Diplomado de Seguridad en Cómputo Coordinación de la Red de Seguridad en Cómputo del Noroeste ANUIES MÓDULO 1: Introducción a la Seguridad en Redes

Diplomado de Seguridad en CómputoCoordinación de la Red de Seguridad en Cómputo del NoroesteANUIES

MÓDULO 1: Introducción a la Seguridad en Redes

Diplomado de Seguridad en CómputoInttelmex, S.C. Gerencia de Nueva Tecnología

Introducción

Al término del módulo, el participante analizará los diferentes riesgos y amenazas que existen en la protección de la información, de acuerdo a las recomendaciones internacionales.

En este módulo se analizan los diferentes aspectos básicos que cubren la protección de los activos de información, en un ambiente de interconexión de redes.

3Diplomado de Seguridad en Cómputo 2012

Coordinación de la Red de Seguridad en Cómputo del Noroeste - ANUIES

Índice

Tema 1: Antecedentes Página 5

Tema 2: Amenazas Página 15

Tema 3: Recomendaciones Página 38

Terminología Página 48



Tema 1: Antecedentes

¿Porqué una Cultura de la Seguridad?

En cualquier organización, la seguridad de la información es estratégica.

La información de la organización es uno de los activos más valiosos.

Por ello, es necesario que todos los que forman parte de dicha organización se sensibilicen acerca de la necesidad de proteger la información durante su creación, procesamiento, almacenamiento, difusión y destrucción.



Antecedentes

Disponibilidad: Se refiere a que exista acceso a tiempo a los datos y a los sistemas de información para los usuarios autorizados.

Integridad: Se refiere a salvaguardar la exactitud y consistencia de la información.

Confidencialidad: Se refiere a que la información solo pueda ser accedida por los usuarios autorizados.

Privacidad: Es la garantía de confianza respecto a la información y su uso, diferenciando lo público y lo secreto.



La Seguridad de la Información cubre cuatro aspectos:

Antecedentes

El ciclo de vida de la información abarca cuando esta se crea, se procesa, se transmite, se almacena y se destruye. En cualquier fase existen vulnerabilidades.

Cualquiera que se la forma o medio por el cual se comparta la información, o se almacene, siempre se debe proteger de forma adecuada



Ciclo de vida de la información

Antecedentes

Se tiene la idea errónea de que únicamente la tecnología nos protegerá. Se piensa que con solo poner un firewall, un teclado biométrico, etc. es suficiente. Pero al final, descubrimos que no es así.

Para que una estrategia de seguridad sea efectiva, se deben involucrar cuatro elementos: Políticas, Procesos, Tecnología y Personas.

Por mas sofisticados que sean los sistemas de seguridad, si falta alguno de estos elementos, el modelo fracasará.



Estrategia de Seguridad

Antecedentes

Políticas: Normatividad que indica que se debe hacer y que no se debe hacer.

Procesos: Enmarcan las actividades de gestión de la seguridad, tratamiento del riesgo, manejo de incidentes, análisis de vulnerabilidades, etc.

Personas: El factor humano es el eje central para implementar y asegurar las operaciones. Estas utilizan la tecnología, ejecutan los procesos y respetan las políticas.

Tecnología: Es un elemento indispensable para forzar el cumplimiento de las políticas de seguridad.



Estrategia de Seguridad

Antecedentes

Toda información propiedad de la organización y aquella que sea confiada por terceros a dicha organización, se debe clasificar para su protección contra divulgación no autorizada o cualquier otra forma de uso indebido, ya sea de modo accidental o intencionado.

El responsable de la información deberá clasificarla dentro de una de las siguientes clases:

Secreta: Licitaciones.

Confidencial: Datos de los clientes

Privada: Manuales de entrenamiento

Pública: Reportes, resultados financieros, publicidad

10

Diplomado de Seguridad en Cómputo 2012


Clasificación de la Información

Antecedentes

Los documentos impresos de la clase secreta y confidencial, no se deberán utilizar como papel reciclado. Los datos contenidos en este tipo de documentos suelen ser delicados.

