SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Y COMUNICACIONESY COMUNICACIONES

Objetivos

SEGURIDAD DE LA INFORMACIÓN

•Incentivar al personal de G4S a incrementar su cultura de seguridad de la información.

•Mostrar a los usuarios lo vulnerable de la información y que ellos son responsables de la misma.

Introducción La seguridad informática consiste en asegurar que los recursos informáticos (hardware y software) de una organización sean utilizados correctamente cumpliendo los objetivos para los cuales fueron planificados, y que el acceso a la información allí contenida, así como su modificación, este permitido sólo a las personas que se encuentren acreditadas y dentro de los límites de su autorización

Términos relacionados•Activo •Amenaza (Causa potencial de un incidente no deseado )•Impacto (Daño económico que se produce cuando una se

materializa una determinada amenaza en un activo de información)•Riesgo (Probabilidad de que se materialice una amenaza)•Vulnerabilidad (Son debilidades asociadas a un activo que en si mismas no causan daño. El daño se produce cuando una amenaza

explota una vulnerabilidad)

Ingeniería Social

Son aquellas conductas y técnicas utilizadas para conseguir información de las personas. Es una disciplina que consiste básicamente en sacarle información a otra persona sin que esta se de cuenta de que está revelando "información sensible" y que normalmente no lo haría.

Ingeniería Social

Cada vez que pensamos en problemas de seguridad se considera como parte de un plan integral al menos tres grandes esferas:

•La tecnológica•Las políticas•La humana video ingeniería social

Ingeniería Social

MÉTODOS DE INGENIERÍA SOCIAL

1. Acercamiento. para ganarse la confianza del usuario

2. Alerta. para desestabilizar al usuario y observar la velocidad de su respuesta

3. Distracción. una frase o una situación que tranquiliza al usuario y evita que se concentre en el alerta

Ingeniería SocialLa ingeniería social puede llevarse a cabo a través de una serie de medios:

•Por teléfono •Por correo electrónico

Ingeniería SocialLa ingeniería social puede llevarse a cabo a través de una serie de medios:

•Por correo tradicional

•Por mensajería instantánea

Ingeniería SocialLa ingeniería social puede llevarse a cabo a través de una serie de medios:

•Vía Internet (redes sociales, paginas de juegos, música, videos, pornografía … )

•Mediante dispositivos de almacenamiento

Ingeniería Social

¿Cómo puede protegerse?

Ante este tipo de ataques todos estamos expuestos y la mejor forma de contrarrestarlo es conociendo los métodos de ingeniería que aplicarán en nuestra contra, esto en TI lo llamamos Ingeniería Inversa.

Ingeniería Social

Ingeniería inversa

La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido común y no divulgando información que podría poner en peligro la seguridad de la compañía.

Sin importar el tipo de información solicitada, se aconseja que:

•Averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico)

•Si es posible, verifique la información proporcionada

•Pregúntese qué importancia tiene la información requerida

Ingeniería SocialEs necesario capacitar a los usuarios para que tomen conciencia acerca de los problemas de seguridad.

•Exigir a los nuevos empleados pasar por una orientación de seguridad informática con el departamento de sistemas.

•Capacitar sobre el manejo de la información (ya sea en el computador o en papel) y cómo protegerla.

•Mantener un contacto amigable y permanente de los empleados de oficina con el departamento de seguridad informática de la empresa.

•Generar campañas en donde se genere conciencia de los peligros de la “ingeniería social”

Ingeniería SocialEs necesario capacitar a los usuarios para que tomen conciencia acerca de los problemas de seguridad.

•Animar a seguir las políticas de seguridad de la empresa y a realizar todos los procedimientos de forma adecuada (Tips).

•Definir accesos por prioridades y trabajos, lo que significa que no todos los empleados pueden tener acceso a determinados sectores del ambiente conectado.

•Conocer los procesos de ingeniería social, sus principios, sus técnicas, la manipulación y la explotación de los sentimientos y emociones de las personas. De esta forma podrá anticiparse a los riesgos de los ataques.

