Upload File

cómo protegermejor tu empresa de posibles ataques

  • Home
  • Documents
  • Cómo protegermejor tu empresa de posibles ataques
2
¿Qué pasos debes dar? Seguridad informática CóMO PROTEGER MEJOR TU EMPRESA DE POSIBLES ATAQUES El robo de información y las fallas de seguridad parecen una realidad lejana para Chile, pero no lo es. Por este motivo para los negocios, seguridad informática significa respaldar la documentación vital, además de cuidar su capital más valioso después del personal. Sin embargo, es una tarea que resulta cada vez más difícil, sobre todo en las organizaciones y emprendedores que no cuentan con el equipo humano calificado e infraestructura necesaria para poder hacerlo. Esta misión es posible manejando un esquema de resguardo por capas y cuanto más layers, mejor. “Pongamos como ejemplo una cebolla, la cual está formada por varias capas e imaginemos que en el centro está la información crítica que debemos proteger. Así, si alguien trata de acceder a ella, deberá pasar por “n” controles (capas) antes de llegar a su objetivo. De esta manera reducimos el riesgo de intromisiones a nuestra documentación”, explica Kenneth Tovar, regional product manager Security Solutions de Level 3. Concientizar al personal: Concientizar al personal: en temas de seguridad de la información, ya que el elemento humano es el más propenso a generar este tipo de inconvenientes, ya sean voluntarios e involuntarios, porque si no se está lo suficientemente sensibilizado respecto a los riesgos actuales, se puede ser engañado para obtener información, lo cual no se puede hacer con una maquina o un PC, porque no es consciente. Históricamente, el ser humano ha sido considerado el eslabón más débil en seguridad. Además, sino se les prepara de forma adecuada será muy difícil estar poder superar los desafíos de seguridad en la actualidad 1 º Alinear la tecnología a los objetivos del negocio: esto se logra, identificando los activos de información y catalogándolos por criticidad para saber qué es lo que se va a proteger y dónde se realizará la inversión. 2 º Conformar un comité de seguridad: en el cual participe tanto personal del negocio como de la parte operativa. 3 º Plan de recuperación ante desastres: se define como aquel que permite poner al negocio operativo tras algún desastre que haya afectado la continuidad del mismo. El paso fundamental al desarrollar un DRP (por sus siglas en inglés) es efectuar un análisis integral de riesgos. Esto con la finalidad de plantearse todos los posibles casos que pudieran ocurrir y que afecten el funcionamiento de la empresa. Habiendo identificado los escenarios, se deben elaborar las acciones detalladas que permitan poner en operación nuevamente al negocio. 4 º A nivel de políticas y personas: Independientemente de que se trate de una institución financiera, universidad, estudio de abogados o un centro de investigación, se deben cumplir ciertos requisitos, dependiendo del impacto que signifique un robo de información. A continuación te damos los pasos a seguir para que lo puedas prevenir. Por Jorge Ricci Avalos Asesoría: Kenneth Tovar, regional product manager Security Solutions de Level 3 36 paso a paso

Upload: jorge-ricci

Post on 16-Mar-2016

217 views

Category:

Documents


1 download

Report

DESCRIPTION

Independientemente de que se trate de una institución financiera, universidad, estudio de abogados o un centro de investigación, se deben cumplir ciertos requisitos, dependiendo del impacto que signifique un robo de información. A continuación te damos los pasos a seguir para que lopuedas prevenir.

TRANSCRIPT

Page 1: Cómo protegermejor tu empresa de posibles ataques

¿Qué pasos debes dar?

Seguridad informática

Cómo proteger mejor tu

empresa de posibles ataques

El robo de información y las fallas de seguridad parecen una realidad lejana para Chile, pero no lo es. Por este motivo para los negocios, seguridad informática significa respaldar la documentación vital, además de cuidar su capital más valioso después del personal. Sin embargo, es una tarea que resulta cada vez más difícil, sobre todo

en las organizaciones y emprendedores que no cuentan con el equipo humano calificado e infraestructura necesaria para poder hacerlo.

