taller de seguridad informática
If you can't read please download the document
DESCRIPTION
Presentación elaborada para compartir inquietudes y experiencias en el campo de la seguridad informática, orientada a la protección de datos individuales.TRANSCRIPT
Taller de seguridad informtica
Recomendaciones bsicas para un uso ms seguro de las computadoras.
Agenda
Por qu preocuparnos por la seguridad de los datos?
Conocer los riesgos a los datos.
Proteccin de la informacinUso adecuado de contraseas
Cerrar las puertas
Respaldos
Proteccin contra Malware
Seguridad fsica
Privaca en internet
Seguridad en el uso del correo electrnico
Por qu preocuparnos por la seguridad de los datos?
Por qu preocuparnos ...
La seguridad en la informacin plantea desafos nicos. Es difcil, en primer lugar, detectar un ataque contra los datos propios.
En segundo lugar, el dao causado por la filtracin de sus datos personales es generalmente imposible de deshacer. Una vez que sus atacantes conocen la informacin, no se puede recuperar.
Finalmente, los sistemas de tecnologa de la informacin son notoriamente complejos y se hallan en permanente cambio. Ni siquiera los tecnlogos ms lcidos conocen la funcin de cada programa en sus computadoras, o cmo puede explotarse la interaccin entre ese software e Internet.
Conocer los riesgos a los datos
Los datos pueden ser daados por virus, gusanos, troyanos, borrados accidentales, etc.
La informacin puede ser espiada a travs de programas especiales. Esto incluye programas que graban lo que se teclea.
Un atacante podra encontrar alguna contrasea, ganando acceso a un recurso protegido, como el correo, sistemas, archivos, etc.
Las comunicaciones pueden ser escuchadas.
Es posible saber la localizacin de un usuario de internet o de telefona.
Los equipos pueden ser hurtados.
Podramos estar compartiendo ms informacin de la que suponemos.
No olvidar los riesgos relacionados con el entorno: inundaciones, huracanes, tormentas elctricas, etc.
Finalmente, considerar las fugas de informacin y ataques internos.
Uso adecuado de contraseas
No existe la seguridad absoluta. Por ello, debe asumirse el riesgo de que una contrasea pueda ser adivinada por alguien. No usar las mismas contraseas para recursos distintos
Establecer contraseas difciles de determinar
Evitar datos personales o familiares como parte de las contraseas
No escribir las contraseas ni compartirlas
Renovar las contraseas peridicamente
Cerrar las puertas
Borrar el historial de navegacin, el cache y las cookies.
No dejar abiertas sesiones de trabajo, sea de correo web, de pginas protegidas con contrasea, de sistemas de informacin y redes sociales.
Bloquear la pantalla si el equipo no se usa en un tiempo dado (con proteccin por contrasea).
Usar contrasea para iniciar la sesin en el equipo.
De ser posible, proteger el arranque de la computadora con una contrasea.
Cuidarse del rastreo
Al navegar por internet o usar telefona celular, dejamos rastro de nuestra ubicacin, as como de los sitios que visitamos o los contactos con los cuales mantenemos comunicacin. Esto puede hacernos vulnerables a ataques por diversas razones: polticas, tecnolgicas, comerciales, etc.
Eliminar los metadatos de los archivos que se compartan. Estos incluyen, entre otras cosas, informacin de la ubicacin y la fecha en que se generaron, as como el equipo y programa empleados.
Evitar el uso de programas y sistemas operativos de los que se sabe que envan informacin a terceros, generalmente, sin nuestro conocimiento.
Pueden conocerse detalles de una fotografa, por ejemplo, usando un programa sencillo como imagemagick.Mat (Metadata Anonymisation Toolkit) permite evaluar rpidamente si un archivo, o una serie de archivos, contienen etiquetas que pudieran dar informacin que tal vez no quisiramos compartir. Tambin permite eliminar esa informacin adicional que viene en modo de etiquetas (tags).
Respaldos de informacin
Respaldar las listas de contactos de correo, archivos, fotografas, etc.
Procurar realizar varias copias y establecer un mecanismo de realizacin y guarda de respaldos.
Conservar al menos una copia fuera del lugar de trabajo.Ser necesario realizar un plan de respaldos que identifique qu se ha de respaldar, con qu frecuencia y en qu medios. Distintos archivos tendrn necesidades de respaldo diferentes.
