4. Nociones básicas de seguridad informática.
Veremos algunos aspectos en los que hay que incidir dentro de la política de seguridad de la organización, atendiendo a las diversas áreas de actuación de la misma y a las problemáticas que podemos encontrarnos. Veremos los diversos activos que debemos proteger en función de la tipología de intrusión que pueda darse:
– Interceptación de las comunicaciones: las comunicaciones pueden ser interceptadas y modificar o capturar la información contenida en ellas. Esta intercepción puede ser de varias maneras y debemos tenerlas en cuenta para evitarla en la medida de lo posible.
Acceso no autorizado a ordenadores y redes: aquí englobaremos los intentos de acceso a la información contenida en algún ordenador de la organización o a los recursos de las redes (impresoras, discos duros, etc.).
Virus y posibles modificaciones de datos: habrá que protegerse sobre posibles virus que alteren los datos y la información almacenada en el sistema.
– Accesos mediante suplantaciones de usuarios: hay que asegurarse bien de tener medios de identificar adecuadamente a los usuarios para evitar accesos al sistema utilizando falsas identidades.
– Accidentes: no hay que olvidar posibles accidentes que puedan influir en la pérdida de datos o en la eventual caída del sistema (tormentas, incendios, inundaciones, etc.). También habrá que contemplar estas posibles contingencias en el plan de seguridad.
Veremos algunas de las medidas que podemos tomar para proteger el sistema de información de la organización, a modo de ejemplos:
– Firewall: es un elemento hardware que impide la entrada de intrusos en la red interna de la organización.
– Antivirus: es un software que supervisa constantemente los flujos de información existentes en la organización y que detecta y elimina los posibles virus que puedan dañar la información.
– Gestión de usuarios: los software para gestión de redes, suelen presentar siempre una gestión de usuarios para proteger el sistema de usos indebidos.
IMPORTANTE:
– Nunca deshabilites el antivirus.
– No confíes en emails de remitentes desconocidos o con asuntos extraños o sin asunto.
– Nunca entres en webs de bancos a través de enlaces directos que te envíen.
– Procura tener claves largas con mezcla de números, letras, mayúsculas y minúsculas.
– Modifica las claves periódicamente.
– Ten siempre tu usuario Windows protegido por contraseña.
4.1. Responsabilidad personal de los documentos manipulados.
Veremos dentro de este apartado las distintas responsabilidades derivadas del tratamiento de datos dentro de una organización. La información es un elemento vital hoy en día en cualquier organización y, por lo tanto, el trasiego de documentos debe hacerse de forma segura para que no haya problemas. La política de la empresa al respecto de las responsabilidades en el tratamiento de documentos debe quedar claramente definida y debe ser conocida por todos los trabajadores de dicha empresa.
Así, una manipulación indebida o malintencionada de los documentos o la información de la empresa, puede causar graves perjuicios y lógicamente el causante de estos debe ser debidamente sancionado.
Cuando manipulamos documentación de la empresa, debemos siempre hacerlo bajo las directrices de la misma. Hay que evitar que se vulnere la confidencialidad, el contenido y que no sea expuesto a personas ajenas a la empresa (siempre que sea un documento interno).
Es responsabilidad del trabajador el llevar a cabo con diligencia todas las operaciones sobre documentación e información en la empresa.
Confidencialidad de los datos tratados
En España, tras la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), se han protegido enormemente los datos de carácter personal y existen duras sanciones por su filtración o manipulación.
Articulo: 1. Objeto.
La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Debemos, por lo tanto, mostrar especial cuidado cuando tratamos datos de carácter personal en la organización o empresa, para que estos no puedan ser vistos por ninguna persona ajena a nuestra organización ni por nadie que no esté autorizado para ello (aunque pertenezca a nuestra empresa).
Además de los medios indicados en el plan de seguridad de la organización, deberemos aplicar medidas extraordinarias para prevenir la filtración de datos. Una parte muy Importante de estas medidas reside en el encriptado de la información cuando circule por nuestra organización. De este modo, ante una posible filtración de la información, se hace más difícil la visión de los datos contenidos gracias al encriptado.