Al mandar imprimir o fotocopiar estos documentos, es importante estar en la impresora o fotocopiadora para asegurarse de que no se quede nada en el equipo.

La información clasificada como secreta y confidencial que se requiera eliminar, debe ser previamente destruida, al grado de hacerla ilegible e irrecuperable, antes de depositarla en los contenedores de basura.

11



Clasificación de la Información

Antecedentes

La normatividad para el uso de Correo Electrónico Corporativo, debe indicar los siguientes lineamientos:

El CE es una herramienta de trabajo, y se asigna al personal que por sus funciones lo requiera.

La cuenta de CE y la información de la misma pertenecen a la organización.

La contraseña de acceso al CE es personal e intransferible, por lo que ningún usuario puede darla a conocer a ninguna persona.

El envío de mensajes de CE se debe hacer únicamente a los destinatarios relacionados con el asunto.

12



Correo Electrónico (CE)

Antecedentes

La normatividad para el uso de Internet, debe indicar los siguientes lineamientos:

El servicio de Internet se proporciona a los empleados que por la naturaleza de sus funciones así lo requiera, motivo por lo que se le considera una herramienta de trabajo y debe utilizarse exclusivamente para el desempeño de sus funciones.

Queda estrictamente prohibido discutir, intercambiaro revelar en sitios públicos o redes sociales información confidencial de la organización que la afecten o perjudiquen.

13



Internet

Antecedentes

El acceso a Internet debe quedar prohibido en los siguientes casos:

Consulta de contenidos que atenten contra la ética, la moral y los valores organizacionales.

Consulta de contenidos no relacionados con las funciones del puesto (considerado como distracción).

Descargar e instalar software no autorizado por la organización.

Nota: Todos los accesos a Internet deben ser monitoreados, para detectar cualquier anomalía.

14



Internet

Tema 2 : Amenazas

Las amenazas a la seguridad de la información son muy variadas. A continuación, el gráfico muestra las que más preocupan a las empresas y organizaciones.

15



Amenazas

El desarrollo de aplicaciones sin mejores prácticas de código seguro, proporcionan a los atacantes numerosas posibilidades de explotar sus vulnerabilidades

16



Vulnerabilidad en Aplicaciones

Amenazas

El uso de los teléfonos celulares, Laptops, Tablet PC, Memorias USB y SD, etc., son mecanismos de ataque de la información que almacenan. Son blanco fácil para la pérdida de información personal y corporativa.

17



Dispositivos Móviles

Amenazas

Los códigos maliciosos, como son: virus, gusanos, spyware, phishing, adware, trojanos, botnets, etc., son amenazas que impactan a las organizaciones ante la disponibilidad, confidencialidad y privacidad de la información.

18



Ataques de Virus y Gusanos

Amenazas

La falta de conciencia y capacitación en seguridad de la información, hace que los empleados se conviertan en el eslabón más débil en la protección de la información.

19



Empleados Internos

Amenazas

En la actualidad, con el uso intensivo en las organizaciones y en el plano personal, de infinidad de sistemas, tecnologías y recursos a través de Internet, los ataques informáticos se han convertido en uno de los principales recursos de los atacantes que desarrollan actividades ilícitas.

20



Hackers

Amenazas

La necesidad de interactuar con proveedores, socios tecnológicos y empresas de outsourcing de servicios, hace que los riesgos en el manejo de la información se incremente cuando las empresas terceras no implementan estrategias adecuadas de seguridad para cuidar la información.

21



Empresas Terceras

Amenazas

La dependencia de las organizaciones con la tecnología para desarrollar sus operaciones de negocio, también las expone a las vulnerabilidades de la tecnología, que son explotadas por grupos de personas con actividades terroristas.

22



Cyber Terrorismo

Amenazas

El Cómputo en la Nube, Cloud Computing, es una forma reciente de proporcionar servicios sin que el usuario tenga que hacer grandes inversiones en infraestructura. Es importante evitar utilizar estos servicios cuando no existe una revisión previa de los mecanismos de seguridad que el proveedor implementa para proteger la información de los usuarios.

