptar para cada uno de estos activos? Acaso est dispuesta a perder los
datos crediticios de sus clientes una vez cada 10 aos? O crear un sistema de seguridad para datos de
tarjetas de crdito que pueda soportar al desastre una vez cada 100 aos? La gerencia debe estimar qu
tanto costar lograr este nivel de riesgo aceptable. La poltica de seguridad controla las polticas que
determinan el uso aceptable de los recursos de informacin de la firma y qu miembros de la compaa
tienen acceso a sus activos de informacin. Una poltica de uso aceptable (AUP) define los usos
admisibles de los recursos de informacin y el equipo de cmputo de la firma, que incluye las
computadoras laptop y de escritorio, los dispositivos inalmbricos e Internet.
La poltica de seguridad tambin comprende de provisiones para administrar la identidad. La
administracin de identidad consiste en los procesos de negocios y las herramientas de software para
identificar a los usuarios vlidos de un sistema, y para controlar su acceso a los recursos del mismo.

Planificacin de recuperacin de desastres y planificacin de la continuidad de negocios.

La planificacin de recuperacin de desastres idea planes para restaurar los servicios de cmputo y
comunicaciones despus de haberse interrumpido. El principal enfoque de los planes de recuperacin
de desastres es en los aspectos tcnicos involucrados en mantener los sistemas en funcionamiento,
tales como qu archivos respaldar y el mantenimiento de los sistemas de cmputo de respaldo o los
servicios de recuperacin de desastres.
La planificacin de continuidad de negocios se enfoca en la forma en que la compaa puede restaurar
las operaciones de negocios despus de que ocurre un desastre. El plan de continuidad de negocios
identifica los procesos de negocios crticos y determina los planes de accin para manejar las funciones
de misin crtica en caso de que fallen los sistemas.

La funcin de auditoria
Una auditora de MIS examina el entorno de seguridad general de la firma, adems de controlar el
gobierno de los sistemas de informacin individuales. El auditor debe rastrear el flujo de transacciones
de ejemplo
a travs del sistema y realizar pruebas, mediante el uso (si es apropiado) de software de auditora
automatizado. La auditora de MIS tambin puede examinar la calidad de los datos.
Las auditoras de seguridad revisan las tecnologas, los procedimientos, la documentacin, la
capacitacin y el personal. Una auditora detallada puede incluso simular un ataque o desastre para
evaluar la respuesta de la tecnologa, el personal de sistemas de informacin y los empleados de la
empresa.
La auditora lista y clasifica todas las debilidades de control; adems estima la probabilidad de su
ocurrencia. Despus evala el impacto financiero y organizacional de cada amenaza.

Administracin de la identidad y la autenticacin

Para obtener acceso a un sistema, es necesario que el usuario tenga autorizacin y
est autenticado. La autenticacin se refiere a la habilidad de saber que una persona es quien dice ser.
La forma ms comn de establecer la autenticacin es mediante el uso de contraseas que slo
conocen los usuarios autorizados. Un usuario final utiliza una contrasea para iniciar sesin en un
sistema computacional y tambin puede usar contraseas para acceder a sistemas y archivos
especficos.
Un token es un dispositivo fsico, similar a una tarjeta de identificacin, que est diseado para
demostrar la identidad de un solo usuario. Los tokens son pequeos gadgets que por lo general se
colocan en los llaveros y muestran cdigos de contrasea que cambian con frecuencia. Una tarjeta
inteligente es un dispositivo con un tamao aproximado al de una tarjeta de crdito, que contiene un
chip formateado con permiso de acceso y otros datos.
La autenticacin biomtrica usa sistemas que leen e interpretan rasgos humanos individuales, como las
huellas digitales, el iris de los ojos y las voces, para poder otorgar o negar el acceso. La autenticacin
biomtrica se basa en la medicin de un rasgo fsico o del comportamiento que hace a cada individuo
nico.