Lo que buscamos principalmente, y de hecho coincide con la definición más generalizada de la confidencialidad, es que los datos solo sean conocidos por el emisor y el receptor al que van dirigidos.
Por lo tanto, al margen de lo que se indique en el plan de seguridad de la organización, deberemos atenernos a la LOPD para garantizar la confidencialidad y protección de los datos personales, pudiéndose exigir tanto las medidas de seguridad indicadas en la ley, como las responsabilidades y sanciones expuestas en la misma, en cualquier situación.
4.2. Rigurosidad de los datos tratados.
Puesto que constantemente estamos manejando información, no es de recibo que esta no sea correcta. Es responsabilidad del usuario que está tratando la información hacer todo lo que esté en su mano para verificar que esta es correcta.
La rigurosidad de los datos tratados es un bien muy valioso para la organización, ya que unos datos falseados prácticamente no tienen utilidad alguna.
En el plan de seguridad se establecerán las correspondientes medidas de verificación de datos, así como las sanciones oportunas para aquellos que no cumplan con las indicaciones dadas.
Se deberá confirmar que los datos se transmiten adecuadamente por el sistema. Como hablamos hoy en día de datos de carácter informático, principalmente, deberemos asegurarnos de que los datos se tratan por los programas adecuados para su correcta visualización y transmisión.
Es decir, no podemos intentar ver unos datos transmitidos en un fichero Excel, abriéndo los con el PowerPoint. Aunque se pudiera hacer, no se transmitiría adecuadamente toda la información contenida en los mismos. Es por ello que debemos velar por la adecuada gestión de la información y de los datos en nuestra organización.
4.3. Utilización de datos de forma exclusiva.
¿Qué veremos aquí?… Bien, para que se utilicen los datos de forma exclusiva, necesitamos un sistema de gestión de usuarios, ya que de otro modo no podemos identificar de ninguna forma a la persona que está accediendo a los mismos.
¿Qué permitirán estos sistemas de gestión de usuarios?
– Gestionar usuarios y sus datos de identificación.
– Asignarles permisos, en función de sus necesidades.
– Controlar el acceso a los recursos.
Estos sistemas de gestión de usuarios permitirán y facilitarán la gestión de estos, permisos, accesos a recursos, etc. dentro de la red de nuestra organización.
Entre las diversas opciones que existen, nos podernos encontrar las siguientes:
– Control de acceso a la red corporativa: estos sistemas evitarán el acceso indebido a los recursos de la red corporativa desde el exterior (o desde el interior por usuarios malintencionados). Controlan el acceso de usuarios, dispositivos y otras redes, a la red corporativa.
– Gestión de identidad y autenticación y servidores de autenticación: son sistemas centrados en gestionar la identidad y la correcta autenticación de los usuarios en la red y en la organización. Están centralizados y permiten otorgar de una forma rápida y segura los privilegios, roles, autenticaciones, etc., necesarias para el correcto funcionamiento de la organización.
– Inicio de sesión único: permiten el acceso a diversos recursos, programas o dispositivos de la red, mediante un identificador común.
– Sistemas de identidad 2.0: permiten acceder a varias localizaciones, portales o redes mediante una única identificación de usuario.
– Sistemas de control de presencia y acceso: estos sistemas cuentan con técnicas biométricas (lectura de huellas, por ejemplo) o bien tarjetas de acceso, para controlar quién y cuándo está presente en alguno de los sistemas o dispositivos de la organización.
Ya hemos podido ver someramente que necesitaremos una buena gestión de usuarios para garantizar que los datos son tratados única y exclusivamente por las personas adecuadas para ello. Pero, ¿cómo se deben asignar estos usuarios?
