INFORMATIVA

¿QUE ES SEGURIDAD INFORMATICA?

Es el área que se encarga de proteger la infraestructura tecnológica, el usuario y todo lo relacionado con la información contenida o circulante.

INTEGRIDAD.

CONFIDENCIALIDAD.

DISPONIBILIDAD.

-Estándares.

-Protocolos.

-Politicas.

-Métodos.

-Reglas.

-Herramientas.

-Comunicacion.

INTEGRIDAD

Es la propiedad que busca mantener la informacion libres de modificaciones no autorizadas.

Informacion integra sin importar el medio de consulta.

Controles, Validaciones y Accesos.

CONFIDENCIALIDAD

Es la propiedad que garantiza que la informacion almacenada o procesada este protegida para que no sea divulgada sin el consentimiento del cliente, usuario u orgranizacion y la informacion sea accesible sólo por personas autorizadas.

DISPONIBILIDAD

La información esté disponible cuando el cliente y el usuario lo requieran.

Un sistema es tan fuerte como el más débil de sus componentes.

¡EL USUARIO!

Es una persona que utiliza algo para una función especifica.

El usuario es el eslabón más débil de la cadena de seguridad.

¿Como nos convertimos en el eslabon mas debil?

• No somos conscientes del valor de la información con la que trabajamos.
• No hacemos uso responsable de las herramientas de trabajo.
• No respetamos las políticas y procedimientos establecidos por la organización.
• No aplicamos buenas prácticas de seguridad informática y del área.
• Hacemos caso omiso al material informativo.
• Delegamos privilegios exclusivos a otras personas.
• Colocamos las contraseñas en lugares visibles.

METODOS DE ROBAR INFORMACION

Actualmente existen más de 53 métodos para extra informacion.

• Aplicaciones Ilegales o piratas.
• Ataques por medio de diccionario o Fuerza bruta.
• Ataques a redes WIFI.
• Ataques a dispositivos móviles / multimedia.
• Ingeniería social.
• Phising.
• Suplantación de entidad.
• Spam.
• Spyware, Malware, Guanos, Troyanos, Backdoors, Rootkits.
• Vulnerabilidades, Xploit's.

FUERZA BRUTA/DICCIONARIO HACKING

Consiste en intentar descifrar una contraseña en base a distintas combinaciones al azar, conjugando nombres, letras y números, hasta dar con el patrón correcto.

DICCIONARIO HACKING

Este método también se podría considerar un ataque de fuerza bruta pero, en este caso, un software se encarga automáticamente de descifrar la contraseña. Empiezan con letras simples como “a”, “AA” o “AAA” y progresivamente va probando con palabras más complejas.

SUPLANTACION DE IDENTIDAD O PHISHING

Es una de las herramientas más utilizadas por los hackers para robar contraseñas y nombres de usuario. Consiste en engañar a la víctima para que rellene un formulario falso con sus credenciales de inicio de sesión. El phishing es el método más eficaz para obtener información confidencial relacionada con las tarjetas de crédito.

PHISHING:

Es un método que los ciberdelincuentes utilizan para engañarle y conseguir que revele información personal, como contraseñas o datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias.

SPAM:

Es la denominación del correo electrónico no solicitado que recibe una persona. Dichos mensajes, también llamados correo no deseado o correo basura, suelen ser publicidades de toda clase de productos y servicios.

SPYWARE, MALWARE, GUANOS, TROYANOS, BACKDOORS, ROOTKITS:

Código malicioso que afecta el correcto funcionamiento de una aplicación o servicio. Son los mas comunes y pueden ser altamente peligrosos.

INGENIERIA SOCIAL

INGENIERIA SOCIAL

La Ingeniería Social consiste en persuadir a una persona para influenciarla en sus acciones. para que ejecuten determinada acción, que las lleva a ser víctimas de un delito informático.

Principios y métodos Utilizados:

• Siempre, el primer movimiento hacia el otro, es de confianza.
• Aprovechar la amistad.
• A todos nos gusta que nos alaben.
• Curiosidad.
• Chismes.
• Lenguaje Sofisticado.

RANSOMWARE

Ransom “Rescate” y Ware (Software) son un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo

¿Porque es importante establecer controles, políticas y procedimientos?

Basado en la normativa de la CNBS. Nuestra organización a nivel interno ha establecido controles, procedimientos, reglamentos y políticas.

Basado en la normativa de la CNBS establecida en la circular No 119/2005. Se han establecido políticas, procedimientos y controles para asegurar la confidencialidad, integridad y disponibilidad de la información e infraestructura tecnológica.

Actualmente tenemos en vigencia y aplicacion 21 politicas.

