Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Empleado Seguro
Introduccin ndice
Ao a ao, la Seguridad de la Informacin en Seguridad de la Informacin: 4 Buenas prcticas aplicadas al uso 14
una organizacin adquiere cada vez ms rele- definiciones y problemticas de la tecnologa
vancia y, en condiciones ideales, es responsa-
bilidad propiamente del rea de Seguridad- en
Seguridad
Contraseas
empresas grandes-, aunque en funcin de las
Informacin
Correo electrnico
Seguridad de la Informacin
Dispositivos mviles
caractersticas de cada organizacin, puede de-
Las propiedades de la informacin
Redes Sociales
pender de otras reas, como TI u Operaciones.
Vulnerabilidad, amenaza y ataque
Redes inalmbricas
Riesgo, probabilidad e impacto
En un ambiente donde diariamente se identi-
fican nuevas amenazas informticas y vulne-
rabilidades los riesgos de seguridad son cada Amenazas comunes que atentan 8 Prcticas del empleado seguro 17
vez ms dinmicos. contra la informacin en su lugar de trabajo
Conclusiones 22
Prcticas de gestin y controles 11
tecnolgicos
Polticas de seguridad
Clasificacin de la informacin
Herramientas de seguridad
Empleado
Seguro
definiciones y
sin embargo, se trata de una condicin ideal, ya que en la tenta con metodologas, normas, tcnicas, herramientas,
realidad no es posible tener la certeza de que se pueden evi- estructuras organizacionales, tecnologa y otros elemen-
tar todos los peligros. tos, con la idea de proteger a la informacin en todos sus
problemticas Por esta razn, el propsito de la seguridad en todos sus
formatos.
mbitos de aplicacin es reducir riesgos hasta un nivel que La seguridad busca preservar la integridad, disponibilidad
sea aceptable. En un sentido ms amplio, la seguridad tam- y confidencialidad de la informacin de la empresa, con un
bin comprende todas las actividades que tiene como fin propsito de mayor alcance an: proteger el negocio.
proteger una cosa o una persona de algn de tipo de peligro.
Informacin
Un atacante accede a
Disponibilidad: que la informacin sea accesible y utili- Un empleado disgustado
una base de datos del
zable cuando una entidad lo requiera. destruye un documento e
Por ejemplo, evitar problemas en un servidor que hicie- sitio web de la empresas
INTENCIONAL informacin importante.
ran que se apague. de manera externa.
Amenaza: causa potencial de un incidente no deseado Por lo tanto, la idea inicial de seguridad vuelve a tomar rele-
que puede resultar en daos a un sistema u organizacin. vancia dado que, aunque no se pueda garantizar por com-
pleto, los riesgos deben ser tratados y reducidos hasta un
Ataque: intento de destruir, exponer, alterar, inutilizar, nivel que no representen consecuencias considerables.
robar, obtener acceso no autorizado o hacer uso indebi-
do de los activos. Para la Seguridad de la Informacin, los riesgos estn asocia-
dos a la causa potencial de que una amenaza pueda explotar
Los ataques que buscan comprometer un sistema de in- una o ms vulnerabilidades de un activo o grupo de ellos, te-
formacin y los activos se clasifican en cuatro categoras niendo como consecuencia un dao a la organizacin.
segn su manifestacin: intercepcin, modificacin, inte-
rrupcin y fabricacin. Los riesgos generalmente se expresan mediante la combi-
nacin de la probabilidad de que un evento no deseado su-
La intercepcin atenta contra la confidencialidad; la modi- ceda y sus consecuencias o impacto. Por este motivo, las
ficacin lo hace contra la integridad; mientras que la inte- medidas de seguridad estn orientadas a reducir alguna de
rrupcin hace lo propio con la disponibilidad. estas dos variables o, en el mejor de los casos, ambas.
la informacin
bercriminales engaan a los usuarios para comprometer la Un empleado seguro conoce
seguridad de una empresa.
los diferentes tipos de cdigos
maliciosos y aplica buenas prcticas
Algunos ejemplos son: correos fraudulentos que solicitan
informacin confidencial, falsos llamados telefnicos o para evitar infecciones.
propagacin de cdigos maliciosos en las redes sociales si-
mulando ser aplicaciones benvolas. Tambin suelen utili-
zarse temas de actualidad o noticias falsas para aumentar
la probabilidad de xito de estos ataques.
Phishing 10
Polticas de seguridad
Clasificacin de la informacin
Herramientas de seguridad
Prcticas de gestin y controles tecnolgicos
y controles
ganizacin, o bien las normas que determinan su conducta
en relacin a la proteccin de la informacin y otros activos. Un empleado seguro lee, entiende
y acata las polticas de seguridad
tecnolgicos Es ideal que toda empresa cuente con una poltica de segu-
ridad, que sea conocida por todos los empleados.
de la organizacin.
de la tecnologa
sistemas y plataformas, por lo que los integrantes de una Un empleado seguro evita acceder
compaa suelen tener varias contraseas para los siste-
a enlaces sospechosos o descargar
mas internos que se utilicen.
archivos adjuntos de remitentes
Por ello, una contrasea fuerte puede evitar el acceso a in- desconocidos.
formacin confidencial o a un sistema por parte de un ata-
cante o un cdigo malicioso. Con esto en mente, es impor-
tante que las contraseas sean fciles de recordar y difciles
de adivinar.
