Seguridad de la información
35
I.Seguridad Seguridad informática versus Seguridad de la información Seguridad en el uso de redes sociales Algunos conceptos y algunos consejos Dra. Elisabeth Benítez Escuela de Medios Audiovisuales. Dpto de Comunicación Social Universidad de Los Andes
-
Upload
bella-virzk -
Category
Education
-
view
394 -
download
0
Transcript of Seguridad de la información
I.Seguridad Seguridad informática versus Seguridad de la
informaciónSeguridad en el uso de redes sociales
Algunos conceptos y algunos consejos
Dra. Elisabeth BenítezEscuela de Medios Audiovisuales. Dpto de Comunicación Social
Universidad de Los Andes
ADVERTENCIA Este material educativo no pretende ser ni vagamente un material que profundice en el área de la seguridad de la información, no obstante, el objetivo planteado es que el participante comprenda la importancia de la seguridad como proceso dado
que en el accionar profesional en las redes en el rol de Community Manager se va a manejar información, es decir, datos ( sensibles, confidenciales, que
requieren de ser confiables e integra).en tráfico permanente a través de medios electrónicos
Por tanto, es imprescindible que se comprenda la utilidad de las normas jurídicas existentes tanto como de las normas de conducta. Políticas y buenas prácticas,
así como de los procesos, medidas, y acciones de prevención que constituyan el Sistema de Gestión de Seguridad de la Información de una empresa o marca y
que deben ser asumidas por el Community Manager, en su actividad profesional en los medios digitales.
Seguridad informática vs. Seguridad de la información
• La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales
que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su
sistema de información.
• La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de
la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad,
la fiabilidad y el no repudio. (ISO IEC 2005)
Seguridad informática vs. Seguridad de la información
Seguridad de la información
Seguridad informática
Riesgos organizacional, operacional y físicos
• Ausencia de normas y políticas• Errores humanos• Actos deliberados
• Insuficientes medidas • Comportamiento equivocado
Vulnerabilidad y amenazas• Virus• Spam
• Robo de Contraseñas• Ingeniería Social
Seguridad informática vs. Seguridad de la información
SEGURIDAD DE LA INFORMACIÓN
ANALISIS DE RIESGOS NORMATIVAS PLAN
SEGURIDAD INFORMÁTICA
CONFIGURACION SEGURA
TECNICAS DE PROTECCIÓN
AUDITORIA DE EVENTOS
Nivel estratégico
Nivel Táctico
PREV
ENCI
ÓN
La Seguridad de la información como Proceso
Seguridad de la Información3 Pilares
Medidas técnicas Medidas procedimentales
Medidas Sociales Concientización
Educación Entrenamiento
Prácticas seguras
Seguridad de la información como proceso ISO17799 UE
Adquisición, desarrollo y
mantenimiento de sistemas
Gestión de comunicaciones y
operaciones
Gestión de comunidad del
negocio
Seguridad del recurso humano
Seguridad Física del entorno
Conformidad y ApegoGestión de incidentes de
Seguridad de la Información
Clasificación y control de archivos Control de accesos
Aspectos organizativos de la seguridad
Políticas de Seguridad
Niveles
Operativo
Táctico
Estratégico
Seguridad Organizativa
Seguridad lógicaSeguridad Física
Seguridad Legal
Seguridad de la información como proceso
Toda organización, en el área de Seguridad de la Organización debe plantearse un Sistema de Gestión de la Seguridad de la Información (SGSI), por tanto toda actividad que implique el uso de tecnologías y
el manejo de información ( datos) debe hacerlo.El objetivo de un SGSI es proteger la información y para ello lo
primero que debe hacer es identificar los 'activos de información' que deben ser protegidos y en qué grado.
Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.
PLANIFICARPLAN
HACERDO
VERIFICARCHECK
ACTUARACT
MEJORAS CONTINUAS
II. Riesgos a la Seguridad de la Información con el uso de redes
sociales
El cibercrimenRiesgos, métodos y medidas.
Material para el Diplomado en Gestión Efectiva de Medios Digitales
¿Qué tienen en común?
Sra Mari 66Prof. JubiladaUsa internet para leer las noticias, se
comunica con sus hijos
Annie 27Prof. de Yoga
Se promociona
por Instagram
Daniel 20 Estudiante de artes y medios audiovisuales
Lic. González 56
Funcionario público
Usa internet.Noticias,
negocios , ocio
Jacobo 42Experto en redes Trabajador free
lanceDesarrolla software
Luci 17Solo utiliza
teléfono inteligente
por las redes sociales
Mirian 29Secretaria
Está hiperconectada.
