Seguridad de la Información en las
empresas
Víctor Andrés Ochoa Correa
Esp. Seg de la Información
¿Qué es la seguridad
informática?
Seguridad Informática es el proceso de prevenir y detectar el uso no autorizado
de las computadoras.
“La Seguridad Informática es un proceso continuo, donde la condición de los
controles de la institución es apenas un indicador de su postura de seguridad”.
[FFIEC Information Security IT Examination Handbook, Diciembre de 2002].
Un sistema de información se considera seguro si se encuentra libre de todo
riesgo y daño, pero es imposible garantizar la seguridad o la inviolabilidad
absoluta de un sistema informático.
En el libro [Moron Lerma, Esther, (2002), Internet y derecho penal: Hacking y
otras conductas ilícitas en la red. Editorial Aranzadi S.A] se sugiere de
preferencia utilizar el término fiabilidad.
Fuente: Fundamentos de la Inseguridad de la Información, un enfoque pragmático – Ing. Armando Carvajal.
¿Qué es la seguridad de la
información?
Son todas aquellas medidas preventivas y reactivas del
las personas, de las organizaciones y de los sistemas
tecnológicos que permiten resguardar y proteger la
información.
El concepto de Seguridad de la Información no debe ser
confundido con el de Seguridad Informática, ya que este
último solo se encarga de la seguridad en el medio
informático, pudiendo encontrar información en diversos
medios o formas.
Principios básicos de seguridad
informática y de la información.
• Confidencialidad: Los recursos del
sistema solo pueden ser accedidos por
los elementos autorizados.
• Integridad: Los recursos del sistema
solo pueden ser modificados o
alterados
por
los
elementos
autorizados.
• Disponibilidad: Los recursos del sistema
deben permanecer accesibles a los
elementos autorizados.
Fuente: Fundamentos de la Inseguridad de la Información, un enfoque pragmático – Ing. Armando Carvajal.
Características de una
contraseña segura
• Debe tener mínimo 8 caracteres.
• Combinación de:
– Letras mayúsculas y minúsculas (Aa-Zz).
– Números (0-1-2-3….-9).
– Caracteres alfanuméricos (*@#!).
• No debe utilizar palabras de diccionario.
• No debe utilizar números o nombres obvios.
Contraseñas inseguras
• La revista Wired, publica un análisis realizado por la web de
seguridad Acunetix, sobre las contraseñas más comunes de
hotmail:
–
–
–
–
–
“123456”
“123456789”
“tequiero”
“alejandra”
“alberto”
• Con estas contraseñas ponemos en riesgo nuestra
información
Fuente: http://www.wired.com/threatlevel/2009/10/10000-passwords
El correo electrónico
• La firma de seguridad Symantec reveló que los
delincuentes informáticos venden los detalles de
las cuentas personales de correo electrónico.
• Debemos tener Cuidado con el envió de
información confidencial o personal por correo
electrónico.
• Verificar el origen de los correos.
• Verificar los archivos adjuntos.
Fuente: http://eguerrero.ghdeu.com/index.php?view=article&catid=50%3Anovedades&id=670%3Adel-inf-vend-cuentcorreo&option=com_content&Itemid=101
Phishing
• Cada vez son más comunes los casos.
• Se suplanta la identidad de una persona conocida o
una institución.
• Emplea Ingeniería social (Engaño o manipulación).
• Busca robar nuestra información personal o instalar
software malicioso.
• Se realiza por medio de correos, redes sociales o
chats.
• Por ejemplo: Caso Davivienda.
Phishing
• Al abrir el enlace del mensaje, se abre una
página similar a la del banco donde se piden
datos personales.
• Dicha página es falsa y roba la información
suministrada.
• Ante estos casos debemos ignorar dichos
mensajes y reportarlos como phishing.
Phishing
• Recordemos que:
– No debemos suministrar nunca información
personal que se pide por medio de correos
electrónicos sospechosos.
– Para actualizar nuestros datos siempre debemos
ingresar directamente a las páginas web
autorizadas y conocidas. No por enlaces
suministrados por diversos medios.
– Si
tenemos
dudas
debemos
consultar
directamente con las entidades o personas
responsables.
Malware
• Es software mal intencionado que puede ser
descargado desde internet y afectar nuestros
equipos.
• Debemos ser cuidadosos con los archivos
adjuntos que descargamos.
• Verificar siempre los archivos descargados con
un antivirus.
• Existen varias clases de malware los cuales
veremos a continuación:
Malware
Virus
Rootkits
Gusanos
Spyware
Troyanos
Adware
Spam
• Es el correo electrónico no deseado.
• Primero generan listas de correos por varios medios:
– El envió de cadenas de mensajes, que por sus temáticas
son reenviados y van generando listas de correos.
– Algunas páginas poco confiables donde suministramos
información sobre nuestras cuentas de correo, venden
dicha información a terceros.
