Embed Size (px)
Citation preview
La seguridad de la informaciónen su empresa
GUÍA PARA ...Autónomos,profesionales liberales,PYMES...
La seguridad de lainformación en suempresa
SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA
Las medidas de seguridad
La información es uno de los principales activosde las empresas y por ello las nuevas tecnologíasde la información y la comunicación se hanconvertido en una herramienta imprescindible paradesarrollar cualquier actividad económica, así comoen un factor clave para mejorar la productividad.Aragón no permanece ajena a este fenómeno y elgrado de utilización de las nuevas tecnologías ensus empresas está en niveles equiparables a losde los países más avanzados de la Unión Europeaya que, según indican los estudios del ObservatorioAragonés de la Sociedad de la Información, en2006 casi el 95% de las empresas tienen ordenadory cerca del 90% acceso a Internet.
3
Las medidas de
seguridad se
dividen en tres
niveles,
Físico: vela
por la integridad
de los equipos y
por la
continuidad de
los suministros
que necesitan.
Lógico: se
encarga de la
seguridad de los
programas.
Organizacional:
asigna las
funciones y
responsabilida
des en materia
de seguridad
dentro de la
empresa.
Haga copias de seguridad (backup)
Es la primera y la más importante de las medidasde seguridad. No deje ningún día de hacer una copiade seguridad de la información de su empresa. Haydistintas formas de organizar las copias, pero unabastante sencilla y eficiente es tener una cinta odisco por cada día laborable de la semana, de estemodo, si la copia más reciente fallara, puede utilizarotra hecha sólo 24 horas antes. Guarde la cinta odisco del último día de la semana en un lugar distintoa la sede de su empresa, porque sino en caso derobo o incendio puede perder toda la información.
Aunque pueda parecer increíble, el incidente graveque se produce con más frecuencia es la pérdidade información por no haber seguido una políticacorrecta de copias de seguridad.
La seguridad física
Hay programas
que permiten
programar las
copias de
seguridad para
que se hagan de
forma automática,
por ejemplo, al
mediodía o por la
noche. Entre
ellos algunos
son gratuitos
como Cobian
Backup, mCopias
o SyncBack.
El tiempo de autonomía depende de
la potencia de la unidad y de los
equipos conectados. En general es
suficiente con unos 10-15 minutos,
plazo que permite terminar de forma
ordenada los trabajos en curso.
Aunque las tecnologías informáticas handemostrado sobradamente su fiabilidad, al utilizarlashay que observar unas reglas básicas de seguridadcomo ocurre con cualquier otra herramienta. Porello, en este folleto le damos unos consejos deseguridad básicos, pensados para una pequeñao mediana empresa, y que le permitirán estar másprotegido contra las interrupciones del trabajo porfallos en los sistemas informáticos, los accesosinadecuados a la información, la pérdida de datosy otros problemas similares.
La seguridad absoluta no existe en ningún ámbitode la actividad humana. Por ello las medidas deseguridad se diseñan buscando el equilibrio entresu coste, las probabilidades de los distintos riesgosy los daños que estos producirían en caso dematerializarse. Cabe decir que, pese a su sencillez,las medidas de este folleto le permitirán evitar lagran mayoría de los percances que puedan ocurriren sus sistemas.
Ut i l ice s is temas de a l imentac iónininterrumpida (SAI)
Para evitar que los procesos en curso se interrumpanbruscamente en caso de corte del suministro eléctricoy para filtrar los “microcortes” y picos de intensidad,que resultan imperceptibles pero que puedenprovocar averías en los equipos, es muy aconsejabledisponer de sistemas de alimentación ininterrumpida,al menos para los servidores y equipos másimportantes.
Instale antivirus en los ordenadores
Tener un antivirus actualizado es una medida básicade seguridad, instale uno en todos los equipos ymanténgalo actualizado. Tenga en cuenta, además,que algunos virus aprovechan vulnerabilidades delsistema operativo y para protegerse de ellos hayque instalar las actualizaciones que publica elfabricante (en el caso de Windows es aconsejableactivar la opción de Actualizaciones Automáticas).También pueden llegar virus en un correo electrónico,así que nunca abra mensajes de origen desconocidoy elimínelos lo antes posible de su ordenador. Tengaen cuenta que se suelen elegir asuntos quedespiertan la curiosidad del destinatario. Otro mediode infección es la instalación de plugins, contesteNO cuando el sistema le diga que se va a instalarun programa si no conoce la procedencia del mismo.