La incorporacin de los smartphones a las empresas per- Es comn utilizar equipos porttiles de trabajo para co-
miten el acceso a la informacin en todo momento y desde nectarse a redes WiFi pblicas, como por ejemplo, redes en
cualquier lugar. No obstante, transportar informacin sen- cafs o aeropuertos. En estos casos debe considerarse que
Un empleado seguro utiliza las
sible en dispositivos mviles implica un riesgo, ya que puede la seguridad est ligada a los controles existentes en dicha
Redes Sociales y herramientas
convertirse en una va para la fuga o robo de informacin, as red y que, en muchos casos, son inexistentes, tales como
como tambin sufrir infecciones con malware para mviles. de comunicacin de manera la ausencia de una contrasea para realizar la conexin o
responsable y con filtros de el uso de protocolos seguros. Es por esto que no es reco-
Para minimizar estos riesgos, es posible utilizar herramien- privacidad. mendable realizar conexiones sensibles, como acceder al
tas de control de dispositivos MDM (Mobile Device Mana- correo corporativo, ya que la red puede estar expuesta y la
gement) que eviten la instalacin de aplicaciones no per- informacin sin ningn tipo de cifrado, por lo que muchos
mitidas, aplicar polticas de seguridad o realizar el borrado de los datos pueden ser visibles por terceros no autorizados
seguro de informacin de manera remota. conectados a la misma red.
Asimismo, las buenas prcticas incluyen acciones como el Redes Sociales En el caso de que se utilice un equipo pblico para conec-
uso de un cdigo de seguridad para el bloqueo, el cifrado de tarse, no se debe acceder a archivos con informacin con-
la informacin y la utilizacin de soluciones antimalware. Las Redes Sociales son utilizadas por los cibercriminales fidencial de forma local, ya que pueden quedar accesibles
como un vector de propagacin de amenazas informticas, en ese dispositivo y ser vistos por cualquier persona que lo
especialmente a travs de enlaces que dirigen a sitios des- utilice en el futuro.
conocidos, envo de archivos maliciosos o mensajes falsos.
en su lugar de
contribuyen a aumentar la seguridad.
Un empleado seguro aplica buenas
prcticas en su lugar de trabajo
Entre ellas se incluyen:
trabajo y notifica inmediatamente ante
cualquier sospecha de un incidente
empleado tiene la responsabilidad de utilizar
El de seguridad.
adecuadamente todos los activos de la organiza-
cin, como tambin de proteger aquellos que es-
tn bajo su resguardo.
Cuando se sospecha que un sistema, o incluso la
red completa de la empresa, ha sido comprometi-
do, se debe dar aviso al departamento de seguri-
dad o de TI de manera inmediata.
Ms aun, cuando un incidente efectivamente su-
cede es indispensable avisar rpidamente al depar-
tamento pertinente.
Prcticas del empleado seguro en su lugar de trabajo
Polticas de seguridad: leer, entender y acatar las
Eliminacin segura de informacin: destruir do-
polticas de seguridad de la organizacin. cumentos impresos con informacin sensible an-
tes de desecharlos y eliminar informacin digital
Clasificacin de informacin: identificar la infor- sensible con las herramientas adecuadas.
macin sensible y aplicar la medidas de proteccin
designadas por la organizacin.
Bloqueo de sesin y escritorio limpio: bloquear
el sistema cuando se encuentre desatendido y
Herramientas de seguridad: utilizar los contro- mantener limpio el escritorio fsico y del sistema
les de seguridad tecnolgicos, como antivirus, fire- operativo para no exponer informacin privada a
wall o antispam, de manera adecuada para miti- terceros no autorizados.
gar los riesgos de incidentes.
Correo electrnico: revisar el correo recibido y
Contraseas: utilizar contraseas complejas y de evitar acceder a enlaces sospechosos o descargar
ms de diez caracteres que sean diferentes para archivos adjuntos de remitentes desconocidos.
distintos servicios o sistemas de la organizacin. En
caso de ser necesario, emplear un gestor de contra-
Dispositivos mviles: utilizar el dispositivo mvil
seas y mecanismos de doble autenticacin. corporativo solo con fines laborales y aplicando
tecnologas MDM.
Informacin personal: evitar compartir informa-
cin con entidades que no estn autorizadas para
Incidentes de seguridad: reportar inmediata-
acceder a la misma. mente eventos sospechosos o incidentes de se-
guridad que puedan comprometer la informacin
Actualizaciones de seguridad: actualizar el soft- sensible y otros activos crticos de la organizacin.
ware y aplicar parches de seguridad para la evitar
la explotacin de vulnerabilidades.
Prcticas del empleado
seguro en su hogar
Prcticas del empleado seguro en su hogar
Contar con un software antivirus en la computadora per- Prcticas del empleado seguro en su
sonal para estar protegidos contra potenciales amenazas. hogar