Debe pensarse muy bien antes de recurrir a recursos virtuales (discos duros en internet). En particular, debe investigarse quin o quines estn detrs de esos recursos. Es preferible tener el control fsico de los respaldos y, de acuerdo con el nivel de criticidad de los datos, que estos respaldos estn cifrados.
Proteccin contra malware
El malware, o programas dainos, se refiere a virus, troyanos, programas espas, etc., que pueden ocasionar prdida de informacin, o permitir el acceso a nuestro equipo a algn hacker.Evitar el uso de Windows, o en su defecto, contar con un buen antivirus.
Usar cortafuegos (firewalls y y proxies).
Instalar las actualizaciones del sistema y los programas.
Nunca se puede estar seguro al 100%, pero s se puede reducir el nivel de vulnerabilidad del sistema.
Seguridad fsica
Si bien, no debe caerse en la paranoia, se debe considerar qu tanto se ha de restringir o permitir el acceso fsico a las computadoras, y evaluar la facilidad o dificultad para tener el acceso, al margen de las polticas definidas.No solo debe pensarse en la posibilidad de que se roben los equipos, sino en la de que les sean instalados programas o que tengan acceso a nuestra informacin.
Contraseas
No usar contraseas triviales (password, contrasea, xxxx, 1234, etc.)
No basar la contrasea en datos personales (RFC, CURP, iniciales, fecha de nacimiento, nombre de familiares, etc.)
Cambiar peridicamente las contraseas.
No compartir las contraseas
No escribir las contraseas en papeles o cuadernos que se porten.
Utilizar combinaciones de letras, nmeros, maysculas, minsculas y signos, o apoyarse en generadores de contraseas.
Usar contraseas de al menos ocho caracteres de longitud.
Generadores de contraseas en linux: pwgen, fpm2, agp
Privaca e internet
Qu tan seguros estn nuestros datos en internet?
Cuentas de correo gratuito
Redes sociales
Comunicaciones privadas o personales
Pjaros en los alambres
Es muy importante saber que entidades como el FBI, la CIA o sus subordinados (SEDENA, PGR, etc.) tienen acceso, por mandato jurdico o por convenio, a la informacin de recursos tales como Facebook, twitter, hotmail, yahoo, etc.Internet es un medio de comunicacin inseguro, en el sentido de que toda la informacin que viaja por la red puede ser vista por cualquiera con relativamente poco esfuerzo. De este modo, nuestras supuestas comunicaciones privadas, pueden no serlo sin que nosotros nos enteremos.
Privaca e internet
Usar herramientas alternas: pidgin en lugar de skype, riseup, en lugar de hotmail o yahoo,
Cifrar las comunicaciones (usar GPG o PGP para firmar o cifrar los mensajes de correo, emplear canales cifrados (SSL) para el manejo de mensajera instantnea.
Es muy importante saber que entidades como el FBI, la CIA o sus subordinados (SEDENA, PGR, etc.) tienen acceso, por mandato jurdico o por convenio, a la informacin de recursos tales como Facebook, twitter, hotmail, yahoo, etc.Internet es un medio de comunicacin inseguro, en el sentido de que toda la informacin que viaja por la red puede ser vista por cualquiera con relativamente poco esfuerzo. De este modo, nuestras supuestas comunicaciones privadas, pueden no serlo sin que nosotros nos enteremos.Se recomienda emplear clientes de correo como evolution o thunderbird y no los de Microsoft, pues contienen cdigo espa.
Uso del correo electrnico
Preferentemente, emplear correo propio. En su defecto, usar cuentas de servicios seguros y orientados a movimientos sociales, como riseup y firstmay
Ignorar mensajes provenientes de desconocidos y, menos an, reenviarlos.
Solo abrir los archivos adjuntos a los correos si se tiene certeza de su origen.
Procurar enviar mensajes en texto plano, no con formato HTML.
Cifrar, o al menos firmar digitalmente, los correos enviados.
Intercambiar llaves pblicas con los contactos, a fin de poder validar sus envos, o descifrarlos.
Evitar en lo posible anunciar en el asunto la informacin sensible que se comunica en el mensaje.
Si se reciben mensajes sospechosos provenientes de contactos conocidos, validar por otro medio su autenticidad. La cuenta pudo haber sido atacada.
El trmite de las cuentas en riseup requiere de dos cdigos de invitacin. Si no se tienen, se deber esperar un tiempo tal vez extenso a que la cuenta sea autorizada. Se deber justificar la solicitud explicando la participacin en activismo social.Prctica y ejemplos.
Uso de correo electrnico
Prctica