Comience a utilizar la firma electrónica
Los certificados electrónicos permiten realizarnumerosos trámites con las Administraciones através de Internet así como firmar los documentoselectrónicos de forma que estos pueden sustituiral papel en documentos auténticos. Hay certificadospara personas físicas, como el DNI electrónico, ypara empresas, como los emitidos por las Cámarasde Comercio (Camerfirma), los Registradores (SCR)o los Notarios (ANCERT).
Otra clase de certificados son los de servidor. Estosno se utilizan para firmar, sino que identifican a lossitios web y cifran la conexión para que no puedaser leída por terceros. No introduzca ni solicite datosen Internet sin que la conexión esté cifrada.
5
NO dé nunca sus
contraseñas o PIN
por correo
electrónico o por
teléfono, ni los
introduzca en páginas
web a las que haya
llegado siguiendo un
link recibido en un
correo. Su banco
jamás se las pedirá
de esta forma.
Los virus
SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA
La autenticación
Asigne nombres de usuario y contraseñasa los empleados
Para identificar a las personas que acceden a sussistemas es posible configurar los ordenadores deforma que al arrancar soliciten al usuario su nombrey contraseña, y otro tanto ocurre con muchosprogramas. Utilice estas opciones y no deje libre elacceso a los ordenadores de su empresa, sino queproporcione a cada empleado un nombre de usuarioy una contraseña, y cuide de que mantengan estaen secreto.
Las contraseñas no han de ser nombres propios nipalabras del diccionario, deben tener una longitudde al menos ocho caracteres y, preferiblemente,algunos de éstos deben ser números o signos depuntuación. También aumenta la seguridad elcombinar mayúsculas y minúsculas. Por último, noolvide cambiar las contraseñas periódicamente.
Desde 2002 las
facturas con firma
electrónica tienen
plena validez legal.
Piense en los árboles
y el dinero que se
ahorrarían enviando
por correo
electrónico al menos
parte de las facturas
que hoy se envían en
papel.
Algunos antivirus
gratuitos:
BitDefender
www.bitdefender-es.com
AntiVir
www.free-av.com
Free avast!
www.asw.cz
Defiéndase de los programas espía (spyware)
Hay programas que se instalan de forma oculta enun ordenador y pueden enviar a quien los controlala información contenida en el mismo e incluso lascontraseñas que se tecleen en él, y también lepermiten convertirlo en un zombie y utilizarlo parasus propios fines.
Los programa anti-espías nos protegen de estesoftware, pero desconfíe de aquellos que se leofrezcan sin haberlos buscado expresamente, porquealgunos programas desinstalan los espías queencuentran en su equipo sólo para instalar unopropio.
Algunos antispyware
gratuitos:
WindowsDefender
www.microsoft.com/spain/
athome/security/spyware/
software/default.mspx
AdAware
www.lavasoftusa.com
Instale antivirus en los ordenadores
Tener un antivirus actualizado es una medida básicade seguridad, instale uno en todos los equipos ymanténgalo actualizado. Tenga en cuenta, además,que algunos virus aprovechan vulnerabilidades delsistema operativo y para protegerse de ellos hayque instalar las actualizaciones que publica elfabricante (en el caso de Windows es aconsejableactivar la opción de Actualizaciones Automáticas).También pueden llegar virus en un correo electrónico,así que nunca abra mensajes de origen desconocidoy elimínelos lo antes posible de su ordenador. Tengaen cuenta que se suelen elegir asuntos quedespiertan la curiosidad del destinatario. Otro mediode infección es la instalación de plugins, contesteNO cuando el sistema le diga que se va a instalarun programa si no conoce la procedencia del mismo.