23



Cloud Computing

Amenazas

El alcance de los grupos delictivos en sus actividades ilícitas también hace uso de los sistemas y de tecnología disponible.

Dado esto, las organizaciones deben mejorar sus estrategias de seguridad de la información, para evitar ser víctimas de estos grupos.

24



Crimen Organizado

Amenazas

La ingeniería social es la práctica de obtener información sensible mediante la manipulación. Cualquier persona puede ser víctima de esta técnica.

Una persona que haga ingeniería social puede usar el teléfono o Internet para engañar a su víctima, por ejemplo, fingiendo ser un empleado de alguna empresa, un compañero, un técnico o un cliente.

En Internet puede ser mucho más fácil, enviando informaciones falsas de sus cuentas.

25



Ingeniería Social¿Qué es?

Amenazas

No admitir archivos de personas desconocidas.

No ejecutar programas desconocidos, sin activar el antivirus.

No instalar complementos en el navegador, sin entender bien su funcionamiento.

No proporcionar datos sensibles personales, como teléfono, dirección y correo electrónico.

No proporcionar datos sensibles de cuentas y contraseñas.

No descargar programas de sitios web desconocidos o inseguros.

26



Ingeniería Social¿Qué hacer?

Amenazas

Es una modalidad de estafa para obtener los datos de un usuario, sus claves, cuentas bancarias, identidades, etc., para luego utilizarlos de forma fraudulenta.

¿En Que Consiste?

Se engaña al posible estafado suplantando la imagen de una empresa o entidad pública. De esta manera hacen creer a la víctima que realmente los datos solicitados proceden del sitio oficial.

27



Robo de Identidad - Phishing¿Qué es?

Amenazas

Puede producirse de varias formas, desde un simple mensaje al teléfono móvil, una llamada telefónica, una página web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico.

28



Robo de Identidad - Phishing¿Cómo se realiza?

Amenazas

Al visitar un sitio Web, escribir directamente la dirección en el navegador, en lugar de hacer clic en un vínculo.

Solo proporcionar información personal en los sitios que tienen “https” en la dirección de la página o que muestran el ícono de un candado en la parte inferior del navegador.

No proporcionar información personal a ninguna petición de información no solicitada a través de correo electrónico, llamada telefónica o mensaje corto, (SMS).

29



Robo de Identidad - Phishing¿Qué hacer?

Amenazas

El spam es la versión electrónica del correo basura.

Envío de mensajes no deseados a una gran cantidad de destinatarios, tratándose por lo general, de publicidad no solicitada.

Es un tema grave de seguridad, ya que puede utilizarse para enviar troyanos, virus, gusanos, software espía y ataques dirigidos al robo de identidad.

Cierto tipo de spam contiene vínculos a diferentes sitios Web

30



Correo Basura - SPAM¿Qué es?

Amenazas

Utilizar la opción de correo electrónico no deseado del cliente de correo.

Si se sospecha que un correo es spam, no abrirlo, sino eliminarlo.

Considerar desactivar ll función de vista previa del programa de correo y leer los mensajes como texto sin formato.

Rechazar todos los mensajes de personas que no forman parte de la lista de contactos.

No hacer clic en vínculos, salvo que procedan de fuentes conocidas.

Mantener actualizados los parches de seguridad y antivirus.

31



Correo Basura - SPAM¿Qué hacer?

Amenazas

Son aplicaciones que recopilan información del usuario, sin el consentimiento de este, para el posterior envío de esa información a entidades en Internet.

El uso más común es la obtención de información respecto a los accesos del usuario a Internet.

Puede también recopilar información personal.

Con frecuencia, se instala de manera involuntaria junto con otro software gratuito que el usuario desea instalar.

32



Software Espía - Spyware¿Qué es?

Amenazas

No aceptar ni abrir cuadros de diálogo sospechosos del navegador

No aceptar programas gratuitos sin asegurarse de su origen.

Instalar actualizaciones y parches de seguridad.

Actualizar el navegador con los últimos parches.

Instalar el antivirus corporativo.

Instalar un firewall en el equipo.