FIREWALLS, SISTEMAS DE DETECCION DE INTRUSOS Y DE SOTWARE ANTIVIRUS

Firewalls
Los firewalls evitan que los usuarios sin autorizacin accedan a redes privadas. Un firewall es una
combinacin de hardware y software que controla el flujo de trfico de red entrante y saliente. Por lo
general se colocan entre las redes internas privadas de la organizacin y las redes externas que no son
de confianza como Internet, aunque tambin se pueden utilizar firewalls para proteger una parte de la
red de una compaa del resto de la red y sale de ella.
En organizaciones grandes, es comn que el firewall resida en una computadora designada de forma
especial y separada del resto de la red, de modo que ninguna solicitud entrante acceda de manera
directa a los recursos de la red privada. Existen varias tecnologas de filtrado de firewall, como el filtrado
de paquete esttico, la inspeccin con estado, la Traduccin de direcciones de red (NAT) y el filtrado de
proxy de aplicacin.
Se utilizan con frecuencia en combinacin para proveer proteccin de firewall.
El filtrado de paquetes examina ciertos campos en los encabezados de los paquetes de datos que van y
vienen entre la red de confianza e internet.
La inspeccin con estado provee una seguridad adicional al determinar si los paquetes forman parte de
un dialogo continuo entre el emisor y un receptos.
La traduccin de direcciones de red (NAT) puede proveer otra capa de proteccin cuando se emplean el
filtrado de paquetes estticos y la inspeccin con estado.
El filtrado de proxy de aplicacin examina el contenido de los paquetes relacionado con aplicaciones. Un
servidos proxy detiene los paquetes de datos que se originan fuera de la organizacin, los inspecciona y
pasa un proxy al otro lado del firewall

Sistemas de deteccin de intrusos

Los sistemas de deteccin de intrusos contienen herramientas de monitoreo de tiempo completo que
se colocan en los puntos ms vulnerables, o puntos activos de las redes corporativas, para detectar y
evadir a los intrusos de manera continua. El sistema genera una alarma si encuentra un evento
sospechoso o anormal.

Software antivirus y antispyware

El software antivirus est diseado para revisar los sistemas computacionales y las unidades en busca
de la presencia de virus de computadora. Por lo general, el software elimina el virus del rea infectada.
Sin embargo, la mayora del software antivirus es efectivo slo contra virus que ya se conocan a la hora
de escribir el software.

Sistemas de administracin unificada de amenazas

Para ayudar a las empresas a reducir costos y mejorar la capacidad de administracin, los distribuidores
de seguridad han combinado varias herramientas de seguridad en un solo paquete, que ofrece firewalls,
redes privadas virtuales, sistemas de deteccin de intrusos y software de filtrado de contenido Web y
antispam. Estos productos de administracin de seguridad completos se conocen como sistemas de
administracin
unificada de amenazas (UTM).

Cifrado e infraestructura de clave publica

Los dos mtodos para cifrar el trfico de red en Web son SSL y S-HTTP. La capa de sockets seguros (SSL)
y su sucesor, seguridad de la capa de transporte (TLS), permiten que las computadoras cliente y servidor
manejen las actividades de cifrado y descifrado a medida que se comunican entre s durante una sesin
Web segura. El protocolo de transferencia de hipertexto seguro (S-HTTP) es otro protocolo que se
utiliza para cifrar los datos que fluyen a travs de Internet, pero se limita a mensajes individuales,
mientras que SSL y TLS estn diseados para establecer una conexin segura entre dos computadoras.
cifrado de clave pblica utiliza dos claves: una compartida (o pblica) y otra por completo privada. Las
claves estn relacionadas en sentido matemtico, de modo que los datos cifrados con una clave se
puedan descifrar slo mediante la otra clave.
Los certificados digitales son archivos de datos que se utilizan para establecer la identidad de los
usuarios y los activos electrnicos para proteger las transacciones en lnea.

Los sistemas de computadora tolerantes a fallas contienen componentes redundantes de hardware,

software y suministro de energa que crean un entorno en donde se provee un servicio continuo sin
interrupciones. Las computadoras tolerantes a fallas utilizan rutinas especiales de software o lgica de
autocomprobacin integrada en sus circuitos para detectar fallas de hardware y cambiar de manera
automtica a un dispositivo de respaldo. Las piezas de estas computadoras se pueden quitar y reparar
sin
interrupciones en el sistema computacional. Hay que establecer la diferencia entre la tolerancia a fallas
y la computacin de alta disponibilidad. Tanto la tolerancia a fallas como la computacin de alta
disponibilidad
tratan de minimizar el tiempo de inactividad: periodos de tiempo en los que un sistema no est en
funcionamiento. Sin embargo, la computacin de alta disponibilidad ayuda a las firmas a recuperarse
con rapidez de un desastre en el sistema, mientras que la tolerancia a fallas promete tanto la
disponibilidad continua como la eliminacin del tiempo de recuperacin.