Comience a utilizar la firma electrónica
Los certificados electrónicos permiten realizarnumerosos trámites con las Administraciones através de Internet así como firmar los documentoselectrónicos de forma que estos pueden sustituiral papel en documentos auténticos. Hay certificadospara personas físicas, como el DNI electrónico, ypara empresas, como los emitidos por las Cámarasde Comercio (Camerfirma), los Registradores (SCR)o los Notarios (ANCERT).
Otra clase de certificados son los de servidor. Estosno se utilizan para firmar, sino que identifican a lossitios web y cifran la conexión para que no puedaser leída por terceros. No introduzca ni solicite datosen Internet sin que la conexión esté cifrada.
5
NO dé nunca sus
contraseñas o PIN
por correo
electrónico o por
teléfono, ni los
introduzca en páginas
web a las que haya
llegado siguiendo un
link recibido en un
correo. Su banco
jamás se las pedirá
de esta forma.
Los virus
SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA
La autenticación
Asigne nombres de usuario y contraseñasa los empleados
Para identificar a las personas que acceden a sussistemas es posible configurar los ordenadores deforma que al arrancar soliciten al usuario su nombrey contraseña, y otro tanto ocurre con muchosprogramas. Utilice estas opciones y no deje libre elacceso a los ordenadores de su empresa, sino queproporcione a cada empleado un nombre de usuarioy una contraseña, y cuide de que mantengan estaen secreto.
Las contraseñas no han de ser nombres propios nipalabras del diccionario, deben tener una longitudde al menos ocho caracteres y, preferiblemente,algunos de éstos deben ser números o signos depuntuación. También aumenta la seguridad elcombinar mayúsculas y minúsculas. Por último, noolvide cambiar las contraseñas periódicamente.
Desde 2002 las
facturas con firma
electrónica tienen
plena validez legal.
Piense en los árboles
y el dinero que se
ahorrarían enviando
por correo
electrónico al menos
parte de las facturas
que hoy se envían en
papel.
Algunos antivirus
gratuitos:
BitDefender
www.bitdefender-es.com
AntiVir
www.free-av.com
Free avast!
www.asw.cz
Defiéndase de los programas espía (spyware)
Hay programas que se instalan de forma oculta enun ordenador y pueden enviar a quien los controlala información contenida en el mismo e incluso lascontraseñas que se tecleen en él, y también lepermiten convertirlo en un zombie y utilizarlo parasus propios fines.
Los programa anti-espías nos protegen de estesoftware, pero desconfíe de aquellos que se leofrezcan sin haberlos buscado expresamente, porquealgunos programas desinstalan los espías queencuentran en su equipo sólo para instalar unopropio.
Algunos antispyware
gratuitos:
WindowsDefender
www.microsoft.com/spain/
athome/security/spyware/
software/default.mspx
AdAware
www.lavasoftusa.com
SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA 7
Utilice un cortafuegos (firewall)
Los cortafuegos son programas que analizan lainformación que entra y sale de un ordenador o de lared de la empresa. Evitan los ataques desde el exteriory, además, permiten detectar los programas espía, yaque nos avisan de que hay procesos desconocidosintentando enviar información a Internet. Junto con elantivirus es una de las medidas básicas de seguridadpara los ordenadores conectados a Internet.
Evite el correo electrónico no deseado (spam)
No dé la dirección de correo a cualquiera, le ayudaráa evitar el spam. Si recibe correo de origendesconocido no lo abra, porque puede introducirleun virus, ni lo conteste, porque si contesta confirmaal que lo envió que la dirección es correcta y estáactiva. Tampoco publique direcciones personales enel web de la empresa, utilice mejor direccionescorporativas.
Los programas de correo tienen utilidades para filtrarel spam y también hay programas específicos yempresas especializadas que ofrecen el servicio defiltrar, con un elevado grado de eficacia, el correo quellega a su empresa.
Y, por supuesto, no envíe propaganda por correoelectrónico a quien no le haya autorizado previamentepara ello, ya que podrá ser sancionado como spamerpor la Agencia de Protección de Datos.
La información dañina o no deseada
SPAM
Algunos cortafuegos gratuitos:
ZoneAlarm
download.zonelabs.com
Comodo
www.personalfirewall.comodo.com
En el sitio alerta-antivirus.red.es
puede encontrar más antivirus y
cortafuegos gratuitos.
