Seguridad de la Información en las empresas

Víctor Andrés Ochoa CorreaEsp. Seg de la Información

Seguridad Informática es el proceso de prevenir y detectar el uso no autorizado de las computadoras.

“La Seguridad Informática es un proceso continuo, donde la condición de los controles de la institución es apenas un indicador de su postura de seguridad”. [FFIEC Information Security IT Examination Handbook, Diciembre de 2002].

Un sistema de información se considera seguro si se encuentra libre de todo riesgo y daño, pero es imposible garantizar la seguridad o la inviolabilidad absoluta de un sistema informático.

En el libro [Moron Lerma, Esther, (2002), Internet y derecho penal: Hacking y otras conductas ilícitas en la red. Editorial Aranzadi S.A] se sugiere de preferencia utilizar el término fiabilidad.

¿Qué es la seguridad informática?

Fuente: Fundamentos de la Inseguridad de la Información, un enfoque pragmático – Ing. Armando Carvajal.

Son todas aquellas medidas preventivas y reactivas del las personas, de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información. 

El concepto de Seguridad de la Información no debe ser confundido con el de Seguridad Informática, ya que este último solo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diversos medios o formas. 

¿Qué es la seguridad de la información?

• Confidencialidad: Los recursos del sistema solo pueden ser accedidos por los elementos autorizados.

• Integridad: Los recursos del sistema solo pueden ser modificados o alterados por los elementos autorizados.

• Disponibilidad: Los recursos del sistema deben permanecer accesibles a los elementos autorizados.

Principios básicos de seguridad informática y de la información.

Fuente: Fundamentos de la Inseguridad de la Información, un enfoque pragmático – Ing. Armando Carvajal.

Características de una contraseña segura

Contraseñas inseguras

• La revista Wired, publica un análisis realizado por la web de seguridad Acunetix, sobre las contraseñas más comunes de hotmail:

– “123456”– “123456789”– “tequiero”– “alejandra”– “alberto”

• Con estas contraseñas ponemos en riesgo nuestra información

Fuente: http://www.wired.com/threatlevel/2009/10/10000-passwords

El correo electrónico

• La firma de seguridad Symantec reveló que los delincuentes informáticos venden los detalles de las cuentas personales de correo electrónico.

• Debemos tener Cuidado con el envió de Debemos tener Cuidado con el envió de información confidencial o personal por correo información confidencial o personal por correo electrónico.electrónico.

• Verificar el origen de los correos. • Verificar los archivos adjuntos.

Fuente: http://eguerrero.ghdeu.com/index.php?view=article&catid=50%3Anovedades&id=670%3Adel-inf-vend-cuent-correo&option=com_content&Itemid=101

Phishing• Cada vez son más comunes los casos.• Se suplanta la identidad de una persona conocida o

una institución.• Emplea Ingeniería social (Engaño o manipulación).• Busca robar nuestra información personal o instalar

software malicioso.• Se realiza por medio de correos, redes sociales o chats. • Por ejemplo: Caso Davivienda.

• Al abrir el enlace del mensaje, se abre una página similar a la del banco donde se piden datos personales.

• Dicha página es falsa y roba la información suministrada.

• Ante estos casos debemos ignorar dichos mensajes y reportarlos como phishing.

Phishing

• Recordemos que:– No debemos suministrar nunca información

personal que se pide por medio de correos electrónicos sospechosos.

– Para actualizar nuestros datos siempre debemos ingresar directamente a las páginas web autorizadas y conocidas. No por enlaces suministrados por diversos medios.

– Si tenemos dudas debemos consultar directamente con las entidades o personas responsables.

Phishing

Malware• Es software mal intencionado que puede ser

descargado desde internet y afectar nuestros equipos.

• Debemos ser cuidadosos con los archivos adjuntos que descargamos.

• Verificar siempre los archivos descargados con un antivirus.

• Existen varias clases de malware los cuales veremos a continuación:

MalwareVirus

Gusanos

TroyanosRootkits

Spyware Adware

Spam• Es el correo electrónico no deseado.• Primero generan listas de correos por varios medios:

– El envió de cadenas de mensajes, que por sus temáticas son reenviados y van generando listas de correos.

– Algunas páginas poco confiables donde suministramos información sobre nuestras cuentas de correo, venden dicha información a terceros.