33



Software Espía - Spyware¿Qué hacer?

Amenazas

Es un programa informático creado para producir daño en una computadora y posee dos características:

Pretende actuar de forma transparente para el usuario

Tiene la capacidad de reproducirse a si mismo

Se puede presentar como un programa de utilidad, mientras que en realidad causa daños en el equipo

34



Virus

Amenazas

Es un programa malicioso que se instala en la computadora, sin que el usuario lo note. Su función es la de descargar y/o mostrar anuncios publicitarios en la pantalla de la víctima.

El usuario comienza a ver anuncios publicitarios de forma inesperada en la pantalla

35



Adware

Amenazas

Es una red de equipos infectados por códigos maliciosos, que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y distribuida.

Cuando una computadora ha sido afectada por un código de este tipo, se dice que es un equipo robot o zombi.

Algunas tareas que se realizan son:

Envío de spam

Ataques DDoS

Distribución e instalación de malware

Alojamiento de material pornográfico, pedofilia, phishing, etc.

36



Botnet

Amenazas

Solo abrir archivos adjuntos que procedan de una fuente de confianza.

Eliminar los mensajes no deseados, sin abrirlos.

No hacer clic en vínculos desconocidos

Si alguna persona de su lista de contactos está enviando mensajes con vínculos a sitios extraños, cerrar la sesión de mensajería instantánea.

Utilizar el software antivirus corporativo

Mantener actualizados los parches de seguridad del sistema operativo y aplicaciones

37



Código Malicioso – Malware¿Qué hacer?

Recomendaciones

Crear contraseñas de 15 dígitos, de no ser posible, al menos usar de 8.

Incluir mayúsculas, minúsculas, números y símbolos.

Reemplazar letras por números o viceversa.

No poner palabras reconocibles por un diccionario, no importa el idioma.

No utilizar secuencias: 12345, abcde, qwerty, 1a2b3c

No formarlas con datos personales, laborales, fechas de nacimiento, etc.

Los acrónimos son de gran ayuda.

No utilizar la misma contraseñas para todos los sitios.

Nunca proporcionar la contraseña.

38



Creación de Contraseñas Seguras

Recomendaciones

Los equipos deben tener protector de pantalla con contraseña, cuando el equipo esté desatendido.

Mantener el escritorio:

Sin información visible que pueda comprometer la confidencialidad de los datos.

Libre de documentos confidenciales que puedan ser sustraídos

Sin medios de almacenamiento extraíbles (CD, DVD, SD, Memoria USB), que puedan ser sustraídos.

39



Escritorio y Pantalla Limpios

Recomendaciones

Por ningún motivo, proporcionar la contraseña de aplicaciones y servicios personales y corporativos. Ni siquiera a quién esté resolviendo un problema técnico.

En el caso excepcional de que alguna persona de soporte técnico haya conocido alguna contraseña, se debe cambiar inmediatamente después de terminar el soporte técnico.

Asegurarse de que al recibir servicio con acceso remoto al equipo, se desactive el software de VNC, y que se tenga una contraseña de acceso que solo el usuario conozca.

40



Precauciones del uso del VNC

Recomendaciones

Los creadores de código malicioso también están comenzando a enfocarse en el desarrollo de amenazas informáticas que permitan explotar los sistemas implementados en los teléfonos celulares y demás dispositivos móviles

41




Recomendaciones

1. Mensajes SMS

2. Acceso al dispositivo móvil

3. Bluetooth, IR, Wi-Fi

4. Conexión a otros dispositivos

42




Recomendaciones

Separar los contactos en listas, (trabajo, familia, etc.), ayuda a organizar mejor a quien queremos dejar ver cierta información.

Editar quien puede ver la información, fotos, videos, etiquetas.

Compartir datos solo con amigos cercanos

43



Redes Sociales

Recomendaciones

Hacerse invisible. Controlando el recibir invitaciones, o ser encontrados mediante el buscador.

Modificar los ajustes de Privacidad.