Como en cualquier otro proceso que se precie, para gestionar los usuarios dentro de una organización, debemos llevar a cabo una serie de pasos básicos, que los llevará a cabo el Administrador del sistema, que son:
– Evaluación de las necesidades: inicialmente debemos evaluar las necesidades de la organización. Debemos ver qué empleados necesitan acceder al sistema y qué datos les hace faltan poder tener accesibles cada uno de ellos.
– Creación de usuarios: una vez se han determinado las personas que pueden acceder a la red, se crean los usuarios necesarios para ello. En los siguientes pasos les asignaremos los permisos adecuados.
– Creación de permisos: en este paso crearemos los diferentes niveles de acceso que hemos considerado necesarios tras la evaluación inicial.
– Asignación de permisos a los usuarios: tras haber creado los usuarios y los diferentes niveles de acceso que pueden darse en nuestro sistema, cada usuario o grupo de usuarios será asignado al nivel que le corresponda según la evaluación de las necesidades hecha anteriormente.
– Asignación de códigos de acceso: por último, a cada usuario se le asignará un código de acceso único, para garantizar su privacidad y que sus permisos queden bajo su responsabilidad.
Tras llevar a cabo la gestión de 1os usuarios en nuestro sistema, podremos garantizar que cada uno de ellos solo podrá ver la información que le sea necesaria y le quedará oculta aquella a la que no deba acceder. ·
4.4. Respuesta y responsabilidad ante errores o infracciones cometidas en la manipulación de datos.
Lógicamente es el administrador del sistema quien debe dar respuesta a las incidencias que ocurran en la red y es su responsabilidad garantizar la integridad y el buen esta do de la misma.
Llegamos en este punto a ver qué debe hacer el administrador del sistema para dar respuesta ante los errores o infracciones cometidas en la manipulación de los datos.
Generalmente, los principales datos de una organización se encuentran en una base de datos, ya que es el método más eficaz de guardar la gran cantidad de información que se suele manejar, para poder presentarla de una manera ágil y ordenada.
Será responsabilidad del Administrador del sistema realizar copias de seguridad periódicas de dicha base de datos y de toda la información necesaria e indispensable para el correcto funcionamiento y restauración de la actividad de la empresa tras un posible fallo informático.
Las copias de seguridad o backups son copias periódicas de la base de datos y de los archivos con contenido importante de la empresa, que se hacen periódicamente, generalmente de manera automática, mediante algún software específico.
Estas copias de seguridad se deben hacer en un sistema inaccesible para todos los usuarios, exceptuando claro está al Administrador, de manera que no puedan verse comprometidas por accesos inoportunos a la red corporativa o por fallos del sistema.
En organizaciones con datos vitales para su funcionamiento, se llevan a cabo incluso backups de los backups, para así conseguir salvaguardar la mayor cantidad de información posible ante una eventual caída de los sistemas.
Si se dispone de los suficientes recursos, es conveniente establecer diversos sistemas redundantes, de manera que ante la caída de uno se pueda seguir funcionando con otro. Es como los motores en un avión, que deben estar pensados para seguir en vuelo ante un fallo en uno de ellos.
Además de gestionar las copias de seguridad, de las cuales el administrador será el único responsable, deberá velar por la fluidez y correcto funcionamiento de todo el flujo de datos y de información dentro de la organización.
Ante una infracción por parte de un usuario, será el responsable, atendiendo al plan de seguridad establecido por la organización, quien determine las sanciones oportunas al respecto. El administrador en estos casos se encargará de solventar el problema ocasionado, advertir al usuario infractor e informar a quien corresponda par que establezca la sanción más adecuada a las circunstancias.
4.5. Amenazas, vulnerabilidades y principales delitos.
En primer lugar distinguiremos entre qué es una amenaza y qué es una vulnerabilidad. Estos conceptos están ligados más a la seguridad informática, que a la seguridad de la información, pero tal y como vimos al principio ambas están estrechamente ligadas:
– Amenaza: se considera amenaza a una acción o suceso que compromete la seguridad del sistema. Este hecho puede ser deliberado o no y si aprovecha una vulnerabilidad de nuestro sistema, puede ser realmente preocupante.