RESUMEN REPASO
1. Por qu son vulnerables los sistemas de informacin a la destruccin, el error y el abuso?
Los datos digitales son vulnerables a la destruccin, el mal uso, el error, el fraude y las fallas del
hardware
o software. Internet est diseada para ser un sistema abierto, por lo que hace a los sistemas
corporativos
internos ms vulnerables a las acciones de personas externas. Los hackers pueden desencadenar
ataques de negacin de servicio (DoS) o penetrar en las redes corporativas, provocando graves
interrupciones en los sistemas. Los intrusos pueden penetrar las redes Wi-Fi con facilidad mediante el
uso de programas husmeadores (sniffers) para obtener una direccin y acceder a los recursos de la red.
Los virus y gusanos de computadora pueden deshabilitar sistemas y sitios Web. La naturaleza dispersa
de la computacin en la nube dificulta el rastreo de la actividad no autorizada o la aplicacin de
controles desde lejos.
El software presenta problemas debido a que los errores o bugs de software pueden ser imposibles de
eliminar, y adems porque los hackers y el software malicioso pueden explotar sus vulnerabilidades. Los
usuarios finales introducen errores con frecuencia.
2. Cul es el valor de negocios de la seguridad y el control?
La falta de una seguridad y un control slidos puede hacer que las firmas que dependen de sistemas
computacionales para sus funciones bsicas de negocios pierdan ventas y productividad. Los activos de
informacin, como los registros confidenciales de los empleados, los secretos comerciales o los planes
de negocios, pierden gran parte de su valor si se revelan a personas externas o si exponen a la firma a
una
responsabilidad legal. Las nuevas leyes, como la HIPAA, la Ley Sarbanes-Oxley y la Ley Gramm-Leach-
Bliley requieren que las compaas practiquen una estricta administracin de los registros electrnicos y
se adhieran a estrictos estndares de seguridad, privacidad y control. Las acciones legales que requieren
evidencia electrnica y anlisis forense de sistemas tambin requieren que las firmas pongan ms
atencin a la seguridad y la administracin de sus registros electrnicos.
3. Cules son los componentes de un marco de trabajo organizacional para la seguridad y el control?
Las firmas necesitan establecer un buen conjunto de controles, tanto generales como de aplicacin,
para sus sistemas de informacin. Una evaluacin del riesgo se encarga de valorar los activos de
informacin, identifica los puntos de control y las debilidades del control, y determina el conjunto de
controles ms efectivo en costo. Las firmas tambin deben desarrollar una poltica de seguridad
corporativa coherente y planes para continuar las operaciones de negocios en caso de desastre o
interrupcin. La poltica de seguridad implica polticas de uso aceptable y administracin de identidad.
La auditora de MIS exhaustiva y sistemtica ayuda a las organizaciones a determinar la efectividad de la
seguridad y los controles para sus sistemas de informacin.
4. Cules son las herramientas y tecnologas ms importantes para salvaguardar los recursos de
informacin?
Los firewalls evitan que los usuarios no autorizados accedan a una red privada cuando est enlazada a
Internet. Los sistemas de deteccin de intrusos monitorean las redes privadas en busca de trfico de red
sospechoso o de intentos de acceder sin autorizacin a los sistemas corporativos. Se utilizan
contraseas, tokens, tarjetas inteligentes y autenticacin biomtrica para autenticar a los usuarios de
los sistemas.
El software antivirus verifica que los sistemas computacionales no estn infectados por virus y gusanos,
y a menudo elimina el software malicioso, mientas que el software antispyware combate los programas
intrusivos y dainos. El cifrado, la codificacin y encriptacin de mensajes, es una tecnologa muy
utilizada para proteger las transmisiones electrnicas a travs de redes desprotegidas. Los certificados
digitales en combinacin con el cifrado de clave pblica proveen una proteccin ms efectiva a las
transacciones electrnicas, al autenticar la identidad de un usuario. Las compaas pueden usar sistemas
computacionales tolerantes a fallas o crear entornos de computacin de alta disponibilidad para
asegurar que sus sistemas de informacin siempre estn disponibles. El uso de la mtrica de software y
las pruebas rigurosas de software ayuda a mejorar la calidad y confiabilidad del software.