• Política para uso del Internet.
• Política de uso del Correo Electrónico.
• Política de uso de Estaciones de Trabajo.
• Política del uso de Antivirus.
• Política para la seguridad de contraseñas.
• Política para la administración de usuarios.
• Políticas de Seguridad de La Información Sensitiva.
• Política para Dispositivos Móviles.
• Política de Control de Acceso.
• Política de Actualizaciones.
• Política de Capacitación de Seguridad Informática.

USO DEL INTERNET Y CORREO ELECTRONICO

USO ADECUADO DEL INTERNET

• El Internet es una herramienta de trabajo por lo tanto NO debe ser utilizado para cosas personales.

• Se prohíbe el uso de cualquier tipo de mensajería instantánea que no esté autorizado por la organización.

• Se prohíbe la navegación en sitios de dudosa reputación y que vayan en contra de la ética y la moral (Lavado de Activos, Terrorismo o contenido Sexual).

• Se prohíbe las descargas de programas informáticos, archivos multimedia, que no estén autorizados o que no se cuente con el licenciamiento respectivo o derechos de autor.

• No debe existir conectividad hacia el internet en las estaciones de trabajo y sistemas de produccion.

CONSEJOS

• Utilizar filtro para publicar contenido en redes sociales.
• No brindar información financiera, laboral o personal.
• Solo acepten a contactos o personas que conozcan en sus redes sociales.
• No dar clic en las ventanas emergentes.
• No utilicen redes WIFI abiertas.
• Utilicen filtros de navegación.
• Navegar en sitios seguros HTTPS

USO ADECUADO DEL CORREO ELECTRONICO

• Las cuentas con comportamiento sospechoso serán monitoreadas y/o suspendidas.
• No utilizar el correo electronico para propósitos comerciales o financieros ajenos a la institución.
• No participar en cadenas de mensajes o distribuir mensajes de forma masiva con contenido inapropiado.
• No suscribir la cuenta de correo a boletines electrónicos o sitios que no estén relacionados con los intereses de la institución o redes sociales.
• Los usuarios son completamente responsables de todas las actividades realizadas con sus cuentas de correo.
• El mal uso del correo electrónico será motivo de suspensión temporal de la cuenta asignada.
• La creacion de las cuentas de correo personalizados debe ser justificada y autorizada por el gerente de area en base a las funciones a desempeñar.

BUENAS PRACTICAS

1. Escribir mensajes simples y claros.

2. Revisar su correo de forma periódica.

3. Utilizar fórmulas de cortesía. Aunque se trate de un e-mail informal, es recomendable que éste incluya siempre las palabras “por favor” y “gracias”.

4. Cuide la ortografía, gramática y puntuaciones.

5. Hacer uso correcto de las mayúsculas y minúsculas.

6. No usar fondos, colores y tipo de letras especiales.

7. Ser claros en el asunto.

FIRMA

No utilize frases biblicas, psicologicas, motivacionales o personales.

Es un correo organizacional y por lo tanto se debe cuidar la imagen de la institucion.

SEGURIDAD DE LA INFORMACION SENSIBLE

Y

USO DEL EQUIPO

USO DE EQUIPO TECNOLOGICO

• Las computadoras de trabajo no deben tener instalado ningún otro software (programas, juegos, archivos multimedia) que no sea el licenciado y/o requerido para que el usuario desarrolle sus funciones.

• Prohibido realizar algunas configuraciónes a los equipos de trabajo o remover componentes de Hardware.

• Prohibido que los usuarios cambien o trasladen de lugar los equipos sin autorización de la Gerencias de Sistemas.

• Se debe escanear cualquier medio electrónico de transmisión antes de acceder a la información contenida en ellos.

• Debe respaldar periódicamente sus datos.

USO DE EQUIPO TECNOLOGICO

• No destruir o maltratar el equipo.

• Reportar los daños a la Gerencia de Sistema o Jefe Inmediato.

• No ingerir alimentos ni bebidas al momento de utilizar el equipo tecnologico.

• Mantener limpio y ordenado el area de trabajo.

• No colocar sobre el CPU ningun tipo de material (Libros, Carteras, Folders, Vasos ETC).

• El usuario es responsable del equipo asignado.

MANEJO DE INFORMACION SENSIBLE

• La eliminación de documentos debe realizarse por un método autorizado por la institución.

• Toda información sensitiva impresa debe tener numeración.

• Toda la información sensitiva debe ser entregada directamente al destinatario.

• Está prohibido intentar acceder a información almacenada o transmitida a la cual no está autorizado por la organización.

• No deje información sensible a la vista de todos. Al concluir su jornada labora archive sus documentos.

• Si al momento de imprimir el papel se atasca o el equipo se avería reporte a la gerencia de sistemas el incidente y asegúrese que la información sea eliminada de la impresora.

DISPOSITIVOS MOVILES

USO DE DISPOSITIVOS MOVILES

• Está prohibido almacenar información sensible de la organización en dispositivos móviles.