– Vulnerabilidad: una vulnerabilidad es cualquier debilidad o brecha que exponga al sistema a una amenaza comprometiendo la integridad del mismo.
Para resumir ambos conceptos, podemos decir que las amenazas podrían ser acciones que se aprovechan de una vulnerabilidad del sistema para comprometer la integridad del mismo.
Las vulnerabilidades las podremos clasificar según a qué etapa o funcionalidad del sistema afecte. Así, podemos encontrar:
– Vulnerabilidades de Diseño: debido a un mal diseño del sistema con malas políticas de seguridad o a lo que se denominan puertas traseras no convenientemente protegidas.
Vulnerabilidades de Implementación: a pesar de que el sistema tenga un diseño correcto, puede haber errores de programación en el mismo que hagan que sea vulnerable a ciertos ataques.
– Vulnerabilidades de Usuario: finalmente son los usuarios los que utilizan el sistema, y una mala actuación por parte de los mismos puede hacer que el sistema sea vulnerable en ciertos momentos.
En lo referente a las amenazas, podemos optar por varios criterios de clasificación de las mismas, teniendo en cuenta que normalmente aprovechan alguna de las debilidades del sistema. Así, hay dos grandes grupos de amenazas, las físicas y las lógicas, que ya hemos tratado de alguna forma en el apartado anterior. También se pueden clasificar según qué o quién las provoca, atendiendo a la naturaleza de las mismas, los tipos de daños que pueden provocar, etc.
Por ejemplo, dentro de las diferentes tipos de amenazas indicadas podremos encontrar:
– Qué o quién las provoca:
* Personas:
Personal de la compañía: en este caso suelen ser accidentes por descuidar el correcto seguimiento de los protocolos de seguridad instaurados.
Exempleados: puede ser más peligroso, ya que pueden intentar provocar daños graves en los datos de la compañía.
Curiosos: son hackers que solo miran y no hacen nada.
Hackers: pretenden romper los sistemas, y si se da el caso sacar algún provecho de ello.
Intrusos remunerados: buscan datos relevantes que puedan servir a otras compañías que les pagan para ello.
* Desastres:
Incendios. Inundaciones. Terremotos.
Algunas amenazas de tipo lógico pueden ser:
* Virus.
* Puertas traseras.
* Bombas lógicas.
Terminología básica de seguridad informática:
Dentro de la terminología básica de seguridad Informática, nos encontramos los principales delitos a los que nos podemos enfrentar:
–3DES (Triple DES): algoritmo de cifrado.
–AES: algoritmo de cifrado.
–Amenaza: elemento con potencial de causar daños en sistema.
–Antivirus: software para proteger el equipo de virus.
–Blacklisting (Lista negra): proceso de bloqueo de programas o equipos maliciosos o desconocidos.
–Ciberseguridad: campo de estudio dedicado a la seguridad informática.
–Cifrado: procedimiento para proteger la información mediante algoritmos.
–Encriptado: procedimiento para ocultar la información mediante algoritmos.
–FlreWall: elemento para evitar accesos no autorizados.
–Gusanos: programas que se copian a sí mismos con el objetivo de colapsar los ordenadores para impedir el trabajo normal de los mismos.
–Hacker: persona experta en vulnerar sistemas informáticos (“pirata informático”).
–Hacking: acceso no autorizado a sistemas informáticos por parte de terceras personas (Hackers).
–Malware: programas diseñados para dañar un sistema informático.
–Negación de Servicio (DoS): ataque masivo a sistemas para colapsar sus servicios y que no permitan su utilización a los usuarios legales de los mismos.
–Pishing: término con el que se designa la suplantación de páginas web para obtener datos de los usuarios como cuentas bancarias, PIN de tarjetas, etc.
–PKCS7: conjunto de normas para cifrar y encriptar.
–Spam: correo no deseado.
–SpyWare: aplicación que realiza seguimiento no autorizado del uso del PC y lo envía a terceros.