CAPITULO 11
Administracin del conocimiento
Dimensiones importantes del conocimiento
Datos: Flujo de eventos o transacciones capturadas por los sistemas de una organizacin, que por s
solos, son tiles para realizar transacciones y nada ms. Para convertir datos en informacin til, una
firma debe gastar recursos para organizarlos en categoras de comprensin. Para transformar la
informacin en conocimiento, una firma debe gastar recursos adicionales para descubrir patrones,
reglas y contextos en donde funcione el conocimiento.
La sabidura se considera como la experiencia colectiva e individual de aplicar el conocimiento a la
solucin de problemas. La sabidura implica donde, cuando y como aplicar el conocimiento.
El conocimiento que reside en las mentes de los empleados y que carece de documentacin se
denomina Conocimiento tcito, mientras que el documentado se denomina conocimiento explcito.

La Cadena de valor de administracin del conocimiento

La administracin del conocimiento se refiere al conjunto de procesos de negocios que se desarrollan en
una organizacin para crear, almacenar, transferir y aplicar el conocimiento. La administracin del
conocimiento aumenta la habilidad de la organizacin de aprender de su entorno y de incorporar el
conocimiento en sus procesos de negocios.
La siguiente figura ilustra los cinco pasos para agregar valor en la cadena de valor de administracin del
conocimiento. Cada etapa en la cadena de valor agrega valor de administracin del conocimiento. Cada
etapa en la cadena de valor agrega valor a los datos puros y a la informacin, a medida que se
transforman en conocimiento utilizable.
 Adquisicin del conocimiento: las organizaciones adquieren conocimiento al desarrollar redes
de expertos en lnea, de modo que los empleados puedan encontrar al experto en la compaa
que tenga el conocimiento en la cabeza. Las firmas deben crear nuevo conocimiento mediante
el hallazgo de patrones en los datos corporativos, o el uso de estaciones de trabajo del
conocimiento, en donde los ingenieros pueden descubrir nuevo conocimiento.
Almacenamiento del conocimiento: por lo general, el almacenamiento del conocimiento
implica la creacin de una base de datos. Los sistemas de administracin de documentos que
digitalizan, vinculan y etiquetan documentos de acuerdo con un marco de trabajo coherente
son las grandes bases de datos expertas en almacenar colecciones de documentos.
Diseminacin del conocimiento: los programas de capacitacin, las redes informales y la
experiencia gerencial compartida que se comunican a travs de una cultura de apoyo, ayudan a
los gerentes a enfocar su atencin en el conocimiento y la informacin relevantes.
Aplicacin del conocimiento: el conocimiento que no se comparte y aplica a los problemas
prcticos que enfrentan las firmas y los gerentes no agrega valor de negocios. El conocimiento
organizacional se debe convertir en una parte sistemtica de la toma de decisiones gerenciales
y ubicarse en los sistemas de soporte de decisiones

Creacin de capital organizacional y gerencial: colaboracin, comunidades de practica y

entornos de oficina
Adems de las actividades anteriores, los gerentes pueden ayudar mediante el desarrollo de
nuevos roles y responsabilidades organizacionales para la adquisicin del conocimiento, como
la creacin de puestos ejecutivos de directores del conocimiento, puestos de personal dedicado
y comunidades de prctica.
Las comunidades de practica (COP) son redes sociales informales de personal competente y
empleados dentro y fuera de la firma, que tienen actividades e intereses similares relacionados
con el trabajo.
Las COP pueden facilitar la reutilizacin del conocimiento al dirigir a los miembros comunitarios
hacia documentos tiles, crear almacenes de documentos y filtrar la informacin para los
recin llegados.

Tipos de sistemas de administracin del conocimiento

- Los sistemas de administracin del conocimiento a nivel empresarial son esfuerzos de
propsito general a nivel de toda la firma para recolectar, almacenar, distribuir y aplicar
tanto contenido como conocimiento digita. Estos sistemas ofrecen herramientas para
buscar informacin, almacenar datos estructurados y no estructurados, as como localizar
empleados expertos dentro de la firma
 - Los sistemas de trabajo del conocimiento son sistemas especializados creados para
ingenieros, cientficos y otros trabajadores del conocimiento encargados de descubrir y
crear nuevo conocimiento para una compaa.
La administracin del conocimiento tambin incluye un grupo de diversas tcnicas
inteligentes como la minera de datos, los sistemas expertos, las redes neurales, la lgica
difusa, los algoritmos genticos y los agentes inteligentes.