• Todos los usuarios de dispositivos móviles asignados por la institución, son los responsables directos del cuidado del equipo y la información almacenada en el mismo.

• Se prohíbe que el dispositivo móvil asignado por la organización sea utilizado por terceros.

• Está prohibido que los usuarios conecten a la red de la institución equipos cuyo uso no está autorizado.

• Si su dispositivo o equipo fue hurtado o extraviado deberán reportar el incidente al jefe inmediato, Gerencia de Sistemas y/o Seguridad Informática.

• Esta prohibido el ingreso y uso de equipo personal.

Proceso de Antivirus

• Ante la detección de un archivo infectado por parte del programa de antivirus, se deberá informar inmediatamente a la Gerencia de Sistemas y Seguridad Informática para tomar las acciones respectivas.

• Los mensajes SPAM o “correos basura” o que tienen origen desconocido y sospechoso, deberán ser eliminados y no se deberán abrir o ejecutar los adjuntos en caso que existieran.

• Siempre se debe escanear una memoria USB antes de utilizarla.

Verificar que su Antivirus este actualizado y sin alertas.

CONTRASEÑAS

• Definicion y Tipos.

• Politica de contraseñas.

• Contruccion de contraseñas seguras.

UNA CONTRASEÑA

Es un código secreto que se utiliza como método de autenticación para poder acceder a un recurso, servicio o dispositivo.

¿PORQUE ES IMPORTANTE?

• Contribuye al desarrollo de las funciones asignadas.
• Permite acceder a información confidencial.
• Permite limitar el acceso a un servicio o equipo.
• Ayuda a proteger la información institucional y personal.
• Haciendo un mal uso de la misma se puede realizar actos fraudulentos sin ser culpado.

TIPOS DE CONTRASEÑAS

• Numéricas (Débil): 25540700

• Caracteres (Débil): juanperez

• Símbolos (Débil): *-* ;-)

• Alfanuméricas (Medio). maria1986

• Mixtas (Fuerte): M0nch1t0

• Robusta: (Combinacion de Mixtas y mayores de 8 dígitos). L0$t_C0ntr0l%100%

POLITICA PARA LA SEGURIDAD DE CONTRASEÑAS

• Todos los recursos y servicios informáticos que forman parte de la infraestructura tecnológica de la organización requieren autenticación a través de una contraseña la cual debe ser robusta.

• El vencimiento de las contraseñas es de 45 días calendario.

• Las contraseñas deben ser tratadas como información CONFIDENCIAL, por lo tanto no se debe compartir.

• No utilizar la opción de “Recordar contraseña” en páginas Web o Sistemas.

• No escribir la contraseña en un lugar visible.

• No utilizar las mismas contraseñas para todos los servicios y recursos.

• Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres especiales de forma alterna y debe contener al menos 8 dígitos ejemplo:

• No enviar contraseñas vía correo.

S3gurid@d.2941, As3Fin$19545AZA

Recomendaciones

• No utilizar palabras que estén en un diccionario.
• Debe tener al menos 8 dígitos y debe ser mixta.
• No usar información personal.
• Usar mayúsculas y minúsculas de forma alterna.
• Usar diferentes contraseñas para cada aplicacion.
• No compartir sus contraseñas.
• Elegir una contraseña fácil de recordar y difícil de adivinar.

¿COMO CONSTRUIR UNA CONTRASEÑA FUERTE?

1. Color Favorito: Azul Navy

2. Nombre del servicio: GMAIL,Sistema de Caja, Sistema Clientes.

3. Fechas Importantes: 1897, 05/10/2005, 1982, 2010, 2014.

4. Simbolos Preferidos: $,+,%,.

5. Selecciona alguna frase, palabra que te recuerde algo: Geeks, Andrea Bocelli, Pizza,Lencas.

6. Imaginación.

L3nc@Byte$0510

C@jSy$2010

N@vys+1897

G33kmail2014

+DnaG0bb01897

http://web.odef.local/seguridad-informatica

SANSIONES

El usuario que incumpla cualquiera de los numerales de estas políticas será sancionado de acuerdo al Reglamento Interno de Trabajo.

• Amonestación Verbal.
• Amonestación Escrita.
• Suspension de labores.
• Finalización de contrato.

¿CONSULTAS?

RECUERDA!

• Cambiar las contraseñas de tus cuentas de correo y redes sociales.
• Cierra la sesion de las redes sociales y cuentas de correos en tu dispositivo movil y ordenador.
• Crear una contraseña para cada aplicacion. (Gmail, Facebook, Instragram, Etc).
• No navegar en paginas de contenido inapropiado.
• No instale software sin licenciamiento (Programas Piratas).
• Educar a nuestros hijos en el uso correcto del internet.
• La comunicacion es muy importante.