44



Redes Sociales

Recomendaciones

Dado que los servicios de cómputo en la nube se implementan sobre infraestructura de terceros, siempre quedan dudas sobre la garantía de confidencialidad de la información que se puede almacenar en estos sitios. Algunos riesgos a considerar son:

Confidencialidad y seguridad de la información

Riesgo en torno a la privacidad de la información

¿Se encuentra cifrada?

¿Es segura la transferencia o solo el almacenamiento?

¿Están separados los datos de los demás clientes?

45



Cómputo en la nube(Cloud Computing)

Recomendaciones

La red corporativa de la organización debe ser la única autorizada para proporcionar servicios de acceso inalámbrico a la LAN.

Solo se debe permitirse el acceso total en dispositivos propiedad de la organización.

Debe quedar prohibido conectar Puntos de Acceso inalámbricos hacia la red de datos corporativa.

46



Red Inalámbrica(Wi-Fi)

Recomendaciones

LA SEGURIDAD ES COSA DE TODOS

47



Terminología

ANTIVIRUS – Es una software que se instala en tu ordenador y que permite prevenir que programas diseñados para producir daños, también llamados virus, dañen tu equipo. También tiene la misión de limpiar ordenadores ya infectados.

APLICACIÓN – Es simplemente otra forma de llamar a un programa informático. Se instala en ordenador y nos permite realizar tareas de todo tipo. Desde mandar un correo a gestionar la contabilidad de una empresa.

BLUETOOTH – Es un sistema de conexión inalámbrica para voz y datos. Es utilizado en distancias cortas. Su limite de acción es de unos 10 metros.

CIBERESPACIO: Hace referencia al espacio que conforman el conjunto de todas las redes telemáticas del mundo

48



Terminología

CORREO ELECTRÓNICO (e-mail): Sistema para enviar mensajes entre ordenadores conectados en red. A los mensajes se les pueden adjuntar archivos de todo tipo. Para poder utilizar el correo electrónico los usuarios necesitan un buzón o dirección electrónica de correo.

CORTAFUEGOS (firewall). Son programas que protegen una red de otra red. El cortafuegos permite el acceso de un ordenador de una red local a Internet, pero la Red no ve más allá del "firewall".

CRIPTOGRAFÍA – Es una forma de proteger información de vistas ajenas cuando se están transfiriendo archivos por la red.

FIREWALL – Es un dispositivo que asegura las comunicaciones entre usuarios de una red e Internet.

49



Terminología

HACKER: Informático cuyo objetivo es conseguir romper las barreras de seguridad de Internet y acceder a la información de los particulares y las empresas. Generalmente se limitan a dejar su firma y no causan daños. No piratean el software ajeno.

INFRARROJO: Bandas de las ondas electromagnéticas que están por debajo de las bandas de luz visible.

IrDA (Infrared Data Association). Sistema para la transmisión de información mediante infrarrojos.

MMS (Multimedia Message Service). Servicio de la telefonía móvil que permite enviar mensajes con fotos, sonido y texto.

NAVEGADOR (browser): Programa que se emplea para acceder a la información contenida en la World Wide Web y visualizarla.

50



Terminología

SMS (Short Messaging Service): Servicio de mensajes cortos, muy popular entre los usuarios de telefonía móvil. Su coste es bajo, y hasta resulta casi gratuito si los mensajes se envían desde un ordenador conectado a Internet.

WEB. Forma abreviada de designar la World Wide Web

WEBSITE (espacio web, sitio web): Dentro de Internet, conjunto de páginas web de un mismo propietario (persona, empresa, institución...) relacionadas entre si mediante enlaces hipertextuales.

WWW (World Wide Web): La telaraña mundial. Gran sistema de información en Internet formado por todas las páginas web alojadas en los servidores de la Red y relacionadas entre si mediante enlaces o hipervínculos. Cada página tiene una dirección a través de la cual se puede acceder a ella con un programa navegador desde cualquier ordenador conectado a Internet

51



Documents

Diplomado de Seguridad en Cómputo Coordinación de la Red de Seguridad en Cómputo del Noroeste ANUIES MÓDULO 1: Introducción a la Seguridad en Redes