Sistemas de administracin del conocimiento a nivel empresarial

Sistemas de administracin de contenido empresarial
El conocimiento estructurado es conocimiento explicito que existe en los documentos y las reglas
formales que producen las organizaciones al observar a los expertos y sus comportamientos para tomar
decisiones.
Los sistemas de administracin de contenido empresarial ayudan a las organizaciones a administrar
informacin. Tienen herramientas para capturar, almacenar, distribuir y preservar el conocimiento, de
modo que las firmas pueden mejorar sus procesos de negocios y sus decisiones. Dichos sistemas tienen
almacenes corporativos de documentos, informes, presentaciones y mejoras prcticas, as como
herramientas para recolectar y organizar el conocimiento semiestructurado.
Sistemas de redes de conocimiento
Los sistemas de redes de conocimiento, tambin conocidos como sistemas de ubicacin y
administracin de la pericia, se enfrentan al problema que surge cuando el conocimiento apropiado no
est en forma de documento digital, sino que reside en la memoria de individuos expertos en la firma.
Estos sistemas proveen un directorio en lnea de expertos corporativos en dominios del conocimiento
bien definidos, y utilizan las tecnologas de comunicaciones para facilitar a los empleados el proceso de
buscar el experto apropiado en una compaa.

Herramientas de colaboracin y sistemas de administracin del aprendizaje

Los marcadores sociales facilitan los procesos de buscar y compartir informacin al permitir a los
usuarios guardar sus marcadores de pginas web en un sitio web pblico, adems de que pueden
etiquetar estos marcadores con palabras clave.
Las compaas necesitan formas de administrar y mantener el registro del aprendizaje de los
empleados, para integrarlo de una forma ms completa a sus sistemas de administracin del
conocimiento y los dems sistemas corporativos. Un sistema de administracin del aprendizaje (LMS)
provee herramientas para administrar, ofrecer, rastrear y evaluar los diversos tipos del aprendizaje y
capacitacin para los empleados.

Sistemas de trabajo del conocimiento

Trabajadores del conocimiento y trabajo del conocimiento
Los trabajadores del conocimiento crean nuevos productos o buscan formas de mejorar a los existentes.
Tambin realizan tres funciones clave que son crticas para la organizacin y los gerentes que trabajan
dentro de la organizacin:
Mantener la organizacin actualizada en el conocimiento.
Servir como consultores internos en relacin con las reas de su conocimiento, los cambios que
se estn llevando a cabo y las oportunidades
Actuar como agentes del cambio, evaluar, iniciar y promover proyectos de cambio

Ejemplos de sistemas de trabajo del conocimiento

El diseo auxiliado por computadora (CAD) automatiza la creacin y revisin de diseos, mediante el uso
de computadoras y software de grficos sofisticado. Si se utiliza una metodologa de diseo fsico ms
tradicional, cada vez que se modifique el diseo hay que crear un molde y un prototipo para realizar
pruebas fsicas. Al usar una estacin de trabajo CAD, el diseador silo tiene que crear un prototipo fsico
casi al final del proceso de diseo, ya que este se puede probar y modificar con facilidad en la
computadora.
Los sistemas de realidad tienen capacidades de visualizacin, renderizacin y simulacin que van ms
all de los sistemas CAD convencionales. Usan software de grficos interactivo para crear simulaciones
generadas por computadora, las cuales estn cerca de la realidad que los usuarios casi creen que estn
participando en una situacin del mundo real.
La realidad aumentada (AR) es una tecnologa relacionada para mejorar la visualizacin. La AR ofrece
una vista en vivo directa o indirecta de un entorno fsico del mundo real, cuyos elementos estn
aumentados mediante imgenes virtuales generadas por computadora.
VRLM: Conjunto de especificaciones para modelado interactivo en 3D en WWW, el cual puede organizar
varios tipos de medios, entre ellos animaciones, imgenes y audio para poner a los usuarios en un
entorno simulado del mundo real.

Tcnicas inteligentes
La tecnologa de la inteligencia artificial (AI) consiste en sistemas basados en computadora que tratan de
emular el comportamiento humano.

