Professional Documents
Culture Documents
Empleado Seguro
Introducción Índice
Año a año, la Seguridad de la Información en Seguridad de la Información: 4 Buenas prácticas aplicadas al uso 14
una organización adquiere cada vez más rele- definiciones y problemáticas de la tecnología
vancia y, en condiciones ideales, es responsa-
bilidad propiamente del área de Seguridad- en
Seguridad
Contraseñas
empresas grandes-, aunque en función de las
Información
Correo electrónico
Seguridad de la Información
Dispositivos móviles
características de cada organización, puede de-
Las propiedades de la información
Redes Sociales
pender de otras áreas, como TI u Operaciones.
Vulnerabilidad, amenaza y ataque
Redes inalámbricas
Riesgo, probabilidad e impacto
En un ambiente donde diariamente se identi-
fican nuevas amenazas informáticas y vulne-
rabilidades los riesgos de seguridad son cada Amenazas comunes que atentan 8 Prácticas del empleado seguro 17
vez más dinámicos. contra la información en su lugar de trabajo
Conclusiones 22
Prácticas de gestión y controles 11
tecnológicos
Políticas de seguridad
Clasificación de la información
Herramientas de seguridad
Empleado
Seguro
definiciones y
sin embargo, se trata de una condición ideal, ya que en la tenta con metodologías, normas, técnicas, herramientas,
realidad no es posible tener la certeza de que se pueden evi- estructuras organizacionales, tecnología y otros elemen-
tar todos los peligros. tos, con la idea de proteger a la información en todos sus
problemáticas Por esta razón, el propósito de la seguridad en todos sus
formatos.
ámbitos de aplicación es reducir riesgos hasta un nivel que La seguridad busca preservar la integridad, disponibilidad
sea aceptable. En un sentido más amplio, la seguridad tam- y confidencialidad de la información de la empresa, con un
bién comprende todas las actividades que tiene como fin propósito de mayor alcance aún: proteger el negocio.
proteger una cosa o una persona de algún de tipo de peligro.
Información
Un atacante accede a
• Disponibilidad: que la información sea accesible y utili- Un empleado disgustado
una base de datos del
zable cuando una entidad lo requiera. destruye un documento e
Por ejemplo, evitar problemas en un servidor que hicie- sitio web de la empresas
INTENCIONAL información importante.
ran que se apague. de manera externa.
• Amenaza: causa potencial de un incidente no deseado Por lo tanto, la idea inicial de seguridad vuelve a tomar rele-
que puede resultar en daños a un sistema u organización. vancia dado que, aunque no se pueda garantizar por com-
pleto, los riesgos deben ser tratados y reducidos hasta un
• Ataque: intento de destruir, exponer, alterar, inutilizar, nivel que no representen consecuencias considerables.
robar, obtener acceso no autorizado o hacer uso indebi-
do de los activos. Para la Seguridad de la Información, los riesgos están asocia-
dos a la causa potencial de que una amenaza pueda explotar
Los ataques que buscan comprometer un sistema de in- una o más vulnerabilidades de un activo o grupo de ellos, te-
formación y los activos se clasifican en cuatro categorías niendo como consecuencia un daño a la organización.
según su manifestación: intercepción, modificación, inte-
rrupción y fabricación. Los riesgos generalmente se expresan mediante la combi-
nación de la probabilidad de que un evento no deseado su-
La intercepción atenta contra la confidencialidad; la modi- ceda y sus consecuencias o impacto. Por este motivo, las
ficación lo hace contra la integridad; mientras que la inte- medidas de seguridad están orientadas a reducir alguna de
rrupción hace lo propio con la disponibilidad. estas dos variables o, en el mejor de los casos, ambas.
la información
bercriminales engañan a los usuarios para comprometer la Un empleado seguro conoce
seguridad de una empresa.
los diferentes tipos de códigos
maliciosos y aplica buenas prácticas
Algunos ejemplos son: correos fraudulentos que solicitan
información confidencial, falsos llamados telefónicos o para evitar infecciones.
propagación de códigos maliciosos en las redes sociales si-
mulando ser aplicaciones benévolas. También suelen utili-
zarse temas de actualidad o noticias falsas para aumentar
la probabilidad de éxito de estos ataques.
Phishing 10
Políticas de seguridad
Clasificación de la información
Herramientas de seguridad
Prácticas de gestión y controles tecnológicos
y controles
ganización, o bien las normas que determinan su conducta
en relación a la protección de la información y otros activos. Un empleado seguro lee, entiende
y acata las políticas de seguridad
tecnológicos Es ideal que toda empresa cuente con una política de segu-
ridad, que sea conocida por todos los empleados.
de la organización.
de la tecnología
sistemas y plataformas, por lo que los integrantes de una Un empleado seguro evita acceder
compañía suelen tener varias contraseñas para los siste-
a enlaces sospechosos o descargar
mas internos que se utilicen.
archivos adjuntos de remitentes
Por ello, una contraseña fuerte puede evitar el acceso a in- desconocidos.
formación confidencial o a un sistema por parte de un ata-
cante o un código malicioso. Con esto en mente, es impor-
tante que las contraseñas sean fáciles de recordar y difíciles
de adivinar.