•No basta con poner candados, la persona que tiene la llave debe saber cuándo y cómo usarla.

Ingeniería Social

Tips para el Personal de la empresa

1. - Antes de abrir los correos analizarlos con un antivirus

2. - Nunca ejecutar un programa de procedencia desconocida

3. - Los usuarios no necesitan tener acceso a todo tipo de archivos

Ingeniería Social

Tips para el Personal de la empresa

4. - Nunca informe telefónicamente de las características técnicas de la red.

5.- Controlar los accesos físicos

6.- Nunca tirar documentación técnica a la basura, sino destruirla.

7.- Verificar previamente la veracidad de la fuente que solicite cualquier información.

Ingeniería SocialEJEMPLO DE INGENIERIA SOCIAL

Ejemplo 1: usted recibe un mensaje de e-mail, diciendo que su ordenador está infectado por un virus. El mensaje sugiere que instale una herramienta disponible en un sitio web de Internet para eliminar el virus de su ordenador. La función real de esta herramienta no es eliminar un virus, pero sí permitir que alguien tenga acceso a su computador y a todos los datos en él almacenados.

Ejemplo 2: barras de acceso directo para navegadores, son utilizadas para captura de información

Ejemplo 3: Los formularios que un usuario tiene que completar al momento de crear una nueva cuenta de correo, con valiosa información tales como ingresos anuales promedio, gustos y hobby, edad y otros datos personales con los que fácilmente luego pueden hacerles “ofertas a medida”.

Ingeniería Social

Conclusiones:

Las usuarios son la amenaza más alta (90%)

Podemos tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin más.

La gente quiere ser agradable y no pretende armar un escándalo, pero es importante enseñarles a decir no.

Pishing

Se define Phishing como la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso.

El phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.

PishingBanco Pichincha

PishingProdubanco

PishingTip’s para usuario

Observar si la dirección comienza con https: en lugar de solo http: •Compruebe que la navegación es segura y el sitio web bancario transmite su información encriptada por medio del protocolo de seguridad SSL (Secure Sockets Layer) que garantiza la comunicación entre el servidor y el cliente

•Una prueba rápida para comprobar la veracidad de la web de nuestro banco y no ser engañados por algunas web creadas para robar datos, es dar un "doble click" sobre el candado amarillo, una vez realizado nos saldrá el certificado de autenticidad que asegura la identidad de nuestro Banco.

PishingTip’s para usuario

El Banco NUNCA le solicitará que informe de sus claves o datos a través del correo electrónico.

Guarde sus claves de acceso en secreto. Nunca las revele a nadie ni las anote en lugares visibles o de fácil acceso, como la pantalla, teclados, ni hacer un documento que ponga "claves-bancarias.txt".

Cuando esté accediendo a la Banca por Internet no desatienda sus operaciones distrayéndose con otras cosas, es mejor bloquear el ordenador o apagarlo.

Cierre la sesión cuando termine de operar con su oficina virtual.

Robo de Identidad

El robo de identidad es técnicamente un nombre que agrupa ciertas modalidades en donde una persona suplanta a otra su identidad. La sustitución de la misma puede ser: real o física; y digital o virtual. “El robo o usurpación de identidad se configura cuando una persona obtiene o realiza alguna actividad en nombre de nosotros, utilizando documentación robada, perdida, adquirida a través de programas maliciosos de Internet o de la ingeniería social”

Robo de Identidad

Las técnicas más utilizadas son:

•Phishing, tanto en e-mails como en sitios web fraudulentos.

•Ingeniería social.

•Troyanos y keyloggers. –ejemplo-programa

•Intrusión en equipos en forma directa.

Robo de Identidad

Tips para el usuario:

Protección con contraseña. Elija siempre contraseñas potentes para proteger las cuentas.

Cree contraseñas únicas para cada una de sus cuentas.

Ejecute el software antivirus para verificar los correos electrónicos y actualice con frecuencia las definiciones de virus.

Precaución al abrir y leer tus mensajes electrónicos: Estafadores podrían tratar de usurpar tus datos con páginas que lucen genuinas y causar el robo de identidad.