Sistemas expertos
Los sistemas expertos son una tcnica inteligente para capturar el conocimiento tcito en un dominio
muy especfico y limitado de la pericia humana. Estos sistemas capturan el conocimiento de los
empleados calificados en forma de un conjunto de reglas en un sistema software que pueden usar los
dems empleados en la organizacin.
Cmo Funcionan?
Los sistemas expertos modelan el conocimiento humano como un conjunto de reglas que, en forma
colectiva, se conocen como BASE DEL CONOCIMIENTO.
La estrategia que utilizan para buscar a travs de la base del conocimiento se conoce como MOTOR DE
INTERFERENCIA. Por lo general se utilizan dos estrategias
- Encadenamiento hacia adelante: el motor de interferencia empieza con la informacin que
introduce el usuario y busca en la base de reglas para llegar a una conclusin. La estrategia
es activar o llevar a cabo la accin de la regla cuando una condicin es verdadera
- El encadenamiento hacia atrs, la estrategia para buscar en la base de reglas empieza con
una hiptesis y continua con una serie de preguntas para el usuario sobre los hechos
seleccionados hasta que la hiptesis se comprueba o refuta.

Inteligencia organizacional: Razonamiento con base en el caso

En El razonamiento con base en el caso(CBR), las descripciones de las experiencias pasadas
de los especialistas humanos, que se representan como casos, se almacenan en una base
de datos para recuperarlas despus, cuando el usuario se encuentre con un nuevo caso
que tenga parmetros similares. El sistema busca los casos almacenados con caractersticas
de problemas similares al nuevo, encuentra el esquema se ajuste y aplica las soluciones del
caso antiguo al nuevo.

Sistemas de lgica difusa

La lgica difusa es una tecnologa basada en normas que puede representar dicha
impresin mediante la creacin de reglas que utilicen valores aproximados o subjetivos.
Puede describir un fenmeno o proceso especifico en un sentido lingstico y despus
representar esa descripcin en un pequeo nmero de reglas flexibles. Las organizaciones
pueden usar la lgica difusa para crear sistemas de software que capturen el conocimiento
tcito en donde haya ambigedad lingstica.

Redes neuronales
Las redes neuronales se utilizan para resolver problemas complejos y malentendidos, para
los que se han recolectado grandes cantidades de datos. Buscan patrones y relaciones en
cantidades masivas de datos cuyo anlisis sera demasiado complicado y difcil para un
humano. Las redes neuronales descubren este conocimiento mediante el uso de hardware
y software que se asemejan a los patrones de procesamiento del cerebro biolgico
humano. Las redes neuronales aprenden patrones de grandes cantidades de datos al
escudriar los datos buscar relaciones, crear modelos y corregir una y otra vez los propios
errores del modelo.
Aprendizaje de mquina: tecnologa que se enfoca en los algoritmos y mtodos
estadsticos que permiten a las computadoras aprender al extraer reglas y patrones de
conjuntos masivos de datos y realizar predicciones sobre el futuro.
 Algoritmos genticos
Los algoritmos genticos son tiles para encontrar la solucin ptima a un problema
especfico mediante el anlisis de una gran cantidad de posibles soluciones para ese
problema. Se basan en las tcnicas inspiradas por la biologa evolucionaria, como la
herencia, mutacin, seleccin y cruce.
Sistemas de AI hbridos
Los algoritmos genticos, la lgica difusa, las redes neurales y los sistemas expertos se
pueden integrar en una sola aplicacin para aprovechar las mejores caractersticas de
todas estas tecnologas. Dichos sistemas se conocen como sistemas de AI hbridos.
Agentes inteligentes
Los agentes inteligentes son programas de software que trabajan en segundo plano sin
intervencin directa por parte de los humanos, que llevan a cabo tareas especficas,
repetitivas y predecibles para un usuario individual, proceso de negocios o aplicacin de
software. El agente utiliza una base de conocimientos limitada, integrada o aprendida, para
realizar tareas o tomar decisiones a beneficio del usuario, como eliminar el correo
electrnico basura, programas citas o viajar a travs de redes interconctales para
encontrar la tarifa area ms econmica.