Usa internet paraTrabajo, Ocio,
Redes, transacciones
bancarias
Liz 35Community
Manager
Que todos se
relacionan en el
ciberespacio
DE UN
ATAQUE INFORMÁTICO
TODOS PUEDEN
SER VICTIMAS
Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware e incluso en las personas que forman parte
de un ambiente informático a fin de obtener un beneficio, por lo general de índole económico,
causando un efecto negativo en la seguridad del sistema que luego repercute directamente en los
activos de la organización
El factor humano es el eslabón más débil de la
ecuación
INGENIERIA SOCIAL
Técnicas de manipulación psicológicas y habilidades sociales, mediante las cuales un sujeto obtiene información de índole
confidencial del propietario legítimo de la misma, todo esto con la finalidad de emplear ésta para acceder a un sistema o tener
privilegios en éste de forma tal que puedan facilitarse la comisión de actos delictivos que perjudiquen o expongan a las personas o a
las instituciones a riegos o abusos.
Va en una bipartita clasificación de pasiva y/o activa ó agresiva en la cual el tema tecnológico viene
inscrito al uso de estas técnicas para violentar
Suplantación de personalidad
El chantaje o extorsión La despersonalización Presión psicológica.
INGENIERIA SOCIAL
RIESGOS
Principales riesgos
Vulnerabilidad psicológica
Pocas destrezas tecnológicas
Desconocimento de las técnicas de ingeniería social
Manejar cuentas de gran impacto en las redes
Plantea el uso de las redes sociales cuando estamos acostumbrados a compartir información sensible en círculos cercanos de interés: familiares, amigos, sociales, profesionales, etc., en los cuales mediando la comunicación permanente solemos ver desdibujada la línea que divide la información que podemos y aquella que no debemos compartir o que debería colocarse dentro de lo que para cada uno es “confidencial”. Esto incluye no solamente, datos y contraseñas, sino que va hasta el punto de abarcar las fechas de nuestras vacaciones, datos de domicilio, practicas comunes y hasta las fotografías de los hijos.
VULNERABILIDAD PSICOLÓGICA
Esto quiere decir, que el manejo elemental o básico de nuestras comunicaciones a través de internet debería ser trascendido hacia el conocimiento de capas y protocolos de comunicaciones por internet a fin de verificar la calidad de los portales a los cuales nos conectamos entre otras cosas más.
VULNERABILIDAD POR POCA DESTREZA EN EL MANEJO TECNOLÓGICO
PISHING, BISHING BAITING, CAMBIAZO, SUPLANTACIÓN DE LA IDENTIDAD
Son solo algunas de las técnicas más empleadas para sustraer los datos e información confidencial empleadas en la Ingeniería Social.Es importante no menospreciar los riesgos a los que nos vemos expuestos permanentemente e informarse acerca de cómo protegerse.
VULNERABILIDAD POR EL DESCONOCIMIENTO DE LAS TECNICAS BASICAS DE INGENIERIA SOCIAL
Acrónimo en inglés de las palabras malicious y software, es decir, código malicioso. Son archivos con fines dañinos que, al infectar una computadora, realizan diversas acciones, como el robo de información, el control del sistema o la captura de contraseñas.
Virus, gusanos y troyanos; son las variantes más conocidas en este campo. A partir de estrategias de Ingeniería Social, los desarrolladores de malware suelen utilizar las redes sociales para propagar los códigos maliciosos
MALWARE COMO RESULTADO DE LA INGENIERIA SOCIAL
Consiste en el robo de información personal y/o financiera del usuario, a través de la falsificación de un ente de confianza. Es frecuentemente realizado a través del correo electrónico y sitios web duplicados, aunque puede realizarse por otros medios.
PISHING COMO RESULTADO DE LA INGENIERIA SOCIAL
En el uso diario de las redes sociales, los usuarios suben a la web diversos datos de índole personal que pueden ser de utilidad para los atacantes. El robo de información en redes sociales se relaciona directamente con el robo de identidad, uno de los delitos informáticos que más ha crecido en los últimos años.Los dos vectores de ataque más importantes para el robo de información son:• Ingeniería Social: se busca el contacto directo con el usuario víctima,
extrayendo información a través de la comunicación, la “amistad” o cualquier comunicación que permita la red social.
• Información pública: una mala configuración de las redes sociales puede permitir que información de índole personal esté accesible más allá de lo que el usuario desearía o le sería conveniente para su seguridad, por lo que personas malintencionadas podrían acceder a dicha información.
EL ROBO DE INFRMACIÓN (DATOS) COMO RESULTADO DE LA INGENIERIA SOCIAL
Esto incluye personalidades de influencia, social, política, artística, cuentas de promoción y venta de productos,
cuentas de promoción, innovación y emprendimiento de productos, cuentas de sujetos – referencia en cualquier campo de interés en un lugar determinado que por el
numero de seguidores son un botín apetecible.
VULNERABILIDAD POR MANEJAR CUENTAS DE IMPACTO
CIBERCRIMENMETODOS
METODOS DELICTIVOS1. Intervenciones a la
reputación
Descontextualización o uso fragmentado y malicioso de
contenidos, la violación y uso indebido de datos
publicados, el empleo de la identidad digital de personas
vivas o fallecidas y las críticas e injurias a través de
los medios digitales y/o redes sociales.