Algunos filtrosantispam gratuitos:
G-Lock SpamCombat
www.glocksoft.com/sc
K9
www.keir.net/k9.html
Outlook Security Agent
www.outlooksecurityagen
t.com
SpamFighter
www.spamfighter.com
Spamihilator
www.spamihilator.com
SpamPal
www.spampal.org
Si recibe correo de origen
desconocido no lo abra.
SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA 7
Utilice un cortafuegos (firewall)
Los cortafuegos son programas que analizan lainformación que entra y sale de un ordenador o de lared de la empresa. Evitan los ataques desde el exteriory, además, permiten detectar los programas espía, yaque nos avisan de que hay procesos desconocidosintentando enviar información a Internet. Junto con elantivirus es una de las medidas básicas de seguridadpara los ordenadores conectados a Internet.
Evite el correo electrónico no deseado (spam)
No dé la dirección de correo a cualquiera, le ayudaráa evitar el spam. Si recibe correo de origendesconocido no lo abra, porque puede introducirleun virus, ni lo conteste, porque si contesta confirmaal que lo envió que la dirección es correcta y estáactiva. Tampoco publique direcciones personales enel web de la empresa, utilice mejor direccionescorporativas.
Los programas de correo tienen utilidades para filtrarel spam y también hay programas específicos yempresas especializadas que ofrecen el servicio defiltrar, con un elevado grado de eficacia, el correo quellega a su empresa.
Y, por supuesto, no envíe propaganda por correoelectrónico a quien no le haya autorizado previamentepara ello, ya que podrá ser sancionado como spamerpor la Agencia de Protección de Datos.
La información dañina o no deseada
SPAM
Algunos cortafuegos gratuitos:
ZoneAlarm
download.zonelabs.com
Comodo
www.personalfirewall.comodo.com
En el sitio alerta-antivirus.red.es
puede encontrar más antivirus y
cortafuegos gratuitos.
Algunos filtrosantispam gratuitos:
G-Lock SpamCombat
www.glocksoft.com/sc
K9
www.keir.net/k9.html
Outlook Security Agent
www.outlooksecurityagen
t.com
SpamFighter
www.spamfighter.com
Spamihilator
www.spamihilator.com
SpamPal
www.spampal.org
Si recibe correo de origen
desconocido no lo abra.
Defina unos objetivos
Una idea clave es que la seguridad no es una cuestiónque pueda dejarse a escalones inferiores de laorganización, sino que debe ser asumida por la direcciónal más alto nivel. Ésta deberá marcar la estrategia,definiendo las medidas que se van a implantar, así comolas funciones y las responsabilidades de los miembrosde la empresa en relación con la seguridad. En lasgrandes organizaciones estos extremos se plasman enun documento llamado Plan de Seguridad, que seactualiza periódicamente.
Conciencie a sus empleados
Los expertos en seguridad saben que el factor humanoes siempre el eslabón más débil. Ninguna medida deseguridad funciona si las personas que han de aplicarlano están debidamente informadas, formadas y, sobretodo, concienciadas. Además, es preciso mantener estaconcienciación a lo largo del tiempo ya que siempre hayuna tendencia a relajarse en el cumplimiento de lasmedidas de seguridad.
La protección de datos de carácter personal
La seguridad de la información comoobjetivo de toda la empresa
SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA
Registre los ficheros
Es muy probable que su empresa maneje ficheroscon datos de carácter personal. Recuerde que debeinscribirlos en el Registro de la Agencia Española deProtección de Datos. Para ello dispone de un formularioen el web de la Agencia (www.agpd.es). Normalmenteen una empresa los ficheros a inscribir son los depersonal, clientes y proveedores. Dedique un pocode tiempo a ello o, si lo prefiere, consulte a unprofesional especializado.
Tenga cuidado si da los datos a un tercero
Si la información de los ficheros de datos de carácterpersonal se cede, de forma total o parcial, a otrapersona o empresa, estamos ante una comunicaciónde datos y es obligatorio contar con el consentimientode los titulares de los datos.