–TKIP: algoritmo de cifrado.
–Troyano: software malicioso que bajo una apariencia engañosa permite obtener el control del equipo.
–WEP: algoritmo de cifrado.
–WPA o WPA2: algoritmos de cifrado.
–Zombi: PC controlado remotamente por algún Hacker.
Aunque esta es la terminología más destacada, le animamos a ojear el glosario de términos que puede encontrar en www.incibe.es (Instituto nacional de ciberseguridad) en el siguiente enlace.
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciber seguridad_metad.pdf
Como se podrá deducir, es conveniente tener siempre correctamente configurado y actualizado el Firewall que se esté utilizando para prevenir en la medida de lo posible accesos no deseados. Los elementos más peligrosos que podemos encontrarnos son los virus. De sobra conocidos por todos los usuarios informáticos, los virus no son más que programas que se ejecutan sin permiso del usuario en el PC, llevando a cabo instrucciones y operaciones no autorizadas por el usuario y que pueden ser más o menos dañinas, según la maliciosidad del creador del mismo. Hay muchos tipos de virus y aunque estos aumentan con el paso del tiempo, indicaremos los tres o cuatro tipos más conocidos y usuales:
Gusanos (Worms): estos virus, una vez instalados en el sistema, se dedican a duplicarse y consumir recursos, haciendo que este se vuelva cada vez más lento e inoperativo.
–Troyanos: son virus que dan acceso al creador a parte de nuestro sistema, vulnerando así nuestra confidencialidad.
–Bombas de tiempo: se ejecutan ante un hecho o acción determinados (por ejemplo viernes 13) y pueden causar más o menos daño.
–Zombie: dejan el PC inutilizado y lo utilizan como trampolín para generar nuevos virus e infecciones.
Con unas cuantas normas de conducta o buenas prácticas podemos hacer que el peligro ante los virus disminuya notablemente. Estas pueden ser:
-Tener el Firewall correctamente configurado y actualizado.
-Tener el antivirus del sistema correctamente configurado y actualizado.
-No abrir emails sospechosos.
-No abrir documentos sospechosos.
-No utilizar memorias USB y otros dispositivos de memoria de terceros sin escanearlos previamente.
-No aceptar contactos sospechosos.
Como se puede ver, son medidas bastante lógicas, pero al final muchas personas dejan de tenerlas en cuenta y favorecen la propagación de estos programas llamados Malware.
Los antivirus son programas (Software) creados para intentar luchar contra los virus. Los hay gratuitos y de pago, según las necesidades, y pueden ofrecer más o menos herramientas opcionales, aunque todos en su mayoría ofrecen buena protección. Es conveniente que estén siempre operativos funcionando en lo que se llama segundo plano, para favorecer la interceptación de posibles ataques y siempre deben estar correctamente actualizados para que puedan detectar nuevas creaciones de virus antes de que puedan llegar a infectar nuestros sistemas.
En el mundo digital actual, es crucial adoptar medidas de seguridad robustas para nuestras contraseñas. Para garantizar que no sean vulnerables a la decodificación, es esencial crear contraseñas largas, de al menos 8 caracteres, que combinen letras, números, mayúsculas, minúsculas y caracteres especiales, como @, #, o !. Esta combinación hace que las contraseñas sean considerablemente más difíciles de descifrar para cualquier persona que intente acceder de manera no autorizada.
Además, es prudente cambiar periódicamente nuestras contraseñas para evitar posibles intentos de hackeo a lo largo del tiempo. Este hábito reduce la posibilidad de que alguien pueda acceder a nuestras cuentas mediante métodos de prueba y error.
Es importante también recordar que las contraseñas son personales y confidenciales, y nunca debemos compartirlas con nadie, ya que esto podría comprometer la seguridad de nuestras cuentas. Mantener un nivel adecuado de precaución y vigilancia en relación con nuestras contraseñas es fundamental para proteger nuestra información en línea.