METODOS DELICTIVOS2. Intervenciones a la
seguridadDenegación de un servicio, o bloqueo que hace inaccesible un servicio al usuario legítimo,
intervención o violación de comunicaciones mediante un
rastreador de puertos; ataques de replay dónde una
transmisión es fraudulenta y maliciosamente retardada, el
ataque de fuerza bruta mediante el cual se interceptan
las claves de acceso del usuario legitimo.
METODOS DELICTIVOS
3. Intervenciones a la legalidad
Delitos contra la confidencialidad e integridad de datos, falsificación y fraudes contra el patrimonio, pornografía
infantil, violaciones a los derechos de autor, la propiedad intelectual y los derechos afines y conexos, delitos contra
la convivencia comunitaria nacional e internacional: incitación al odio, incitación a la discriminación, apología
del terrorismo, entre otros.
MEDIDAS¿Qué podemos hacer ?
La legislación penal vigente en el país castiga con prisión de hasta doce años los delitos de Usurpación de la identidad, y también castiga la falsificación de nombres, marcas, dibujos industriales y obras del ingenio.
La acción penal frente a estos delitos procede por la vía de la denuncia ante los organismos competentes.
LegalmenteDenuncia
MEDIDAS¿Qué podemos hacer ?
El Código Penal contempla el delito de usurpación de la identidad en el Artículo 319 y expresa: “Todo aquel que (…) lograre apropiarse de documentos oficiales para
usurpar una identidad distinta a la suya, sufrirá
pena de prisión de seis años a doce años”
Por otro lado el 337 y 338: plantean como delitos la falsificación expresando: “ (…) la falsificación o alteración de los nombres,
marcas o signos distintivos de las obras del ingenio o de los productos de una industria” ( art.337) , y la venta de obras y productos falsificados, estableciendo que: “ ( …) la
venta o cualquier otra manera de circulación, de obras del ingenio o productos de
cualquiera industria con nombres, marcas o signos distintivos falsificados o alterados, o con nombres, marcas o signos distintivos capaces de inducir en error al comprador respecto de su origen o calidad” ( art.338)
USURPACIÓN DE LA IDENTIDAD¿Qué podemos hacer ?
En las redes sociales
DENUNCIA
https://ayuda.linkedin.com/app/answers/detail/a_id/30432/related/1
https://help.instagram.com/contact/636276399721841
https://help.instagram.com/contact/636276399721841
https://support.twitter.com/forms/impersonation
https://www.facebook.com/help/www/263149623790594/
Sí sus datos son violados en las redes sociales
Recuerde que aunque pareciera excesiva la cantidad de información que se requiere en algunas de las redes para la denuncia debes asumir suministrarla para agilizar los procesos de eliminación de las violaciones.
De ser posible realiza las denuncias en idioma español e inglés. Mantente en contacto sólo con los responsables de las redes sociales donde ha
sido efectuada la violación y permanece atento a los correos electrónicos de verificación de tu identidad.
Cuenta con toda la información legal referente a los documentos legales como registros de marca, patentes etc. al momento de realizar la denuncia.
Además es importante que todos los datos que suministres posean el sustento legal necesario para que proceda la eliminación de la violación o del contenido nocivo para tu marca.
Finalmente, es importante reportar las violaciones y alertar al mismo tiempo a los seguidores mediante otras cuentas o en los espacios de comunicación tales como: correo electrónico, páginas web personales o portales oficiales de la marca.
Recuerda, todos los pasos realizados para la denuncia y restitución de tu identidad o de la identidad de tu marca son elemento de interés para respaldar la denuncia que efectúes por vía penal ante los organismos competentes en Venezuela.
SEA PRUDENT
E
• Tenga instalado y actualizado un antivirus• No ejecute programas que provengan de fuentes desconocidas• Configure adecuadamente los programas que interaccionan con el exterior
(navegadores, lectores de correo, programas de IRC, mensajería instantánea, etc.,) para que no ejecuten automáticamente programas desconocidos.
• Envíe documentos en formatos seguros ( .jpg, .png..doc,.pdf etc.,) no utilice html.
• Nadie debe pedirle la clave de acceso de sus cuentas de correo, la sola solicitud es ya sospechosa.
• Copie las URL directamente en el Navegador.• Si una dirección comienza con https, eso sólo garantiza que la información
viaja por la red codificada, no dice nada acerca de la autenticidad del origen• Si utiliza computadores compartidos debe borrar siempre el historial de
navegación.• Haga frecuentemente copias de seguridad de todos sus archivos, respalde en
memorias extraíbles y en la nube.• Utilice frecuentemente detectores de programas espías como SPYBOT.• Utilice claves seguras, no las comparta, no las guarde en su computador, no
las recicle para diferentes sitios. • Si se conecta a una WIFI (pública o privada) mantenga cuidado con sus claves• Sí es privada prevea la autenticación bidireccional