Si la cesión se hace sólo para que un tercero le presteun servicio como, por ejemplo, enviar un mailing, setrata de un tratamiento de datos por cuenta de tercero.En este caso es preciso firmar un contrato específicocon la persona o entidad destinataria estableciendoexpresamente que los datos se tratarán únicamenteconforme a sus instrucciones y que no serán utilizadoscon un fin distinto ni cedidos, bajo ningún concepto,a otras personas.
9
El Documento de Seguridad
de la LOPD puede ser su Plan
de Seguridad. Marque en él
unos objetivos realistas e
implique a toda la empresa
para conseguirlos.
Redacte de forma clara y
concisa las obligaciones que
los distintos tipos de
empleados tengan en relación
con la seguridad. Cuando
alguien se incorpore a la
empresa, y a todos los
empleados de forma periódica,
pídales que lean estás
instrucciones y firmen la hoja
que las contiene.
Puede utilizar el modelo
d e D o c u m e n t o d e
Seguridad que propone la
Agencia Española de
Protección de Datos en su
web (www.agpd.es)
Elabore el Documento de Seguridad de suempresa
El Reglamento de Medidas de Seguridad de la LOPDestablece tres niveles de seguridad en función deltipo de datos personales que se manejan. El básicose aplica a todos, el medio a los datos de carácterfinanciero y el alto a los relativos a la salud, ideología,religión y creencias. Es obligatorio disponer de unDocumento de Seguridad conforme al nivel deseguridad que corresponda a sus ficheros.
Una buena idea es aprovechar la obligación que laLey impone para los datos personales y extender lasmedidas de seguridad de éstos a toda la informaciónde la empresa.
De la total concienciación de los
miembros de los distintos niveles de
la empresa depende el éxito de estas
acciones.
Defina unos objetivos
Una idea clave es que la seguridad no es una cuestiónque pueda dejarse a escalones inferiores de laorganización, sino que debe ser asumida por la direcciónal más alto nivel. Ésta deberá marcar la estrategia,definiendo las medidas que se van a implantar, así comolas funciones y las responsabilidades de los miembrosde la empresa en relación con la seguridad. En lasgrandes organizaciones estos extremos se plasman enun documento llamado Plan de Seguridad, que seactualiza periódicamente.
Conciencie a sus empleados
Los expertos en seguridad saben que el factor humanoes siempre el eslabón más débil. Ninguna medida deseguridad funciona si las personas que han de aplicarlano están debidamente informadas, formadas y, sobretodo, concienciadas. Además, es preciso mantener estaconcienciación a lo largo del tiempo ya que siempre hayuna tendencia a relajarse en el cumplimiento de lasmedidas de seguridad.
La protección de datos de carácter personal
La seguridad de la información comoobjetivo de toda la empresa
SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA
Registre los ficheros
Es muy probable que su empresa maneje ficheroscon datos de carácter personal. Recuerde que debeinscribirlos en el Registro de la Agencia Española deProtección de Datos. Para ello dispone de un formularioen el web de la Agencia (www.agpd.es). Normalmenteen una empresa los ficheros a inscribir son los depersonal, clientes y proveedores. Dedique un pocode tiempo a ello o, si lo prefiere, consulte a unprofesional especializado.
Tenga cuidado si da los datos a un tercero
Si la información de los ficheros de datos de carácterpersonal se cede, de forma total o parcial, a otrapersona o empresa, estamos ante una comunicaciónde datos y es obligatorio contar con el consentimientode los titulares de los datos.
Si la cesión se hace sólo para que un tercero le presteun servicio como, por ejemplo, enviar un mailing, setrata de un tratamiento de datos por cuenta de tercero.En este caso es preciso firmar un contrato específicocon la persona o entidad destinataria estableciendoexpresamente que los datos se tratarán únicamenteconforme a sus instrucciones y que no serán utilizadoscon un fin distinto ni cedidos, bajo ningún concepto,a otras personas.
9
El Documento de Seguridad
de la LOPD puede ser su Plan
de Seguridad. Marque en él
unos objetivos realistas e
implique a toda la empresa
para conseguirlos.