La incorporación de los smartphones a las empresas per- Es común utilizar equipos portátiles de trabajo para co-
miten el acceso a la información en todo momento y desde nectarse a redes WiFi públicas, como por ejemplo, redes en
cualquier lugar. No obstante, transportar información sen- cafés o aeropuertos. En estos casos debe considerarse que
Un empleado seguro utiliza las
sible en dispositivos móviles implica un riesgo, ya que puede la seguridad está ligada a los controles existentes en dicha
Redes Sociales y herramientas
convertirse en una vía para la fuga o robo de información, así red y que, en muchos casos, son inexistentes, tales como
como también sufrir infecciones con malware para móviles. de comunicación de manera la ausencia de una contraseña para realizar la conexión o
responsable y con filtros de el uso de protocolos seguros. Es por esto que no es reco-
Para minimizar estos riesgos, es posible utilizar herramien- privacidad. mendable realizar conexiones sensibles, como acceder al
tas de control de dispositivos MDM (Mobile Device Mana- correo corporativo, ya que la red puede estar expuesta y la
gement) que eviten la instalación de aplicaciones no per- información sin ningún tipo de cifrado, por lo que muchos
mitidas, aplicar políticas de seguridad o realizar el borrado de los datos pueden ser visibles por terceros no autorizados
seguro de información de manera remota. conectados a la misma red.
Asimismo, las buenas prácticas incluyen acciones como el Redes Sociales En el caso de que se utilice un equipo público para conec-
uso de un código de seguridad para el bloqueo, el cifrado de tarse, no se debe acceder a archivos con información con-
la información y la utilización de soluciones antimalware. Las Redes Sociales son utilizadas por los cibercriminales fidencial de forma local, ya que pueden quedar accesibles
como un vector de propagación de amenazas informáticas, en ese dispositivo y ser vistos por cualquier persona que lo
especialmente a través de enlaces que dirigen a sitios des- utilice en el futuro.
conocidos, envío de archivos maliciosos o mensajes falsos.
en su lugar de
contribuyen a aumentar la seguridad.
Un empleado seguro aplica buenas
prácticas en su lugar de trabajo
Entre ellas se incluyen:
trabajo y notifica inmediatamente ante
cualquier sospecha de un incidente
Á empleado tiene la responsabilidad de utilizar
ÁEl de seguridad.
adecuadamente todos los activos de la organiza-
ción, como también de proteger aquellos que es-
tén bajo su resguardo.
Á
ÁCuando se sospecha que un sistema, o incluso la
red completa de la empresa, ha sido comprometi-
do, se debe dar aviso al departamento de seguri-
dad o de TI de manera inmediata.
Á
ÁMás aun, cuando un incidente efectivamente su-
cede es indispensable avisar rápidamente al depar-
tamento pertinente.
Prácticas del empleado seguro en su lugar de trabajo
Á
ÁPolíticas de seguridad: leer, entender y acatar las Á
ÁEliminación segura de información: destruir do-
políticas de seguridad de la organización. cumentos impresos con información sensible an-
tes de desecharlos y eliminar información digital
Á
ÁClasificación de información: identificar la infor- sensible con las herramientas adecuadas.
mación sensible y aplicar la medidas de protección
designadas por la organización. Á
ÁBloqueo de sesión y escritorio limpio: bloquear
el sistema cuando se encuentre desatendido y
Á
ÁHerramientas de seguridad: utilizar los contro- mantener limpio el escritorio físico y del sistema
les de seguridad tecnológicos, como antivirus, fire- operativo para no exponer información privada a
wall o antispam, de manera adecuada para miti- terceros no autorizados.
gar los riesgos de incidentes.
Á
ÁCorreo electrónico: revisar el correo recibido y
Á
ÁContraseñas: utilizar contraseñas complejas y de evitar acceder a enlaces sospechosos o descargar
más de diez caracteres que sean diferentes para archivos adjuntos de remitentes desconocidos.
distintos servicios o sistemas de la organización. En
caso de ser necesario, emplear un gestor de contra- Á
ÁDispositivos móviles: utilizar el dispositivo móvil
señas y mecanismos de doble autenticación. corporativo solo con fines laborales y aplicando
tecnologías MDM.
Á
ÁInformación personal: evitar compartir informa-
ción con entidades que no están autorizadas para Á
ÁIncidentes de seguridad: reportar inmediata-
acceder a la misma. mente eventos sospechosos o incidentes de se-
guridad que puedan comprometer la información
Á
ÁActualizaciones de seguridad: actualizar el soft- sensible y otros activos críticos de la organización.
ware y aplicar parches de seguridad para la evitar
la explotación de vulnerabilidades.
Prácticas del empleado
seguro en su hogar
Prácticas del empleado seguro en su hogar
• Contar con un software antivirus en la computadora per- Prácticas del empleado seguro en su
sonal para estar protegidos contra potenciales amenazas. hogar