Conociendo el Mundo de la

Seguridad de la Información

Septiembre 2013

Lic. Carlos A. FreyreGerencia de Seguridad Informática

Objetivos

• Conocer el mundo de la seguridad de la información.

• Reconocer enemigos y riesgos.• Saber que es un problema que nos afecta a

todos.• Aprender “buenas prácticas” para minimizar

los riesgos.• Proteger nuestro ambiente de trabajo y del

hogar.2

3

La informaciónEs el objeto de mayor valor para una organización y

su objetivo principal es el resguardo de la información, independientemente del lugar en donde se encuentre registrada,

ya sea en algún medio electrónico o físico.

4

Pilares de la información

es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.

es la propiedad que busca mantener a los datos libres de modificaciones no autorizadas de cualquier índole.

es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella.

es el cumplimiento de las regulaciones legales vigentes.

5

Protegiendo la información• Por qué?

Es un valor estratégico y de él depende la continuidad de los negocios.

• Por qué ahora?Somos altamente dependientes de los sistemas y por medio de Internet los negocios y servicios son utilizados desde los rincones más alejados.

6

Potenciales enemigosPueden ser:

un competidorun empleado deshonestoun adolescente aburrido un delincuente sin escrúpulos

Pueden Causar:

Fraude financieroNegación de serviciosPérdida de reputación, de clientes, de confianzaExposición accidental de datosDestrucción/modificación de datosRobo y/o copia de informaciónPérdida de secretos industrialesPérdida de información competitiva

7

Conociendo al enemigo

• Hackers: solo deja huellas que paso por ahí.

• Crackers: rompe la seguridad con fines maliciosos.

• Ingeniería social: consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. Un intruso normalmente utiliza esta técnica con el fin de conseguir información (usuarios y claves de acceso) para ingresar a un sistema de una Empresa.

8

Virus informáticoLlegan por correo electrónico, disquetes, CDs, USBs, archivos

comprimidos, otra computadoras, páginas Web.Pueden borrar, apagar, reiniciar, reproducir, contagiar, y hasta

volver atacar en otra fecha.

• Caballos de Troya (Troyanos)Abren puertas traseras.

• Gusanos (Worms)Son programas que se copian a si mismos tantas veces hasta saturar la memoria del sistema.

• Falsos Virus (HOAX)Son simples falsas alarmas que se distribuyen en cadenas de mensajes.

Otras amenazas• Software espías (Spyware): programa espía que

recopila información sobre una persona o empresa sin permiso. El 80% de las PC están infectadas con este software.

• Spam: es correo basura. A nivel mundial creció un 64% en los últimos 4 años, el 70% de los e-mails son spam.

• Phishing: su objetivo es robar la identidad de los usuarios. Lo hace por medio de e-mails y sitios falsos de bancos y otras compañías.

• Pharming: es un método de fraude de home-banking y comercio electrónico, son redirigidos hacia copias idénticas de estos sitios, y engañados dejan sus nombres de usuario, números de tarjeta de crédito y contraseñas en manos de piratas de Internet.

9

10

Y hay más amenazas• Vulnerabilidades infomáticas: es un fallo en la programación

de una aplicación a través del cual se puede vencer la seguridad de una computadora o sistema aplicativo.

• Denegación de servicio: provoca la pérdida de la conectividad de la red. En los casos de pérdida de conectividad de los servidores suele ser por saturación del equipamiento.

• Abusos telefónicos: robar la identidad a través de la confinaza ganada para cometer fraudes.

• Otros ...

11

Y hay más amenazas• Vulnerabilidades infomáticas: es un fallo en la programación

de una aplicación a través del cual se puede vencer la seguridad de una computadora o sistema aplicativo.

• Denegación de servicio: provoca la pérdida de la conectividad de la red. En los casos de pérdida de conectividad de los servidores suele ser por saturación del equipamiento.

• Abusos telefónicos: robar la identidad a través de la confinaza ganada para cometer fraudes.

• Otros ...

12

Según pasan los añosDécada del 80: “Todo tiempo pasado fue mejor”

• Sistemas centralizados.• Niveles de conocimiento elevados.• Ausencia de herramientas automáticas.

Década del 90: “The Beginning”

• Internet y las empresas• Mayor distribución de procesamiento• El comienzo de la automatización

Y2K: “La tormenta Perfecta”

• Worms y ataques automáticos.• Botnets, spam y robo de identidad.• El fin de la mística hacker.• El usuario final es el objetivo.

13

¿De qué se trata?

14

Conceptos generales No existe la seguridad total.

Siempre existe un riesgo que debe ser aceptado.

Si existe la probabilidad de un evento, seguramente

sucederá !!!

Existe un balance entre la solución de seguridad

implementada, la inversión realizada y el riesgo aceptado.

15

Seguridad Informática en la actualidad

Revolución tecnológica. Re-definición del rol de sistemas. La información como activo corporativo. Cambio en la estrategia directiva. Mejora de la imagen de la organización. Aumenta la confidencialidad de los clientes. Asegura un alto nivel de operatividad. Elimina posibles acciones legales. Disminuye costos de seguros. Permite desarrollar nuevos productos y servicios más

seguros. Permite agregar nuevas características a productos

existentes. Refuerza la prevención ante problemas de contingencia. Los procesos de sistemas tienen la responsabilidad de

aportar valor al negocio.

16

Área de servicio

17

El objetivo principal de la

Seguridad de la Información es el de

establecer mecanismos adecuados para

garantizar la protección de la información y

de los recursos informáticos.

Misión

Estratégico

Táctico

Operativo

18

Dominios de seguridad

19

Protección legalLa Ley 25.326 de Protección de Datos Personales

Tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre.