Guardar las contraseñas en archivos en nuestros dispositivos electrónicos puede ser riesgoso, ya que si el dispositivo es comprometido o perdido, las contraseñas podrían caer en manos equivocadas. Es mejor utilizar gestores de contraseñas seguros que encripten y protejan nuestras credenciales de forma más efectiva.
Respecto a los correos electrónicos, es fundamental tomar precauciones para proteger nuestra privacidad y seguridad en línea. Algunas medidas típicas incluyen:
No abrir correos electrónicos sospechosos: Si recibimos correos de remitentes desconocidos o que parecen ser spam, es mejor no abrirlos y eliminarlos de inmediato para evitar posibles ataques de phishing o malware.
Verificar la autenticidad de los remitentes: Antes de hacer clic en enlaces o descargar archivos adjuntos en correos electrónicos, siempre es prudente verificar la autenticidad del remitente. Los correos electrónicos falsos pueden parecer legítimos, pero su contenido puede contener enlaces maliciosos o archivos infectados.
No compartir información sensible por correo electrónico: Evitar enviar información personal o confidencial, como números de tarjeta de crédito o contraseñas, a través del correo electrónico, ya que este método de comunicación no siempre es seguro y podría ser interceptado por terceros no autorizados.
Utilizar autenticación de dos factores (2FA): Cuando sea posible, activar la autenticación de dos factores en nuestras cuentas de correo electrónico para agregar una capa adicional de seguridad. Esto requiere no solo la contraseña correcta, sino también un segundo factor de autenticación, como un código enviado a nuestro teléfono móvil.
Mantener el software actualizado: Asegurarse de que tanto el cliente de correo electrónico como el sistema operativo estén actualizados con los últimos parches de seguridad para protegerse contra vulnerabilidades conocidas.
Adoptar estas precauciones puede ayudar a reducir el riesgo de comprometer nuestra seguridad y privacidad al utilizar el correo electrónico.
Estas mismas precauciones que aplicamos al correo electrónico también deben extenderse a los sistemas de Office y otros programas que utilizamos en nuestros dispositivos. Aquí hay algunas medidas adicionales que podemos tomar para proteger nuestros datos en estos sistemas:
Verificar la procedencia de los archivos adjuntos: Antes de abrir cualquier archivo adjunto en programas como Word, Excel, PowerPoint o PDF, es importante verificar la autenticidad del remitente y asegurarse de que el archivo sea legítimo. Si recibimos archivos de remitentes desconocidos o inesperados, es mejor no abrirlos y eliminarlos de inmediato.
Utilizar software de seguridad: Mantener instalado y actualizado un software antivirus y antimalware puede ayudar a detectar y eliminar archivos maliciosos antes de que puedan causar daño a nuestro sistema.
Configurar la seguridad de los programas Office: Muchos programas de Office, como Microsoft Office, ofrecen opciones de seguridad avanzadas que pueden ayudar a proteger nuestros archivos contra amenazas. Configurar estas opciones según nuestras necesidades y mantenerlas actualizadas puede proporcionar una capa adicional de protección.
No habilitar macros automáticamente: Las macros en documentos de Word, Excel u otros programas de Office pueden ser utilizadas por los atacantes para ejecutar código malicioso en nuestro sistema. Por lo tanto, es importante configurar nuestros programas para que no se ejecuten las macros automáticamente y solo permitir su ejecución si confiamos en la fuente del documento.
Estar atento a las señales de phishing: Los archivos adjuntos maliciosos en documentos de Office pueden ser utilizados en ataques de phishing para engañarnos y hacernos descargar malware en nuestros sistemas. Por lo tanto, es importante estar atentos a las señales de phishing, como correos electrónicos inesperados o solicitudes de información sensible, y evitar abrir archivos adjuntos de remitentes no confiables.
Al seguir estas precauciones y mantenernos alerta, podemos reducir el riesgo de comprometer nuestros datos y sistemas al abrir archivos en programas de Office u otros formatos.