Esta misión es posible manejando un esquema de resguardo por capas y cuanto más layers, mejor. “Pongamos como ejemplo una cebolla, la cual está

formada por varias capas e imaginemos que en el centro está la información crítica que debemos proteger. Así, si alguien trata de acceder a ella, deberá pasar por “n” controles (capas) antes de llegar a su objetivo. De esta manera reducimos el riesgo de intromisiones a nuestra documentación”, explica Kenneth Tovar, regional product manager Security Solutions de Level 3.

Concientizar al personal: Concientizar al personal: en temas de seguridad de la información, ya que el elemento humano es el más propenso a generar este tipo de inconvenientes, ya sean voluntarios e involuntarios, porque si no se está lo suficientemente sensibilizado respecto a los riesgos actuales, se puede ser engañado para obtener información, lo cual no se puede hacer con una maquina o un PC, porque no es consciente. Históricamente, el ser humano ha sido considerado el eslabón más débil en seguridad. Además, sino se les prepara de forma adecuada será muy difícil estar poder superar los desafíos de seguridad en la actualidad

1ºAlinear la tecnología a los objetivos del negocio: esto se logra, identificando los activos de información y catalogándolos por criticidad para saber qué es lo que se va a proteger y dónde se realizará la inversión.

2ºConformar un comité de seguridad: en el cual participe tanto personal del negocio como de la parte operativa.

Plan de recuperación ante desastres: se define como aquel que permite poner al negocio operativo tras algún desastre que haya afectado la continuidad del mismo. El paso fundamental al desarrollar un DRP (por sus siglas en inglés) es efectuar un análisis integral de riesgos. Esto con la finalidad de plantearse todos los posibles casos que pudieran ocurrir y que afecten el funcionamiento de la empresa. Habiendo identificado los escenarios, se deben elaborar las acciones detalladas que permitan poner en operación nuevamente al negocio.

A nivel de políticas y personas:

Independientemente de que se trate de una institución financiera, universidad, estudio de abogados o un centro de investigación, se deben cumplir ciertos requisitos, dependiendo del impacto que signifique un robo de información. A continuación te damos los pasos a seguir para que lo puedas prevenir. Por Jorge Ricci AvalosAsesoría: Kenneth Tovar, regional product manager Security Solutions de Level 3

36

paso a paso

Page 2: Cómo protegermejor tu empresa de posibles ataques

A nivel de aplicación:

A nivel de red:

Aplicar políticas de seguridad: las que pueden estar basadas en normas y mejores prácticas internacionales. Medidas que se pueden encontrar en las normas ISO 27001, PCI DSS y SOx.

Seguridad: la cual debe ser medida en PC’s, laptops, servidores, software antivirus, Host IPS, Test de Vulnerabilidades, Control de Acceso. Cada punto mencionado pertenece a una capa de protección/seguridad y a medida que los hackers se van acercando a la información, van atravesando una y otra barrera por lo que los usuarios permitidos y los que no tienen acceso estarán más cerca de los datos críticos que se están resguardando.

Test de vulnerabilidades: debe ser realizado a través de especialistas, en el cual por medio de herramientas y personal especializado en técnicas de hacking analizan cada uno de los servidores críticos que tenga el cliente en la red para identificar el nivel de riesgo ante el cual se encuentran expuestos. Esta prueba es similar a hacer un análisis para identificar por dónde puede entrar algún intruso a un edificio, escenario del cual se entrega un informe con las recomendaciones para implementar mecanismos de control y protección.

1ºDatos y recursos: finalmente en la última capa, el usuario autorizado (o el intruso no autorizado) llegó a la información crítica que queríamos proteger. Entonces lo que queda es aplicar mecanismos de protección a este nivel como -por ejemplo- herramientas de control de la integridad de la información (validan que los datos no hayan sido modificados sin autorización), soluciones de cifrado que soliciten -incluso- a este nivel credenciales de acceso para “descifrar” la información y su posible acceso.

2ºRealizar auditorías de seguridad: éstas deben ser permanentes y donde se tiene que hacer un análisis de vulnerabilidades o test de penetración, realizados por terceros, situación que permita simular un ataque.