Redacte de forma clara y
concisa las obligaciones que
los distintos tipos de
empleados tengan en relación
con la seguridad. Cuando
alguien se incorpore a la
empresa, y a todos los
empleados de forma periódica,
pídales que lean estás
instrucciones y firmen la hoja
que las contiene.
Puede utilizar el modelo
d e D o c u m e n t o d e
Seguridad que propone la
Agencia Española de
Protección de Datos en su
web (www.agpd.es)
Elabore el Documento de Seguridad de suempresa
El Reglamento de Medidas de Seguridad de la LOPDestablece tres niveles de seguridad en función deltipo de datos personales que se manejan. El básicose aplica a todos, el medio a los datos de carácterfinanciero y el alto a los relativos a la salud, ideología,religión y creencias. Es obligatorio disponer de unDocumento de Seguridad conforme al nivel deseguridad que corresponda a sus ficheros.
Una buena idea es aprovechar la obligación que laLey impone para los datos personales y extender lasmedidas de seguridad de éstos a toda la informaciónde la empresa.
De la total concienciación de los
miembros de los distintos niveles de
la empresa depende el éxito de estas
acciones.
Personal Identification Number (PIN): Número decuatro cifras que se utiliza en los sistemas de tarjetas yen la banca electrónica. Al introducirlo sólo se permitentres intentos para evitar los ataques de “fuerza bruta”,que consisten en ir probando todas las opciones posibles.
Plugins: Pequeños programas que se descargan deInternet, normalmente para poder ejecutar funcionesespeciales de alguna página web.
Sistema de alimentación ininterrumpida (SAI): Eninglés Uninterrupted Power Supply (UPS). Equipo conbaterías que garantizan la continuidad del suministroeléctrico. Algunos disponen de programas que avisan delos cortes de suministro a todas las estaciones de trabajoy finalizan de forma ordenada las tareas en curso, evitandolas pérdidas de información.
Spam: Correo electrónico no deseado. Se ha convertidoen uno de los principales problemas de Internet, ya quese calcula que supone más del 80% del correo que circulapor la red. Se denomina spamers a quienes lo envían,valiéndose de programas al efecto (robots). En España elorganismo encargado de combatir el spam es la AgenciaEspañola de Protección de Datos.
Spyware: Programas que envían información sobre lasacciones del usuario. Algunos son legítimos como, porejemplo, la barra de Google si la autorizamos para queenvíe información sobre nuestras búsquedas. Otros seinstalan subrepticiamente y envían la información sinnuestro consentimiento.
Titular de los datos: Es la persona física a la que serefieren los datos de carácter personal.
Virus: Habitualmente se denomina virus a todo el softwaremaligno o malware, pero propiamente sólo son virus losprogramas que necesitan del usuario para propagarse,mientras que los gusanos se propagan sin intervenciónhumana. Otro tipo de malware, los troyanos, se disfrazande programas útiles.
Zombie: Es un ordenador que, sin que su propietario losepa, está controlado por un usuario malicioso. Éstossuelen tener un gran número de zombies que empleanpara fines como enviar spam, distribuir malware o parafraudes como el phishing.
Copia de seguridad (backup): Volcado de los datosa otro soporte para disponer de varias copias de losmismos. No se incluyen los programas, por lo que elvolumen de información no suele ser muy grande. Engrandes sistemas el medio más utilizado son las cintas,pero en pequeñas empresas se utilizan disquetes, CDs oDVDs regrabables o memorias USB (pendrives).
Cortafuegos (firewall): Dispositivo que analiza lainformación que entra y sale de un ordenador o de unared. Si la empresa tiene red local se coloca en la conexiónde esta con Internet. El cortafuegos se configura para quesólo determinados programas puedan intercambiarinformación con Internet.
Ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal (LOPD):Establece que, salvo contadas excepciones, el tratamientode los datos personales exige el consentimiento de sutitular y que los datos que se traten deben ser adecuados,pertinentes y no excesivos de acuerdo con la finalidad ala que se destina el fichero.
Vínculo (link): Enlace con una página web, dirección decorreo u otro recurso de Internet. Es un elementocaracterístico del hipertexto con el que se construyen laspáginas web, ya que permite navegar por las mismas. Losvínculos entre sitios web se basan en un sistema unificadode direcciones que se llama Uniform Resource Locator(URL).