20

Aplicando buenas prácticas• Sus claves personales (home-banking, acceso de red, etc.)

Deben tener como mínimo 8 caracteres y ser segura y robustas.

@migo$06 Formada por

2 números 2 caracteres especiales 4 letras

“No se debe revelar a ninguna otra persona”

21

Recordando con humor …

Las contraseñas son como la ropa interior:

Hay que cambiarlas a menudo.

No las prestas ni a tus amigos.

No las dejas tiradas en cualquier parte.

Cuanto más raras, mejor.

Si no las encuentras, estás perdido.

22

Cómo crear una clave de acceso robusta

Utilice palabras de difícil deducción y de al menos 8 caracteres, utilizando mayúsculas y minúsculas

nombre de mascota: Blanquita

Use un acrónimo de algo fácil de recordar y agréguele un número

Lucia y Jorge: LucyJor02

Utilice una frase no conocida

Verano del 42: Verdel42

Reemplace letras por números, y si se permite agregue un signo

DosMil+13

23

Otras prácticas recomendadas• No divulgue a nadie sus contraseñas.• Cambie periódicamente sus claves personales (al

menos una vez cada 30 días).• Asegúrese que nadie esté viendo su clave cuando la

ingresa.• Quite la selección de recordar usuario y clave cuando

accede a sus cuentas de correos personales.• No ingrese ni envie sus datos personales y/o números

de tarjetas de crédito si no conoce el origen de donde le es solicitado.

• No acceda a su home-banking desde locutorios.• Verifique la seguridad en los sitios de Internet en

donde accede.

24

Otras prácticas recomendadas• No divulgue a nadie sus contraseñas.• Cambie periódicamente sus claves personales (al

menos una vez cada 30 días).• Asegúrese que nadie esté viendo su clave cuando la

ingresa.• Quite la selección de recordar usuario y clave cuando

accede a sus cuentas de correos personales.• No ingrese ni envie sus datos personales y/o números

de tarjetas de crédito si no conoce el origen de donde le es solicitado.

• No acceda a su home-banking desde locutorios.• Verifique la seguridad en los sitios de Internet en

donde accede.

25

En el trabajoBuenas prácticas de uso generales:

La utilización de los recursos de tecnología informática debe cumplir con las leyes y regulaciones de la República Argentina.

No se debe comprometer la reputación de la organización. No se debe prestar ni ceder a otro usuario la computadora u otro

dispositivo sin la debida autorización. Utilizar en los equipos sólo el software previamente instalado,

cualquier programa adicional deberá estar debidamente autorizado. Los sistemas informáticos deberán utilizarse para actividades

relacionadas con los servicios brindados y tareas asignadas. Mantener estrictos cuidados de higiene y conservación en el equipo

asignado, por ejemplo, evitando comer y beber sobre la máquina y sus componentes.

26

En el trabajo Mantener un compromiso de responsabilidad y confidencialidad de

su cuenta de usuario asignada y de la información a la que accede. Su identificación de usuarios y contraseña es personal e

intransferible. No divulgue ni preste su contraseña de usuario a ningún compañero

de trabajo ni persona que se la solicite. Genere contraseñas seguras y robustas, compuestas por letras

mayúsculas y minúsculas, números y caracteres especiales. Cambie su clave de acceso regularmente. Intente no generar contraseñas que sean combinaciones de la

primera. No usar recordatorios de contraseñas pegados en el monitor, teclado

o escritorio.

27

En el trabajo Modifique su contraseña si considera que pudo ser expuesta e

infórmelo inmediatamente. Si corresponde, genere una contraseña para la cuenta de usuario con

la que ingresa diariamente a su computadora. Deshabilite la opción de compartir recursos de su computadora si no

la necesita. Implemente un protector de pantalla protegido por contraseña que se

active a los 15 minutos de inactividad. Bloquee su computadora cuando abandona el puesto de trabajo (con

las teclas Ctrl-Alt-Supr). Permita que el detector de virus se actualice y verifique el contenido

de su computadora como así también de los dispositivos que se conectan a ella.

28

Con el correo electrónico y la utilización de Internet

Utilizar el correo para fines de la organización. La titularidad de la casilla del correo corresponde a la organización,

independientemente de la identificación del usuario. No enviar correos masivos ni pedidos solidarios. No abrir archivos adjuntos que no sean conocidos o esperados. No responder los correos desconocidos, no solicitados, o que vendan

servicios o productos. Depurar periódicamente la papelera de correos eliminados. No suscribirse a páginas de Internet pocos confiables con la dirección

de correo electrónico de la organización. Tratar a la información suministrada en los correos electrónicos de

carácter confidencial.

29

Con el correo electrónico y la utilización de Internet

Mantener las mismas formalidades que las de la correspondencia tradicional en cuanto a su redacción, estilo y léxico empleado.

Almacenar las carpetas de los correos en el directorio local y depurar la base del correo de red.

Prestar mucha más atención en fechas especiales (por ejemplo Navidad y día del amigo).

Utilizar responsablemente para fines y necesidades de la organización.

No descargar programas, herramientas o utilitarios sin haber solicitado previamente su autorización.

No utilizar programas de mensajería instantánea (por ejemplo, Messenger).

No ingresar a sitios de páginas Web no conocidas.

30

Algo más de humor …

Querido Pedro, cómo estás? Tu madre y yo estamos bien y te

echamos de menos, por favor apaga la computadora y baja a cenar.

Un beso, mamá y papá

¿Pero cómo, no recibiste mi e-mail?

Seguinos en las Fan Pages

@ConsejoCABA

ConsejoCABA

Gerencia de Seguridad InformáticaConsejo Profesional de Ciencias Económicas de la Ciudad de Buenos Aires

Email: seguridadinformatica@consejocaba.org.ar