2º 3º

5º 6ºDesarrollar aplicaciones seguras desde su origen: los desarrolladores o programadores normalmente consideran la parte funcional y la visual de la aplicación. Sin embargo, ellos descuidan muchas veces los temas de seguridad, por lo que las aplicaciones suelen tener muchos huecos o vulnerabilidades. Por eso lo aconsejable es ponerlas en marcha contemplando la parte de seguridad desde su concepción y realizar ethical hacking o test de vulnerabilidades de forma periódica para detectar estos huecos y poder corregirlos.

Monitoreo: acción que se debe ejecutar de manera permanente. Esto es una revisión y seguimiento de los equipos de seguridad y de las alertas que éstos generan (Security Operation Center). Acción que debe ser ejecutada por un analista de seguridad informática, que en muchas ocasiones es el jefe de esta área en las empresas.

Red interna: en caso de que posibles atacantes pudieran haber burlado los controles perimetrales aprovechando alguna vulnerabilidad en esta parte, se debe poner una siguiente capa de seguridad que permita detectar a estos intrusos, pero también permite saber si los usuarios que consiguieron pasar son -efectivamente- los visados, además posibilita identificar si existen nuevas deficiencias de los servidores internos que haya que subsanar.

Perímetro o la zona externa: es por donde los usuarios ingresan a nuestras redes (a través de internet). Es el área donde se deberían ubicar los “muros” que protejan el acceso a nuestra oficina contra intrusos y sólo dejar “puertas” para que puedan entrar determinadas personas autorizadas, a través de la adopción de sistemas de control de ingreso perimetrales (Firewalls Perimetrales), sistemas de control de acceso a páginas web, antispam y de antivirus de red, entre otros elementos.

4ºMonitoreo: acción permanente de los equipos de seguridad y de las alertas que éstos generan (Security Operation Center).

37


UT2-1 ATAQUES Y CONTRAMEDIDAS PERSONALES · Seguridad y Alta Disponibilidad 3. ATAQUES 3.1. Ataques contra sistemas de contraseñas 15. 3. ATAQUES 3.1. Ataques contra sistemas de

Ataques en Voip

Building your security - SAPROMIL - Sistema de Aprovechamiento de ... · Los test de penetración son pruebas de ataques informáticos controladas, para poder ver las posibles vulnerabilidades

Ataques Cardiacos

Ataques Web

Un agradecimiento especial al Instituto para la Salud ... · Pregúntale a tu doctor sobre posibles maneras . de reducir tu riesgo de diabetes. Conoce tu historial familiar de diabetes

Ataques informaticos

Ataques client side exploitation

Ataques Informáticos

ATAQUES A CONTRASEÑAS

DE SUPERVIVENCIA EN INTERNETceipsantacatalina.centros.educa.jcyl.es/sitio/... · configurado, para evitar ataques a tu ordenador desde Internet. Aprende cómo hacerlo dependiendo

Ataques en Artes Marciales

Cómo configurar una red wi fi segura y protegerla ante posibles ataques de red, captura e inyección de paquetes

Diseo e implementacin de un SGSI, para la proteccin de los ...mendillo.info/seguridad/tesis/Camacho.pdf · combatirlos y defender de posibles ataques informáticos a las instituciones

Ataques y vulnerabilidades

Checklist de ciberseguridad · Checklist de ciberseguridad Comprueba si tu empresa está preparada para superar posibles ataques de seguridad informática: ¿ T u e m p r e s a i

Ataques Aplicaciones Web

Ataques Capa 3

Ataques informáticos históricos

Tipos de Ataques Informaticos

Tema 3 ataques

Ataques más comunes

Intel Security - Ciber Ataques

Ataques psiquicos

Ataques XSS en Gruyere

Ataques Al Rey

Ajedrez Partidas ataques

Ataques y contramedidas

Ataques Periodistas 2014

3 Proteccion Contra Ataques

CONTROL DE ATAQUES INFORMATICOS 10 ATAQUES INFORMATICOS COMO LO CONTROLAMOS

Mesa El artista como viajero del tiempo...directores de Hollywood en busca de asesoría para imaginar posibles escenarios terroristas como una medida preventiva ante futuros ataques

C19721220_20 (Ataques PJ)

Ataques a Aplicaciones Web

Ataques Y Vulnerabilidad