Phishing: Es la estafa con más éxito en Internet y consisteen obtener el PIN o las contraseñas mediante engaño,normalmente pidiéndolas en un correo electrónico quesimula provenir de un banco o una entidad oficial como,por ejemplo, la Agencia Tributaria. Estos correos sonsiempre falsos, ya que las contraseñas no se piden nuncapor correo.
11SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA
GLOSARIO
Personal Identification Number (PIN): Número decuatro cifras que se utiliza en los sistemas de tarjetas yen la banca electrónica. Al introducirlo sólo se permitentres intentos para evitar los ataques de “fuerza bruta”,que consisten en ir probando todas las opciones posibles.
Plugins: Pequeños programas que se descargan deInternet, normalmente para poder ejecutar funcionesespeciales de alguna página web.
Sistema de alimentación ininterrumpida (SAI): Eninglés Uninterrupted Power Supply (UPS). Equipo conbaterías que garantizan la continuidad del suministroeléctrico. Algunos disponen de programas que avisan delos cortes de suministro a todas las estaciones de trabajoy finalizan de forma ordenada las tareas en curso, evitandolas pérdidas de información.
Spam: Correo electrónico no deseado. Se ha convertidoen uno de los principales problemas de Internet, ya quese calcula que supone más del 80% del correo que circulapor la red. Se denomina spamers a quienes lo envían,valiéndose de programas al efecto (robots). En España elorganismo encargado de combatir el spam es la AgenciaEspañola de Protección de Datos.
Spyware: Programas que envían información sobre lasacciones del usuario. Algunos son legítimos como, porejemplo, la barra de Google si la autorizamos para queenvíe información sobre nuestras búsquedas. Otros seinstalan subrepticiamente y envían la información sinnuestro consentimiento.
Titular de los datos: Es la persona física a la que serefieren los datos de carácter personal.
Virus: Habitualmente se denomina virus a todo el softwaremaligno o malware, pero propiamente sólo son virus losprogramas que necesitan del usuario para propagarse,mientras que los gusanos se propagan sin intervenciónhumana. Otro tipo de malware, los troyanos, se disfrazande programas útiles.
Zombie: Es un ordenador que, sin que su propietario losepa, está controlado por un usuario malicioso. Éstossuelen tener un gran número de zombies que empleanpara fines como enviar spam, distribuir malware o parafraudes como el phishing.
Copia de seguridad (backup): Volcado de los datosa otro soporte para disponer de varias copias de losmismos. No se incluyen los programas, por lo que elvolumen de información no suele ser muy grande. Engrandes sistemas el medio más utilizado son las cintas,pero en pequeñas empresas se utilizan disquetes, CDs oDVDs regrabables o memorias USB (pendrives).
Cortafuegos (firewall): Dispositivo que analiza lainformación que entra y sale de un ordenador o de unared. Si la empresa tiene red local se coloca en la conexiónde esta con Internet. El cortafuegos se configura para quesólo determinados programas puedan intercambiarinformación con Internet.
Ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal (LOPD):Establece que, salvo contadas excepciones, el tratamientode los datos personales exige el consentimiento de sutitular y que los datos que se traten deben ser adecuados,pertinentes y no excesivos de acuerdo con la finalidad ala que se destina el fichero.
Vínculo (link): Enlace con una página web, dirección decorreo u otro recurso de Internet. Es un elementocaracterístico del hipertexto con el que se construyen laspáginas web, ya que permite navegar por las mismas. Losvínculos entre sitios web se basan en un sistema unificadode direcciones que se llama Uniform Resource Locator(URL).
Phishing: Es la estafa con más éxito en Internet y consisteen obtener el PIN o las contraseñas mediante engaño,normalmente pidiéndolas en un correo electrónico quesimula provenir de un banco o una entidad oficial como,por ejemplo, la Agencia Tributaria. Estos correos sonsiempre falsos, ya que las contraseñas no se piden nuncapor correo.
11SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA
GLOSARIO
La seguridad de la informaciónen su empresa
GUÍA PARA ...Autónomos,profesionales liberales,PYMES...
La seguridad de lainformación en suempresa