Fraude Informático

Se podría definir el delito informático como toda acción (acción u omisión) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está sancionado con una pena.

Fraude Informático

Sabotaje informático

• Conductas dirigidas a causar daños físicos crear video

• Conductas dirigidas a causar daños lógicos video empleado resentido

Ataques a Contraseñas

Los ataques a contraseñas son diversas técnicas que incluyen cualquier acción dirigida a romper, descifrar o borrar contraseñas o cualquier mecanismo de seguridad.

Este tipo de ataques puede ser efectuado Por DiccionarioPor fuerza bruta

Ataques a Contraseñas¿Qué podría alguien hacer si tuviera su contraseña?

•Acceder información en su computadora, y alterar sus archivos, robar, o alterar información.

•Abrir cuentas nuevas y comprar, comprar, y comprar

•Cambiar su dirección de correo electrónico y hacer que cosas que compraron (y facturado) les sean enviadas

•Retirar dinero de su banco

•Solicitar prestamos

•Pretender ser usted en salas de Chat en línea o en otras actividades en línea, como subastas.

Ataques a ContraseñasAsegúrese de crear una contraseña que:

Tenga varios caracteres, y mientras más larga, mejor.Incluya letras mayúsculas y minúsculas, números y símbolos

Se vea como una secuencia al azar de letras y números

Asegúrese de:

No utilizar ninguna parte de su nombre de usuario

No utilizar ninguna parte de su vieja contraseña

No usar letras o números consecutivos como “abcde” o “12345”

No utilizar teclas adyacentes en su teclado como “qwert”

Ataques a Contraseñas

Manejo de contraseña:

•No la escriba

•No compartirla con nadie

•No seleccionar la característica “Recordar mi contraseña

•Crear diferentes contraseñas para información muy segura

•Cambiar su contraseña con frecuencia

Ataques a Contraseñas

Manejo de contraseña:

Si existe una razón para decirle a alguien su contraseña o sospecha que esta comprometida, cambiarla en la primera oportunidad.

•En caso robo de contraseña notificar de inmediato al departamento de sistemas

•"Mi primera bicicleta fue una BMX negra“ = MpbfuBMXn

•Establecer un número máximo de tentativas

video contraseña segura

Spam

Se llama SPAM, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor.

Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico.

El Spam asume actualmente la mayor parte de los mensajes electrónicos intercambiados en internet, siendo utilizado para anunciar productos y servicios de dudosa calidad

Rolex, eBay o Viagra son los asuntos de los mensajes que compiten por el primer lugar en las clasificaciones de Spam

Spam

¿Como consiguen nuestras direcciones?

Páginas web de suscripción (mira quien te ha borrado de messenger).

Listas de correo. spam

Compra de bases de datos.

Entrada ilegal en servidores.

Por ensayo y error.

Spam

Medidas para evitar SPAM

A pesar que no existen técnicas infalibles para protegerse del spam, se recomienda:

No utilizar tu cuenta corporativa G4S en suscripciones de páginas de noticias, chistes, consejos, promociones, juegos, descargas, programas.

Agregar al antivirus o cuenta de correo tu lista de correos no deseados.

No enviar cadenas de mensajes de ningún motivo.

Notificar al departamento de sistemas sobre correos repetitivos, propagandas o correos de anuncios.

Spoofing y Exploits

Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.

Existen diferentes tipos dependiendo de la tecnología a la que nos refiramos como el IP spoofing (quizás el más conocido), DNS spoofing, Web spoofing o e-mail spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad

Spoofing y Exploits

Un Exploit es un programa o técnica que aprovecha una vulnerabilidad para causar daños en nuestros sistemas. (video flooding)

Los exploits dependen de: • Sistemas operativos y sus configuraciones• Configuraciones de los programas que se están ejecutando en un ordenador• Red de datos

Pero ¿qué es una vulnerabilidad?

Una vulnerabilidad es un hueco o fallo en un sistema informático que evitará que se pueda usar correctamente, o que permitirá que lo controlen personas no autorizadas