Seguridad de la Información en las empresas Víctor Andrés Ochoa Correa Esp. Seg de la Información

¿Qué es la seguridad informática? Seguridad Informática es el proceso de prevenir y detectar el uso no autorizado de las computadoras. “La Seguridad Informática es un proceso continuo, donde la condición de los controles de la institución es apenas un indicador de su postura de seguridad”. [FFIEC Information Security IT Examination Handbook, Diciembre de 2002]. Un sistema de información se considera seguro si se encuentra libre de todo riesgo y daño, pero es imposible garantizar la seguridad o la inviolabilidad absoluta de un sistema informático. En el libro [Moron Lerma, Esther, (2002), Internet y derecho penal: Hacking y otras conductas ilícitas en la red. Editorial Aranzadi S.A] se sugiere de preferencia utilizar el término fiabilidad. La seguridad informática es una idea subjetiva [Schneier Bruce, Beyond Fear. Thinking Sensibly about security in an uncertain world. Copernicus Books. 2003], mientras la inseguridad informática es una idea objetiva. Fiabilidad: Probabilidad de buen funcionamiento de algo Fuente: Fundamentos de la Inseguridad de la Información, un enfoque pragmático – Ing. Armando Carvajal.

¿Qué es la seguridad de la información? Son todas aquellas medidas preventivas y reactivas del las personas, de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información.  El concepto de Seguridad de la Información no debe ser confundido con el de Seguridad Informática, ya que este último solo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diversos medios o formas.  La seguridad informática es una idea subjetiva [Schneier Bruce, Beyond Fear. Thinking Sensibly about security in an uncertain world. Copernicus Books. 2003], mientras la inseguridad informática es una idea objetiva. Fiabilidad: Probabilidad de buen funcionamiento de algo

Principios básicos de seguridad informática y de la información. Confidencialidad: Los recursos del sistema solo pueden ser accedidos por los elementos autorizados. Integridad: Los recursos del sistema solo pueden ser modificados o alterados por los elementos autorizados. Disponibilidad: Los recursos del sistema deben permanecer accesibles a los elementos autorizados. Confidencialidad. Reunión privada Integridad: Envió de correspondencia. Disponibilidad: Estufa. Fuente: Fundamentos de la Inseguridad de la Información, un enfoque pragmático – Ing. Armando Carvajal.

Características de una contraseña segura Debe tener mínimo 8 caracteres. Combinación de: Letras mayúsculas y minúsculas (Aa-Zz). Números (0-1-2-3….-9). Caracteres alfanuméricos (*@#!). No debe utilizar palabras de diccionario. No debe utilizar números o nombres obvios. Ataques de diccionario. Muy cortos fáciles de descifrar.

Contraseñas inseguras La revista Wired, publica un análisis realizado por la web de seguridad Acunetix, sobre las contraseñas más comunes de hotmail: “123456” “123456789” “tequiero” “alejandra” “alberto” Con estas contraseñas ponemos en riesgo nuestra información Fuente: http://www.wired.com/threatlevel/2009/10/10000-passwords

El correo electrónico La firma de seguridad Symantec reveló que los delincuentes informáticos venden los detalles de las cuentas personales de correo electrónico. Debemos tener Cuidado con el envió de información confidencial o personal por correo electrónico. Verificar el origen de los correos. Verificar los archivos adjuntos. Fuente: http://eguerrero.ghdeu.com/index.php?view=article&catid=50%3Anovedades&id=670%3Adel-inf-vend-cuent-correo&option=com_content&Itemid=101

Phishing Cada vez son más comunes los casos. Se suplanta la identidad de una persona conocida o una institución. Emplea Ingeniería social (Engaño o manipulación). Busca robar nuestra información personal o instalar software malicioso. Se realiza por medio de correos, redes sociales o chats. Por ejemplo: Caso Davivienda.

Phishing Al abrir el enlace del mensaje, se abre una página similar a la del banco donde se piden datos personales. Dicha página es falsa y roba la información suministrada. Ante estos casos debemos ignorar dichos mensajes y reportarlos como phishing.

Phishing Recordemos que: No debemos suministrar nunca información personal que se pide por medio de correos electrónicos sospechosos. Para actualizar nuestros datos siempre debemos ingresar directamente a las páginas web autorizadas y conocidas. No por enlaces suministrados por diversos medios. Si tenemos dudas debemos consultar directamente con las entidades o personas responsables.