– La información compartida libremente en redes sociales u
otras páginas , puede ser empleada para estos fines.
• Por eso, en ocasiones nuestros correos electrónicos
forman parte de dichas listas y recibimos spam.
Buenas prácticas de uso del
correo electrónico.
• Manejo de contraseñas seguras.
• Verificar siempre la escritura de las direcciones de
correo.
• Verificar que el remitente sea confiable.
• Evitar abrir correos con mensajes en otros idiomas, con
frases o redacción, dudosa o confusa.
• Enviar siempre los mensajes dirigidos a varias personas
con copia oculta. (Evitar el spam).
• Evitar el reenvió de cadenas.
• Evitar la descarga de archivos adjuntos de procedencia
desconocida o con extensiones .exe, .zip o .rar.
Riesgos al iniciar sesión con
privilegios de administrador local
• Se expone a todos los riesgos que
involucra la descarga de software o
aplicaciones.
• En caso de descargar un malware, las
repercusiones son mayores por el hecho
de poseer mayores privilegios.
• Se
puede
borrar
o
modificar
información que no debe ser alterada.
• Se puede alterar la configuración del
equipo.
• El usuario tiene mayor responsabilidad
ante cualquier anomalía que se
presente.
• Por lo anterior por su seguridad utilice
usuarios con privilegios limitados.
Descarga de software o
aplicaciones desde Internet
• La mayoría son programas tipo Trial,
que permiten un determinado
tiempo de uso. Después de este
periodo conservar el software es
ilegal.
• La utilización de aplicativos para uso
personal o educativo y emplearlo de
forma corporativa constituye una
violación a las leyes.
• Algunos programas descargados
desde internet poseen malware.
• Algunos violan los derechos de autor.
Dispositivos de
almacenamiento externo
• Las memorias USB, también son uno de los medios
por los cuales se transmite mayor cantidad de
programas maliciosos.
• Debemos tener cuidado con los equipos en donde
conectamos estos dispositivos.
• También con la información que almacenamos.
• Utilicemos siempre el antivirus.
Copias de respaldo
(Backups)
• Para este propósito se cuenta con una SAN
o Servidor de Archivos.
Clic o Enter para ver las
instrucciones
Ingrese
Solo
Ingrese
Ingrese
acon
la carpeta
aarchivos
Realice
la
al ubicación
menú
que
que
sus
de
tiene
copias
contengan
inicio
de red
suynombre
de
seleccione
con
respaldo
información
el nombre
y copie
la
frecuentemente
opción
de
sus
institucional
su
archivos
equipo
unidad
Equipos desatendidos
• Siempre al levantarnos de nuestro puesto de
trabajo debemos bloquear nuestro equipo de
computo, para evitar que otras personas puedan
acceder a nuestra información.
•Debemos Pulsar simultáneamente (el Botón de
inicio + la tecla L) para bloquear nuestro equipo.
•O pulsar (Ctrl + alt + supr) y seleccionar la
opción bloquear equipo.
•Al regresar introducimos nuevamente nuestra
contraseña para continuar trabajando.
Equipos desatendidos
•Debemos procurar no dejar información o
dispositivos que contengan información
valiosa, sobre el escritorio.
Conectarnos a Redes
conocidas .
• Prestar mucha atención a las redes a
las que accedemos.
• Solo conectarnos a las redes propias.
• Si no las conocemos preguntar a
soporte técnico.
• Recuerde: Por las redes desprotegidas,
es muy fácil que nuestra información
quede expuesta.
Leyes informáticas
Colombianas
• Algunas de las principales leyes informáticas en Colombia son:
• LEY ESTATUTARIA 1266 DEL 31 DE DICIEMBRE DE 2008: Por la cual
se dictan las disposiciones generales del Hábeas Data y se regula el
manejo de la información contenida en bases de datos personales,
en especial la financiera, crediticia, comercial, de servicios y la
proveniente de terceros países y se dictan otras disposiciones.
• LEY 1273 DEL 5 DE ENERO DE 2009: Por medio de la cual se
modifica el Código Penal, se crea un nuevo bien jurídico tutelado denominado “de la protección de la información y de los datos”- y
se preservan integralmente los sistemas que utilicen las tecnologías
de la información y las comunicaciones, entre otras disposiciones.
OTROS TIPS
•
•
•
•
•
•
•
•
•
•
Políticas de seguridad
Firewall
Servidor de Actualización SO y programas IE, firefox, GC
Usa antivirus y aplicaciones anti-malware
Acostumbra a cerrar las sesiones al terminar
Evita operaciones privadas en redes abiertas y públicas
Realiza copias de seguridad
Sensibilizar al personal acerca de la Ing. Social
Seguridad WIFI WEP WPA WPA2
Etc …………….
Descargar

Diapositiva 1