– La información compartida libremente en redes sociales u otras páginas , puede ser empleada para estos fines.

• Por eso, en ocasiones nuestros correos electrónicos forman parte de dichas listas y recibimos spam.

Buenas prácticas de uso del correo electrónico.• Manejo de contraseñas seguras. • Verificar siempre la escritura de las direcciones de

correo.• Verificar que el remitente sea confiable.• Evitar abrir correos con mensajes en otros idiomas,

con frases o redacción, dudosa o confusa. • Enviar siempre los mensajes dirigidos a varias personas

con copia oculta. (Evitar el spam).• Evitar el reenvió de cadenas.• Evitar la descarga de archivos adjuntos de procedencia

desconocida o con extensiones .exe, .zip o .rar.

Riesgos al iniciar sesión con privilegios de administrador local• Se expone a todos los riesgos que involucra la descarga de software o aplicaciones.• En caso de descargar un malware, las repercusiones son mayores por el hecho de poseer mayores privilegios.• Se puede borrar o modificar información que no debe ser alterada.• Se puede alterar la configuración del equipo.• El usuario tiene mayor responsabilidad ante cualquier anomalía que se presente. • Por lo anterior por su seguridad utilice Por lo anterior por su seguridad utilice usuarios con privilegios limitados.usuarios con privilegios limitados.

Descarga de software o aplicaciones desde Internet• La mayoría son programas tipo Trial,

que permiten un determinado tiempo de uso. Después de este periodo conservar el software es ilegal.

• La utilización de aplicativos para uso personal o educativo y emplearlo de forma corporativa constituye una violación a las leyes.

• Algunos programas descargados desde internet poseen malware.

• Algunos violan los derechos de autor.

Dispositivos de almacenamiento externo

• Las memorias USB, también son uno de los medios por los cuales se transmite mayor cantidad de programas maliciosos.

• Debemos tener cuidado con los equipos en donde conectamos estos dispositivos.

• También con la información que almacenamos.• Utilicemos siempre el antivirus.

Copias de respaldo (Backups)• Para este propósito se cuenta con una SAN o Servidor de Archivos.

Ingrese al menú de inicio y seleccione la opción equipoIngrese a la ubicación de red con el nombre de su unidadIngrese a la carpeta que tiene su nombre y copie sus archivos

Clic o Enter para ver las instrucciones

Realice sus copias de respaldo frecuentementeSolo con archivos que contengan información institucional

Equipos desatendidos

• Siempre al levantarnos de nuestro puesto de trabajo debemos bloquear nuestro equipo de computo, para evitar que otras personas puedan acceder a nuestra información. •Debemos Pulsar simultáneamente (el Botón de Debemos Pulsar simultáneamente (el Botón de inicio + la tecla L) para bloquear nuestro equipo.inicio + la tecla L) para bloquear nuestro equipo.•O pulsar (Ctrl + alt + supr) y seleccionar la O pulsar (Ctrl + alt + supr) y seleccionar la opción bloquear equipo.opción bloquear equipo.•Al regresar introducimos nuevamente nuestra contraseña para continuar trabajando.

Equipos desatendidos

•Debemos procurar no dejar información o dispositivos que contengan información valiosa, sobre el escritorio.

Conectarnos a Redes conocidas .

• Prestar mucha atención a las redes a las que accedemos.

• Solo conectarnos a las redes propias. • Si no las conocemos preguntar a

soporte técnico. • Recuerde: Por las redes

desprotegidas, es muy fácil que nuestra información quede expuesta.

Leyes informáticas Colombianas• Algunas de las principales leyes informáticas en Colombia son:

• LEY ESTATUTARIA 1266 DEL 31 DE DICIEMBRE DE 2008: Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.

• LEY 1273 DEL 5 DE ENERO DE 2009: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

OTROS TIPS

• Políticas de seguridad• Firewall• Servidor de Actualización SO y programas IE, firefox, GC• Usa antivirus y aplicaciones anti-malware• Acostumbra a cerrar las sesiones al terminar• Evita operaciones privadas en redes abiertas y públicas• Realiza copias de seguridad• Sensibilizar al personal acerca de la Ing. Social• Seguridad WIFI WEP WPA WPA2• Etc …………….