Malware Es software mal intencionado que puede ser descargado desde internet y afectar nuestros equipos. Debemos ser cuidadosos con los archivos adjuntos que descargamos. Verificar siempre los archivos descargados con un antivirus. Existen varias clases de malware los cuales veremos a continuación:

Malware Virus Rootkits Troyanos Gusanos Spyware Adware

Spam Es el correo electrónico no deseado. Primero generan listas de correos por varios medios: El envió de cadenas de mensajes, que por sus temáticas son reenviados y van generando listas de correos. Algunas páginas poco confiables donde suministramos información sobre nuestras cuentas de correo, venden dicha información a terceros. La información compartida libremente en redes sociales u otras páginas , puede ser empleada para estos fines. Por eso, en ocasiones nuestros correos electrónicos forman parte de dichas listas y recibimos spam.

Buenas prácticas de uso del correo electrónico. Manejo de contraseñas seguras. Verificar siempre la escritura de las direcciones de correo. Verificar que el remitente sea confiable. Evitar abrir correos con mensajes en otros idiomas, con frases o redacción, dudosa o confusa. Enviar siempre los mensajes dirigidos a varias personas con copia oculta. (Evitar el spam). Evitar el reenvió de cadenas. Evitar la descarga de archivos adjuntos de procedencia desconocida o con extensiones .exe, .zip o .rar.

Riesgos al iniciar sesión con privilegios de administrador local Se expone a todos los riesgos que involucra la descarga de software o aplicaciones. En caso de descargar un malware, las repercusiones son mayores por el hecho de poseer mayores privilegios. Se puede borrar o modificar información que no debe ser alterada. Se puede alterar la configuración del equipo. El usuario tiene mayor responsabilidad ante cualquier anomalía que se presente. Por lo anterior por su seguridad utilice usuarios con privilegios limitados.

Descarga de software o aplicaciones desde Internet La mayoría son programas tipo Trial, que permiten un determinado tiempo de uso. Después de este periodo conservar el software es ilegal. La utilización de aplicativos para uso personal o educativo y emplearlo de forma corporativa constituye una violación a las leyes. Algunos programas descargados desde internet poseen malware. Algunos violan los derechos de autor.

Dispositivos de almacenamiento externo Las memorias USB, también son uno de los medios por los cuales se transmite mayor cantidad de programas maliciosos. Debemos tener cuidado con los equipos en donde conectamos estos dispositivos. También con la información que almacenamos. Utilicemos siempre el antivirus.

Copias de respaldo (Backups) Para este propósito se cuenta con una SAN o Servidor de Archivos. Clic o Enter para ver las instrucciones Ingrese a la carpeta que tiene su nombre y copie sus archivos Solo con archivos que contengan información institucional Ingrese a la ubicación de red con el nombre de su unidad Ingrese al menú de inicio y seleccione la opción equipo Realice sus copias de respaldo frecuentemente

Equipos desatendidos Siempre al levantarnos de nuestro puesto de trabajo debemos bloquear nuestro equipo de computo, para evitar que otras personas puedan acceder a nuestra información. Debemos Pulsar simultáneamente (el Botón de inicio + la tecla L) para bloquear nuestro equipo. O pulsar (Ctrl + alt + supr) y seleccionar la opción bloquear equipo. Al regresar introducimos nuevamente nuestra contraseña para continuar trabajando.

Equipos desatendidos Debemos procurar no dejar información o dispositivos que contengan información valiosa, sobre el escritorio.

Conectarnos a Redes conocidas . Prestar mucha atención a las redes a las que accedemos. Solo conectarnos a las redes propias. Si no las conocemos preguntar a soporte técnico. Recuerde: Por las redes desprotegidas, es muy fácil que nuestra información quede expuesta.

Leyes informáticas Colombianas Algunas de las principales leyes informáticas en Colombia son: LEY ESTATUTARIA 1266 DEL 31 DE DICIEMBRE DE 2008: Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. LEY 1273 DEL 5 DE ENERO DE 2009: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

OTROS TIPS Políticas de seguridad Firewall Servidor de Actualización SO y programas IE, firefox, GC Usa antivirus y aplicaciones anti-malware Acostumbra a cerrar las sesiones al terminar Evita operaciones privadas en redes abiertas y públicas Realiza copias de seguridad Sensibilizar al personal acerca de la Ing. Social Seguridad WIFI WEP WPA WPA2 Etc …………….