RESUMEN REPASO
1. Cul es la funcin que desempean la administracin del conocimiento y los programas de
administracin
del conocimiento en los negocios?
La administracin del conocimiento es un conjunto de procesos para crear, almacenar, transferir y
aplicar
conocimiento en la organizacin. Gran parte del valor de una firma depende de su habilidad para crear y
administrar el conocimiento. La administracin del conocimiento promueve el aprendizaje
organizacional
al incrementar la habilidad de la organizacin de aprender de su entorno y al incorporar el conocimiento
en sus procesos de negocios. Existen tres tipos principales de sistemas de administracin del
conocimiento: sistemas de administracin del conocimiento a nivel empresarial, sistemas de trabajo del
conocimiento y tcnicas inteligentes.
2. Qu tipos de sistemas se utilizan para la administracin del conocimiento a nivel empresarial y
cmo proveen
valor para las empresas?
Los sistemas de administracin del conocimiento a nivel empresarial son esfuerzos a nivel de toda la
empresa para recolectar, almacenar, distribuir y aplicar tanto el contenido digital como el conocimiento.
Los sistemas de administracin de contenido empresarial proveen bases de datos y herramientas para
organizar y almacenar documentos estructurados y herramientas para organizar y almacenar el
conocimiento
semiestructurado, como el correo electrnico o los medios enriquecidos. Los sistemas de red del
conocimiento proveen directorios y herramientas para localizar a los empleados de la firma con pericia
especial, quienes son una fuente importante de conocimiento tcito. A menudo estos sistemas
contienen herramientas de colaboracin en grupo (como wikis y marcadores sociales), portales para
simplificar el acceso a la informacin, herramientas de bsqueda y herramientas para clasificar
informacin con base en una taxonoma apropiada para la organizacin. Los sistemas de administracin
del conocimiento a nivel empresarial pueden proveer un valor considerable si estn bien diseados y
permiten a los empleados localizar, compartir y usar el conocimiento de una manera ms eficiente.
3. Cules son los principales tipos de sistemas de trabajo del conocimiento y cmo proveen valor para
las firmas?
Los sistemas de trabajo del conocimiento (KWS) soportan la creacin de nuevo conocimiento y su
integracin
en la organizacin. Los KWS requieren de un fcil acceso a una base de conocimiento externa; de un
poderoso hardware computacional que pueda dar soporte al software con grficos intensivos, anlisis,
administracin de documentos y herramientas de comunicacin, y una interfaz amigable para el
usuario.
Los sistemas de diseo auxiliado por computadora (CAD), las aplicaciones de realidad aumentada y los
sistemas de realidad virtual, los cuales crean simulaciones interactivas que se comportan como el
mundo
real, requieren grficos y poderosas capacidades de modelado. Los KWS para los profesionales
financieros
proveen el acceso a las bases de datos externas y la habilidad de analizar cantidades masivas de datos
financieros con mucha rapidez.
4. Cules son los beneficios de negocios al usar tcnicas inteligentes para administrar el
conocimiento?
La inteligencia artificial carece de la flexibilidad, amplitud y generalidad de la inteligencia humana, pero
se puede utilizar para capturar, codificar y extender el conocimiento organizacional. Los sistemas
expertos
capturan el conocimiento tcito a partir de un dominio limitado de pericia humana y expresan ese
conocimiento en forma de reglas. Los sistemas expertos son muy tiles para los problemas de
clasificacin o diagnosis. El razonamiento con base en el caso representa el conocimiento organizacional
como una base de
datos de casos que se pueden expandir y refinar de manera continua.
La lgica difusa es una tecnologa de software para expresar el conocimiento en forma de reglas que
utilizan
valores aproximados o subjetivos. La lgica difusa se ha utilizado para controlar dispositivos fsicos y
empieza a utilizarse para las aplicaciones de toma de decisiones limitadas.
Las redes neurales consisten de hardware y software que intenta imitar los procesos del pensamiento
del
cerebro humano. Las redes neurales son notables por su habilidad de aprender sin programacin y de
reconocer patrones que los humanos no puedan describir con facilidad. Se utilizan en ciencias, medicina
y
negocios para discriminar patrones en cantidades masivas de datos.
Los algoritmos genticos desarrollan soluciones para problemas especficos mediante el uso de procesos
con bases genticas, como adecuacin, cruce y mutacin. Los algoritmos genticos estn empezando a
aplicarse a problemas que involucran la optimizacin, el diseo de productos y el monitoreo de sistemas
industriales en donde se deben evaluar muchas alternativas o variables para generar una solucin
ptima.
Los agentes inteligentes son programas de software con bases del conocimiento integradas o
aprendidas
que llevan a cabo tareas especficas, repetitivas y predecibles para un usuario individual, proceso de
negocios
o aplicacin de software. Los agentes inteligentes se pueden programar para navegar a travs de
grandes
cantidades de datos para localizar informacin til y, en algunos casos, actuar con base en esa
informacin a beneficio del usuario.